【正文】 大客戶合同大客戶服務(wù)中心行為規(guī)范考核表行為規(guī)范表格績效監(jiān)控分析報告工作分析要求人力資源部薪酬管理內(nèi)審高層訪談 部門績效績效監(jiān)控分析報告大客戶中心經(jīng)理績效合同專職行為規(guī)范工作周報企業(yè)管理部績效管理人力資源管理能 力訪談問卷例會會議紀要業(yè)務(wù)流程優(yōu)化咨詢項目工作績效監(jiān)控分析報告供應(yīng)鏈管理工資核算流程 中國石油信息安全標準 編號： 中國石油天然氣股份有限公司 數(shù)據(jù)和電子文檔安全管理規(guī)范 （審閱稿） 版本號： V3 審閱人：王巍 中國石油天然股份有限公司 數(shù)據(jù)和電子文檔安全管理規(guī)范 I 部門績效績效監(jiān)控分析報告大客戶中心經(jīng)理績效合同專職行為規(guī)范工作周報企業(yè)管理部績效管理人力資源管理能 力訪談問卷例會會議紀要業(yè)務(wù)流程優(yōu)化咨詢項目工作績效監(jiān)控分析報告供應(yīng)鏈管理工資核算流程 前 言 隨著中國石油天然氣股份有限公司（以下簡稱“中國石油”）信息化建設(shè)的穩(wěn)步推進，信息安全日益受到中國石油的廣泛關(guān)注，加強信息安全的管理和制度無疑成為信息化建設(shè)得以順利實施的重要保障。中國石油需要建立統(tǒng)一的信息安全管理政策和標準，并在集團內(nèi)統(tǒng)一推廣、實施。 本規(guī)范是依據(jù)中國石油信息安全的現(xiàn)狀，參照國際、國內(nèi) 和行業(yè)相關(guān)技術(shù)標準及規(guī)范，結(jié)合中國石油自身的應(yīng)用特點，制定的適合于中國石油信息安全的標準與規(guī)范。目標在于通過在中國石油范圍內(nèi)建立信息安全相關(guān)標準與規(guī)范，提高中國石油信息安全的技術(shù)和管理能力。 信息技術(shù)安全總體框架如下（ changehighlight the corresponding one）： 《區(qū)域安全管理規(guī)范》《機房安全管理規(guī)范》《硬件設(shè)備管理規(guī)范》《網(wǎng)絡(luò)安全管理規(guī)范》《通用安全管理標準》《數(shù)據(jù)和文檔安全管理規(guī)范》《應(yīng)用系統(tǒng)使用安全管理標準通則》《應(yīng)用系統(tǒng)開發(fā)安全管理標準通則》《商業(yè)軟件購買管理標準》《電子郵件安全管理規(guī)范》《Web系統(tǒng)安全管理規(guī)范》《電子商務(wù)安全規(guī)范》《防御惡意代碼和計算機犯罪管理規(guī)范》《信息安全技術(shù)標準》物理環(huán)境安全管理硬件設(shè)備安全管理操作系統(tǒng)安全管理數(shù)據(jù)和文檔安全管理應(yīng)用系統(tǒng)安全管理網(wǎng)絡(luò)安全管理概述通用網(wǎng)絡(luò)安全管理規(guī)范內(nèi)部網(wǎng)絡(luò)安全管理規(guī)范外部網(wǎng)絡(luò)安全管理規(guī)范認證管理通用標準通用安全管理標準概述授權(quán)管理通用標準加固管理通用標準加密管理通用標準日志管理通用標準系統(tǒng)登陸管理通用標準《操作系統(tǒng)安全管理規(guī)范》 1） 整體信息技術(shù)安全架構(gòu)從邏輯上共分為 7 個部分，分別為：物理環(huán)境、硬件設(shè)備、網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)和電子文檔、應(yīng)用系統(tǒng)和通用安全管理標準。圖中帶陰影的方框 中帶書名號的為單獨成冊的部分，共有 13 本《規(guī)范》和 1 本《通用標準》。 2） 對于 13個 《規(guī)范》中具有一定共性的內(nèi)容 我們整理出了 7個《標準》橫向貫穿整個架構(gòu)，這7個《標準》的組合也依據(jù)了信息安全生命周期的理論模型。每個《標準》都會對所有的《規(guī)范》中相關(guān)涉及到的內(nèi)容產(chǎn)生指導(dǎo)作用，但每個《標準》應(yīng)用在不同的《規(guī)范》中又會有相應(yīng)不同的具體的內(nèi)容。我們在行文上將這六個標準組合成一本通用的安全管理標準單獨成冊。 3） 全文以信息安全生命周期的方法論作為基本指導(dǎo)，《規(guī)范》和《標準》的內(nèi)容基本都根據(jù)預(yù)防—— 〉保護 —— 〉檢測跟蹤 —— 〉響 應(yīng)恢復(fù)的理論基礎(chǔ)行文。 II 數(shù)據(jù)和電子文檔安全管理規(guī)范 隨著企業(yè)信息化建設(shè)的不斷深入，企業(yè)對于各類信息需求也越來越緊迫，同時，企業(yè)內(nèi)部的各種信息數(shù)據(jù)的重要程度也越來越高。有時由于企業(yè)信息數(shù)據(jù)的丟失或破壞對于一個企業(yè)來說影響程度是無法估計的，可能會直接導(dǎo)致一個企業(yè)的失敗。而保護企業(yè)信息的最直接最關(guān)鍵的方法就是對于信息的各種電子化的載體的安全控制，比如電子電子文檔或存儲在數(shù)據(jù)庫中的數(shù)據(jù)。因此本規(guī)范就是針對該類數(shù)據(jù)和電子文檔安全上的考慮，在上圖 —— 信息安全總體框架中以深色底色標注的部分。 為加強計算機系統(tǒng)的信息安全， 1985 年美國國防部發(fā)表 了《可信計算機系統(tǒng)評估準則》（縮寫為TCSEC），它依據(jù)處理的信息等級采取的相應(yīng)對策，劃分了 4 類 7 個安全等級。依照各類、級的安全要求從低到高，依次是 D、 C C B B B3 和 A1 級。在中國市場上的國外數(shù)據(jù)庫安全等級為 C2級，國外更高級別的數(shù)據(jù)庫是限制對中國出口的（目前通用標準 (CC: Common Criteria) 已經(jīng)被國際標準化組織接受，代替 TCSEC 來評價計算機的安全等級，通用標準的 EAL 3 級大致與 C2 級的功能相當）。 但是中國目前的大型企業(yè)使用的數(shù)據(jù)庫系統(tǒng)，包括中國石油內(nèi)部使用的，大多數(shù) 還是國外廠商生產(chǎn)的數(shù)據(jù)庫產(chǎn)品，在無法購買到更安全的技術(shù)的情況下，需要通過其他的安全管理措施來加強數(shù)據(jù)庫的安全特性。 本規(guī)范由中國石油天然氣股份有限公司發(fā)布。 本規(guī)范由中國石油天然氣股份有限公司科技與信息管理部歸口管理解釋。 起草部門：中國石油制定信息安全政策與標準項目組。 數(shù)據(jù)和電子文檔安全管理規(guī)范 III 部門績效績效監(jiān)控分析報告大客戶中心經(jīng)理績效合同專職行為規(guī)范工作周報企業(yè)管理部績效管理人力資源管理能 力訪談問卷例會會議紀要業(yè)務(wù)流程優(yōu)化咨詢項目工作績效監(jiān)控分析報告供應(yīng)鏈管理工資核算流程 說 明 在中國石油信息安全標準中涉及以下概念： 組織機構(gòu) 中國石油（ PetroChina） 指中國石油天然氣股份有限公司有時也稱“股份公司”。 集團公司（ CNPC） 指中國石油天然氣集團公司有時也稱“存續(xù)公司”。為區(qū)分中 國石油的地區(qū)公司和集團公司下屬單位，但提及“存續(xù)部分”時指集團公司下屬的單位。如：遼河油田分公司存續(xù)部分指集團公司下屬的遼河石油管理局。 計算機網(wǎng)絡(luò) 中國石油信息網(wǎng)（ PetroChinaNet） 指中國石油范圍內(nèi)的計算機網(wǎng)絡(luò)系統(tǒng)。中國石油信息網(wǎng)是在中國石油天然氣集團公司網(wǎng)絡(luò)的基礎(chǔ)上，進行擴充與提高所形成的連接中國石油所屬各個單位計算機局域網(wǎng)和園區(qū)網(wǎng)。 集團公司網(wǎng)絡(luò)（ CNPCNet） 指集團公司所屬范圍內(nèi)的網(wǎng)絡(luò)。中國石油的一些地區(qū)公司是和集團公司下屬的單位共用一個計算機網(wǎng)絡(luò)，當提及“存續(xù)公司網(wǎng)絡(luò)”時，指存 續(xù)公司使用的網(wǎng)絡(luò)部分。 主干網(wǎng) 是從中國石油總部連接到各個下屬各地區(qū)公司的網(wǎng)絡(luò)部分，包括中國石油總部局域網(wǎng)、各個二級局域網(wǎng)（或園區(qū)網(wǎng)）和連接這些網(wǎng)絡(luò)的專線遠程信道。有些單位通過撥號線路連接到中國石油總部，不是利用專線，這樣的單位和所使用的遠程信道不屬于中國石油專用網(wǎng)主干網(wǎng)組成部分。 地區(qū)網(wǎng) 地區(qū)公司網(wǎng)絡(luò)和所屬單位網(wǎng)絡(luò)的總和。這些局域網(wǎng)或園區(qū)網(wǎng)互相連接所使用的遠程信道可是專線，也可是撥號線路。 局域網(wǎng)與園區(qū)網(wǎng) 局域網(wǎng)通常指，在一座建筑中利用局域網(wǎng)技術(shù)和設(shè)備建設(shè)的高速網(wǎng)絡(luò)。園區(qū)網(wǎng)是在一個園區(qū)（例如研究院園 區(qū)、管理局基地等）內(nèi)多座建筑內(nèi)的多個局域網(wǎng)，利用高速信道互相連接起來所構(gòu)成的網(wǎng)絡(luò)。園區(qū)網(wǎng)所利用的設(shè)備、運行的網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)傳輸速度基本相同于局域網(wǎng)。局域網(wǎng)和園區(qū)網(wǎng)通常都是用戶自己建設(shè)的。局域網(wǎng)和園區(qū)網(wǎng)與廣域網(wǎng)不同，廣域網(wǎng)不僅覆蓋范圍廣，所利用的設(shè)備、運行的協(xié)議、傳送速率都與局域網(wǎng)和園區(qū)網(wǎng)不同。傳輸信息的信道通常都是電信部門建設(shè)的。 二級單位網(wǎng)絡(luò) 指地區(qū)公司下屬單位的網(wǎng)絡(luò)的總和，可能是局域網(wǎng)，也可能是園區(qū)網(wǎng)。 專線與撥號線路 從連通性劃分的兩大類網(wǎng)絡(luò)遠程信道。專線，指數(shù)字電路、幀中繼、 DDN 和 ATMIV 數(shù)據(jù)和電子文檔安全管理規(guī)范 等經(jīng)常 保持連通狀態(tài)的信道；撥號線路，指只在傳送信息時才建立連接的信道，如電話撥號線路或 ISDN撥號線路。這些遠程信道可能用來連接不同地區(qū)的局域網(wǎng)或園區(qū)網(wǎng)，也可能用于連接單臺計算機。 石油專網(wǎng)與公網(wǎng) 石油專業(yè)電信網(wǎng)和公共電信網(wǎng)的簡稱。 最后一公里問題 建設(shè)廣域網(wǎng)時，用戶局域網(wǎng)或園區(qū)網(wǎng)連接附近電信部門信道的最后一段距離的連接問題。這段距離通常小于一公里，但也有大于一公里的情況。為簡便，同稱為最后一公里問題。 涉及計算機網(wǎng)絡(luò)的術(shù)語和定義請參見《中國石油局域網(wǎng)標準》。 數(shù)據(jù)和電子文檔安全管理規(guī)范 V 部門績效績效監(jiān)控分析報告大客戶中心經(jīng)理績效合同專職行為規(guī)范工作周報企業(yè)管理部績效管理人力資源管理能 力訪談問卷例會會議紀要業(yè)務(wù)流程優(yōu)化咨詢項目工作績效監(jiān)控分析報告供應(yīng)鏈管理工資核算流程 目 錄 第 1 章 數(shù)據(jù)和電子文檔安全管理概述 ..................................................................... 7 概述 ........................................................................... 7 目標 ........................................................................... 7 規(guī)范的適用范圍 ................................................................. 7 規(guī)范引用的文件或標準 ........................................................... 8 術(shù)語和定義 ..................................................................... 9 第 2 章 電子文檔安全管理 規(guī)范 ..............................................................................11 電子文檔主要安全問題 .......................................................... 11 未經(jīng)授權(quán)的訪問則 .......................................................................................................................................11 人員的惡意攻擊 ...........................................................................................................................................11 授權(quán)用戶的不當操作 ...................................................................................................................................11 電子文檔的分散存儲 .................................................................................................................................. 12 外部因素的影響 .......................................................................................................................................... 12 電子文檔安全管理規(guī)范 .......................................................... 13 電子文檔的建立管理 .................................................................................................................................. 13 電子文檔的更改管理 ...............................................................................