ICS75-010 E 07 SY 备案号：48257—2015 中华人民共和国石油天然气行业标准 SY/T70062014 石油工业信息系统总体控制规范 Specification for general computer control of petroleum industry 2014一10一15发布 2015一03一01实施 国家能源局 发布 SY/T7006—2014 目 次 前言 1 范围 规范性引用文件 基本内容 3.1 控制环境 3.2 信息安全 3.3 项目建设管理 3.4 第三方管理 3.5 系统变更管理 3. 6 系统运行维护 控制环境 4.1 信息技术总体规划管理 4.2 信息技术组织及人力资源管理 4.3 信息分类与沟通管理 4.4 风险评估管理 4.5 监控管理 4.6，总体控制相关文档管理 5信息安全 5.1 安全管理相关职责 5.2 信息分级管理 5.3 系统权限及密码管理 5.4网络及系统安全管理 5.5 数据安全管理 5.6计算机防病毒管理 5.7 安全事件管理· 10 项目建设管理 6 11 6. 1 立项管理 6. 2 项目计划及启动管理 12 6.3 项目实施管理 12 6. 4 项目验收管理 15 6. 5 人员管理 16 6.6 需求管理 17 6.7 进度管理· 17 6.8 质量管理 6. 9 沟通管理 6. 10 问题管理 18 L SY/T7006—2014 6.11 项目变更管理 18 6.12 项目培训 18 7 第三方管理· 19 7.1 外包服务商的选择 19 7.2 服务水平协议及合同的管理 19 7.3 外包服务商的管理 19 7.4外包安全管理 20 7.5 外包服务考核· 20 7.6 持续改进和风险控制 20 8 系统变更管理 20 8.1 变更申请和受理 20 8.2 变更方案实施· 21 变更测试· 8.3 21 8. 4 变更上线· 21 8.5 紧急变更… 22 8. 6 变更检查· 22 9 系统运行维护.. 22 9.1 机房物理控制 22 9.2 批处理作业管理 23 9.3 备份与恢复 24 9.4问题管理· 25 参考文献 27 Ⅱ SY/T7006—2014 前言 本标准按照GB/T1.1一2009《标准化工作导则 第1部分：标准的结构和编写》给出的规则 起草。 本标准由石油信息与计算机应用专业标准化委员会提出并归口。 本标准起草单位：中国石油勘探开发研究院。 本标准主要起草人：高雪、俞隆潮、袁满、贾文清、胡正宇、谢立红、万军、孙科。 SY/T70062014 石油工业信息系统总体控制规范 1范围 本标准规定了信息系统总体控制的要求。 本标准适用于为石油行业的信息系统管理、建设和运维。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB17859一1999计算机信息系统安全保护等级划分准则 GB/T20984一2007信息安全技术-信息安全风险评估规范 GB/Z20985一2007信息技术安全技术信息安全事件管理指南 GB/T24363—20091 信息安全技术信息安全应急响应计划规范 互联网信息服务管理办法中华人民共和国国务院令第292号【2009】 信息安全等级保护管理办法公通字【2007】43号） 3基本内容 信息系统总体控制规范实施涉及的内容包括：控制环境、信息安全、项目建设管理、第三方管 理、系统变更管理、系统运行维护等。 3.1控制环境 控制环境包括信息技术总体规划管理、信息技术组织及人力资源管理、信息与沟通、风险评估、 监控等。 3.2信息安全 信息安全包括安全管理相关职责、信息分级管理、系统权限及密码管理、网络及系统安全管理、 数据安全管理、计算机防病毒管理、信息安全事件管理等。 3.3项目建设管理 项目建设管理包括项目立项管理、项目计划及启动管理、项目实施管理、项目验收管理、人员管 理、需求管理、进度管理、沟通管理、问题管理、项目变更管理、项目培训等。 3.4第三方管理 第三方管理包括外包服务商的选择、服务水平协议及合同的管理、外包服务商的管理、外包安全 管理、外包服务考核、持续改进和风险控制等。 1 SY/T7006—2014 3.5系统变更管理 系统变更管理包括变更申请和受理、变更方案实施、变更测试、变更上线、紧急变更等。 3.6系统运行维护 系统运行维护包括机房物理控制、批处理作业管理、备份与恢复、问题管理等。 4控制环境 4.1信息技术总体规划管理 4.1.1公司信息化工作主管部门负责制定本公司信息技术项目规划，报经上级主管委员会审批通过 后下发执行。 体系建设等方面内容。 4.1.3公司信息化工作主管部门定期（至少每年度）组织相关业务部门对本公司信息技术项目规划 的执行情况及其对公司业务的适应性进行审阅。如果执行情况与规划偏离，或规划内容和公司业务实 际情况不再适应，公司信息化工作主管部门随之调整规划以适应公司业务发展需要。调整后的规划报 经上级主管委员会批准后下发执行。 4.1.4公司内各级信息化工作管理部门依据信息技术项目规划，制定本单位的信息技术年度工作 计划。 4.2信息技术组织及人力资源管理 4.2.1公司信息化工作主管部门负责指导和监督其下属各控股公司、全资公司、直属企事业单位的 信息技术工作，建立纵向汇报、沟通、监控机制。具体为： a）公司下属各级信息化工作管理部门每年向上级主管部门进行年度工作汇报。 b) 公司信息化工作各级主管部门不定期对其下属信息化工作管理部门的工作情况进行检查， 形成相关文档，如会议纪要或者工作检查报告等，并负责相关文档的归档。 4.2.2公司下属各级信息化工作管理部门的岗位设置遵循职责分离的原则，要求： a）监督者独立于执行者。 b) 操作者和授权者分离。 应用系统管理员和数据库管理员分离。 程序开发人员无生产环境的访问权限。 4.2.3各级信息化工作管理部门在重要工作岗位上可设置两名以上员工互为备份，并加强备份岗位 人员的交叉培训。 4.2.4各级信息化工作管理部门负责制定信息技术培训计划，并组织实施，同时负责完成培训计划 和所有培训相关文件的归档工作。 4.3信息分类与沟通管理 4.3.1信息分类管理：各级信息化工作管理部门对所属单位使用的信息资产建立清单、进行分级， 明确各信息资产的相关责任人。 4.3.2信息沟通管理： a）各级信息化工作管理部门负责本单位的信息系统总体控制相关政策和制度的宣贯工作。 b）各级信息化工作管理部门定期评估信息系统总体控制相关政策和制度在本单位的执行情况， 2 SY/T7006—2014 对于所发现的问题分析其原因，制定相应的补措施，并向上级信息化工作主管部门汇报。 c）各级信息化工作管理部门负责会议纪要、培训记录等相关文档的归档工作。 4.4风险评估管理 4.4.1公司信息化工作主管部门对主要信息技术风险进行评估（评估办法见GB/T20984一2007）， 分析主要信息技术威胁的影响程度和发生概率并制订相应的风险防范措施。 4.4.2当组织机构、环境发生变动或发生重大的信息技术应用时，公司信息化工作主管部门对变动 情况进行风险评估，必要时调整相关风险防范措施。 4.5监控管理 4.5.1各级信息化工作管理部门按照信息系统总体控制相关的要求进行日常检查与监控。 4.5.2公司信息化工作主管部门每年对信息系统总体控制相关要求在全公司范围内的执行情况组织 测试，进行相应监督。 并向上级信息化工作主管部门提交报告，报告内容包括实施要求的年度执行情况、对所发现问题的分 析以及相应的补救措施等。上级信息化工作主管部门对报告进行审阅，并根据审阅结果确定整改 意见。 4.6总体控制相关文档管理 各级信息化工作管理部门宜设置专门的信息系统总体控制文档管理员，负责本部门信息系统总体 控制表单、文档等控制证据的统一归档工作。信息系统总体控制涉及的人员每月将其负责的信息系统 总体控制表单、文档等控制证据提交给本部门文档管理员，由文档管理员统一归档。 5信息安全 5.1安全管理相关职责 5.1.1 公司应设立信息化工作委员会或具有相同职能的管理组织，其主要负责： a）划分信息安全方面相关人员的职责， b) 确定信息安全的各个领域，督促各相关领域建立信息安全管理体制。 c) 审核安全事件应急计划，监督定期应急演练的执行。 当发生安全事件时，负责监督安全事件的处理、应急计划的执行。 P 5.1.2公司各级信息化工作管理部门，负责按照信息安全管理要求对其管理的系统开展日常支持和 建设工作，其主要职责为： a) 各系统相关的服务器操作系统、数据库的用户账号、权限管理及密码（口令）的管理。 b) 信息系统数据的监控和保障，包括数据操作申请的确认和执行。 c) 防病毒管理工作的实施。 （P 负责安全事件应急计划的制定（应急计划的制定见GB/T24363一2009）、维护更新和演练。 e) 当发生安全事件时，负责安全事件的处理（安全事件的管理见GB/Z20985一2007）、应急计 划的执行。 5.1.3 各级信息化工作管理部门部门负责人，其主要负责： a) 审批服务器操作系统、网络设备和系统数据库层面用户的创建、禁用和权限的增加、修改和 删除等申请。 3