SY/T 5231-2010
基本信息
标准号: SY/T 5231-2010
中文名称:石油工业计算机信息系统安全管理规范
标准类别:石油天然气行业标准(SY)
标准状态:现行
发布日期:2010-05-01
出版语种:简体中文
下载格式:.rar .pdf
下载大小:1754578
标准分类号
关联标准
替代情况:替代SY/T 5231-1999
出版信息
出版社:石油工业出版社
标准价格:0.0 元
出版日期:2010-10-01
相关单位信息
发布部门:国家能源局
标准简介
SY/T 5231-2010 石油工业计算机信息系统安全管理规范 SY/T5231-2010 标准下载解压密码:www.bzxz.net
标准图片预览
标准内容
ICS75-010
备案号:29417—2010
中华人民共和国石油天然气行业标准SY/T5231—2010
代替SY/T5231—1999
石油工业计算机信息系统安全管理规范Sccuritymanagement standardforcomputerinformation systemofpetroleumindustry
2010-05-01发布
国家能源局
201010-01实施
规范性引用文件
术语和定义
体系概述
物理安全
网络安全
信息加密
运行安全
访间控制
安全架构和评估
业务连续性计划和灾难性恢复计划遵守法律与犯罪调查管理
用户管理
参者文献
SY/T5231—2010
SY/T5231—2010
本标准代替SY/T5231一1999《石油工业计算机安全保密规程》。本标准由石油信息与计算机应用专业标准化技术委员会提出并归口。本标准起草单位:中国石油勘探开发研究院。本标准主要起草人:靖小伟、冯梅、刘磊、石国伟、杨志贤、工峰、刘晓、郭以东、张克春、刘建兵、郭晓东、王雷、滕征岑、叶铭。本标准所代替标准的历次版本发布情况为:SY/T5231—1991,SY/T5231—19991范围
石油工业计算机信息系统安全管理规范SY/T5231-2010
石油工业计算机信息系统安全涵盖信息的存储、传输及应用的各环节,涉及到以下10个方面:体系概述;
物理安全;
网络安全;
信息加密;
访问控制;
运行安全;
安全架构和评估;
业务连续性计划和灾难性恢复计划;遵守法律及犯罪调查管理;
用户管理。
本标准为指导性标准,适用于石油工业企业,具体的信息系统按照各自的特点制定详细安全技术规范。2规范性引用文件
下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T17859—1999计算机信息系统安全保护等级划分准则ISO/IEC15408信息技术安全评估准则信息安全等级保护管理办法公通字(2007)43号3术语和定义
下列术语和定义适用于本标准。3.1
客体object
信息的被动载体,如计算机、文件、数据库、目录、程序等。3.2
主体subject
存取客体中信息或客体的主动实体,如用户、程序、进程或设备等。3.3
安全策略securitypolicies
由最高管理层做出的关于信息安全的最广泛、最概括的定义,明确指定了企业信息安全的作用、价值与意义。
安全域securitydomains
可供主体访问的一组资源,这一资源工作于同一安全策略之下、被统一管理。SY/T5231—2010
业务连续性计划businesscontinuityplanning为保护信息系统,降低关键业务应用活动受到灾难影响,制定的保证业务应用连续性的技术方案。
Jdisasterrecoveryplanning
灾难性恢复计划
灾难来临后,为保护信息系统,使企业关键业务应用不受灾难破坏,并在企业所能容忍的时间间隔内实施恢复,制定的业务恢复正常的技术方案。4体系概述
4.1依据国家的相关法律、法规及国际标准,建立适合本企业的信息系统安全策略体系。4.2依据GB/T178591999及《信息安全等级保护管理办法》[公通字(2007)43号]的规定,划分企业信息系统的安全等级,4.3建立信息系统安全等级的风险评估与管理制度,定期分析面临的威胁,进行风险评估。4.4根据风险评估及费用分析,选择安全措施、4.5建立信息系统安全管理机构,设置相应的安全岗位,明确应尽的责任与义务。4.6信息系统安全管理机构负责制定企业信息系统安全管理目标,划分信息系统的安全等级,建立风险评估与管理制度,制定用户管理规范,进行信息系统安全教育和培训,在聘用、保密和解聘等协议中加人关于信息系统安全的条款。5物理安全
5.1依据国家相关规范及标准,对信息系统所处环境进行安全保护。5.2依据国家的相关法律、法规及国际标准,对信息系统的承载设备实行电源保护、防盗、防毁、防电磁信息辐射泄漏及抗电磁干扰。5.3制定适合本企业信息系统安全等级的物理安全策略。5.4建立企业信息存储介质安全管理规定。5.5对不同安全等级的信息系统环境安全、设备安全及介质安全定期进行威胁评估,分析面临的风险。
5.6依据本企业物理安全策略,实施物理安全保护措施,包括对人、设备、环境、介质等。6网络安全
6.1分析评估信息系统在网络传输过程中面临的威胁与风险,按照不同的信息系统安全等级,划分网络安全域。针对不同的安全域,制定不同的安全策略。6.2依据网络安全策略,采用合适的网络安全技术与设备;实现网络安全域的保障与防护。可采用的网络安全技术与设备,如加密技术、访问控制技术、防火墙设备、人侵检测设备、流量监控与审计系统、网络设备与链路的穴余技术、QOS技术等。6.3定期进行模拟攻击测试,发现网络安全漏洞,及时修补。6.4根据网络安全最佳实践,定期审核网络设备的部署情况及运行状态,检查网络安全的合规性,对网络安全进行优化。
7信息加密
7.1分析评估信息在网络传输和存储中面临的威胁与风险,制定适合信息系统安全等级的信息加密策略。Www.bzxZ.net
7.2依据信息加密策略,选择加密类型、加密算法和密钥关键字长度。SY/T5231-—2010
7.3依据信息系统的安全等级,制定相应的信息加密和密钥关键字有效性的管理措施。8运行安全
8.1分析运行过程中所面临的威胁与风险,制定不同安全等级信息系统的运行安全策略。8.2依据运行安全策略,制定相应的员工工作规范,明确责任与义务。8.3对相关人员进行背景检查,实行最小权限管理、权职分离、工作轮换和强制休假制度、8.4依据运行安全策略,制定信息系统的变更管理、资源保护、输人/输出控制、介质控制等管理规范。
8.5依据运行安全策略,建立相应的员工与信息系统的监控与审计规范。9访问控制
分析评估信息系统面临的威胁与风险,按照不同的信息系统等级,制定整体访问控制策略。9.1
9.2建立身份识别、认证、授权与审计体系。9.3依据访问控制策略采用合适的访问控制技术,实现不同信任级别的主体对不同安全域的访问控制。
9.4定期进行穿透测试,寻找访问控制的漏洞,完善访问控制策略和方法,保护客体的机密性、完整性与可用性。
10安全架构和评估
10.1依据信息系统安全等级,确定安全模型与安全架构,建立信息系统安全体系。10.2参照ISO/IEC15408,分析信息系统所面临的威胁与风险,制定信息系统安全评估策略。10.3依据信息安全评估策略,制定适合信息系统的安全评估计划。11业务连续性计划和灾难性恢复计划11.1依据信息系统安全等级,分析业务应用连续性以及灾难恢复面临的威胁与风险,制定业务应用连续性与灾难恢复策略。
11.2依据业务应用连续性策略,制定业务应用连续性计划。11.3依据业务应用灾难恢复策略,制定灾难性恢复计划。12遵守法律与犯罪调查管理
12.1保证信息系统的设计、运行、使用和管理不违反国家法律和法规。12.2保证信息系统的设计、运行、使用和管理的合同约定受法律保护。12.3依据信息系统安全等级划分,建立应急处理队伍和管理规范,进行相关计算机信息犯罪识别、证据搜集、证据质量和完备性保护。13用户管理
13.1遵守国家相关的法律法规。13.2不得利用计算机危害企业业务运行、损害企业利益。13.3不得非法获得权限,不得越权使用、滥用、妨碍、窃取企业及其他用户的信息和相关资源。防止企业信息,个人信息及设备被他人非法使用或盗用。13.4
13.5非本企业用户不能访问、使用企业内部网络上的信息及相关资源。3
SY/T5231—2010
[1]ISO/IEC17799:2000(E)
参考文献
信息技术信息安全管理用实施规程(Informationtechnology-Codeof practice forinformation securitymanagement)[2]ISO/IEC27001:2005信息安全管理体系[3JISO/IEC27002
[[4]ISO/IEC27003
[5]ISO/IEC27004
[6]ISO/IEC27005
信息安全管理实用规则
信息安全管理体系实施指南
信息安全管理测量
信息安全风险管理
中华人民共和国
石油大然气行业标准
石油工业计算机信息系统安全管理规范SY/T5231-2010
石油工业出版社出版
(北京安定门外安华里二区一号楼)石油工业出版社印剧厂排版印刷新华书店北京发行所发行
880×1230毫米16开本0.75印张15千字印1—20002010年8月北京第1版2010年8月北京第1次印剧书号:155021·6476
版权专有不得翻印
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
备案号:29417—2010
中华人民共和国石油天然气行业标准SY/T5231—2010
代替SY/T5231—1999
石油工业计算机信息系统安全管理规范Sccuritymanagement standardforcomputerinformation systemofpetroleumindustry
2010-05-01发布
国家能源局
201010-01实施
规范性引用文件
术语和定义
体系概述
物理安全
网络安全
信息加密
运行安全
访间控制
安全架构和评估
业务连续性计划和灾难性恢复计划遵守法律与犯罪调查管理
用户管理
参者文献
SY/T5231—2010
SY/T5231—2010
本标准代替SY/T5231一1999《石油工业计算机安全保密规程》。本标准由石油信息与计算机应用专业标准化技术委员会提出并归口。本标准起草单位:中国石油勘探开发研究院。本标准主要起草人:靖小伟、冯梅、刘磊、石国伟、杨志贤、工峰、刘晓、郭以东、张克春、刘建兵、郭晓东、王雷、滕征岑、叶铭。本标准所代替标准的历次版本发布情况为:SY/T5231—1991,SY/T5231—19991范围
石油工业计算机信息系统安全管理规范SY/T5231-2010
石油工业计算机信息系统安全涵盖信息的存储、传输及应用的各环节,涉及到以下10个方面:体系概述;
物理安全;
网络安全;
信息加密;
访问控制;
运行安全;
安全架构和评估;
业务连续性计划和灾难性恢复计划;遵守法律及犯罪调查管理;
用户管理。
本标准为指导性标准,适用于石油工业企业,具体的信息系统按照各自的特点制定详细安全技术规范。2规范性引用文件
下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T17859—1999计算机信息系统安全保护等级划分准则ISO/IEC15408信息技术安全评估准则信息安全等级保护管理办法公通字(2007)43号3术语和定义
下列术语和定义适用于本标准。3.1
客体object
信息的被动载体,如计算机、文件、数据库、目录、程序等。3.2
主体subject
存取客体中信息或客体的主动实体,如用户、程序、进程或设备等。3.3
安全策略securitypolicies
由最高管理层做出的关于信息安全的最广泛、最概括的定义,明确指定了企业信息安全的作用、价值与意义。
安全域securitydomains
可供主体访问的一组资源,这一资源工作于同一安全策略之下、被统一管理。SY/T5231—2010
业务连续性计划businesscontinuityplanning为保护信息系统,降低关键业务应用活动受到灾难影响,制定的保证业务应用连续性的技术方案。
Jdisasterrecoveryplanning
灾难性恢复计划
灾难来临后,为保护信息系统,使企业关键业务应用不受灾难破坏,并在企业所能容忍的时间间隔内实施恢复,制定的业务恢复正常的技术方案。4体系概述
4.1依据国家的相关法律、法规及国际标准,建立适合本企业的信息系统安全策略体系。4.2依据GB/T178591999及《信息安全等级保护管理办法》[公通字(2007)43号]的规定,划分企业信息系统的安全等级,4.3建立信息系统安全等级的风险评估与管理制度,定期分析面临的威胁,进行风险评估。4.4根据风险评估及费用分析,选择安全措施、4.5建立信息系统安全管理机构,设置相应的安全岗位,明确应尽的责任与义务。4.6信息系统安全管理机构负责制定企业信息系统安全管理目标,划分信息系统的安全等级,建立风险评估与管理制度,制定用户管理规范,进行信息系统安全教育和培训,在聘用、保密和解聘等协议中加人关于信息系统安全的条款。5物理安全
5.1依据国家相关规范及标准,对信息系统所处环境进行安全保护。5.2依据国家的相关法律、法规及国际标准,对信息系统的承载设备实行电源保护、防盗、防毁、防电磁信息辐射泄漏及抗电磁干扰。5.3制定适合本企业信息系统安全等级的物理安全策略。5.4建立企业信息存储介质安全管理规定。5.5对不同安全等级的信息系统环境安全、设备安全及介质安全定期进行威胁评估,分析面临的风险。
5.6依据本企业物理安全策略,实施物理安全保护措施,包括对人、设备、环境、介质等。6网络安全
6.1分析评估信息系统在网络传输过程中面临的威胁与风险,按照不同的信息系统安全等级,划分网络安全域。针对不同的安全域,制定不同的安全策略。6.2依据网络安全策略,采用合适的网络安全技术与设备;实现网络安全域的保障与防护。可采用的网络安全技术与设备,如加密技术、访问控制技术、防火墙设备、人侵检测设备、流量监控与审计系统、网络设备与链路的穴余技术、QOS技术等。6.3定期进行模拟攻击测试,发现网络安全漏洞,及时修补。6.4根据网络安全最佳实践,定期审核网络设备的部署情况及运行状态,检查网络安全的合规性,对网络安全进行优化。
7信息加密
7.1分析评估信息在网络传输和存储中面临的威胁与风险,制定适合信息系统安全等级的信息加密策略。Www.bzxZ.net
7.2依据信息加密策略,选择加密类型、加密算法和密钥关键字长度。SY/T5231-—2010
7.3依据信息系统的安全等级,制定相应的信息加密和密钥关键字有效性的管理措施。8运行安全
8.1分析运行过程中所面临的威胁与风险,制定不同安全等级信息系统的运行安全策略。8.2依据运行安全策略,制定相应的员工工作规范,明确责任与义务。8.3对相关人员进行背景检查,实行最小权限管理、权职分离、工作轮换和强制休假制度、8.4依据运行安全策略,制定信息系统的变更管理、资源保护、输人/输出控制、介质控制等管理规范。
8.5依据运行安全策略,建立相应的员工与信息系统的监控与审计规范。9访问控制
分析评估信息系统面临的威胁与风险,按照不同的信息系统等级,制定整体访问控制策略。9.1
9.2建立身份识别、认证、授权与审计体系。9.3依据访问控制策略采用合适的访问控制技术,实现不同信任级别的主体对不同安全域的访问控制。
9.4定期进行穿透测试,寻找访问控制的漏洞,完善访问控制策略和方法,保护客体的机密性、完整性与可用性。
10安全架构和评估
10.1依据信息系统安全等级,确定安全模型与安全架构,建立信息系统安全体系。10.2参照ISO/IEC15408,分析信息系统所面临的威胁与风险,制定信息系统安全评估策略。10.3依据信息安全评估策略,制定适合信息系统的安全评估计划。11业务连续性计划和灾难性恢复计划11.1依据信息系统安全等级,分析业务应用连续性以及灾难恢复面临的威胁与风险,制定业务应用连续性与灾难恢复策略。
11.2依据业务应用连续性策略,制定业务应用连续性计划。11.3依据业务应用灾难恢复策略,制定灾难性恢复计划。12遵守法律与犯罪调查管理
12.1保证信息系统的设计、运行、使用和管理不违反国家法律和法规。12.2保证信息系统的设计、运行、使用和管理的合同约定受法律保护。12.3依据信息系统安全等级划分,建立应急处理队伍和管理规范,进行相关计算机信息犯罪识别、证据搜集、证据质量和完备性保护。13用户管理
13.1遵守国家相关的法律法规。13.2不得利用计算机危害企业业务运行、损害企业利益。13.3不得非法获得权限,不得越权使用、滥用、妨碍、窃取企业及其他用户的信息和相关资源。防止企业信息,个人信息及设备被他人非法使用或盗用。13.4
13.5非本企业用户不能访问、使用企业内部网络上的信息及相关资源。3
SY/T5231—2010
[1]ISO/IEC17799:2000(E)
参考文献
信息技术信息安全管理用实施规程(Informationtechnology-Codeof practice forinformation securitymanagement)[2]ISO/IEC27001:2005信息安全管理体系[3JISO/IEC27002
[[4]ISO/IEC27003
[5]ISO/IEC27004
[6]ISO/IEC27005
信息安全管理实用规则
信息安全管理体系实施指南
信息安全管理测量
信息安全风险管理
中华人民共和国
石油大然气行业标准
石油工业计算机信息系统安全管理规范SY/T5231-2010
石油工业出版社出版
(北京安定门外安华里二区一号楼)石油工业出版社印剧厂排版印刷新华书店北京发行所发行
880×1230毫米16开本0.75印张15千字印1—20002010年8月北京第1版2010年8月北京第1次印剧书号:155021·6476
版权专有不得翻印
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。