【正文】 大客戶合同大客戶服務(wù)中心行為規(guī)范考核表行為規(guī)范表格績(jī)效監(jiān)控分析報(bào)告工作分析要求人力資源部薪酬管理內(nèi)審高層訪談 部門績(jī)效績(jī)效監(jiān)控分析報(bào)告大客戶中心經(jīng)理績(jī)效合同專職行為規(guī)范工作周報(bào)企業(yè)管理部績(jī)效管理人力資源管理能 力訪談問卷例會(huì)會(huì)議紀(jì)要業(yè)務(wù)流程優(yōu)化咨詢項(xiàng)目工作績(jī)效監(jiān)控分析報(bào)告供應(yīng)鏈管理工資核算流程 中國(guó)石油信息安全標(biāo)準(zhǔn) 編號(hào)： 中國(guó)石油天然氣股份有限公司 數(shù)據(jù)和電子文檔安全管理規(guī)范 （審閱稿） 版本號(hào)： V3 審閱人：王巍 中國(guó)石油天然股份有限公司 數(shù)據(jù)和電子文檔安全管理規(guī)范 I 部門績(jī)效績(jī)效監(jiān)控分析報(bào)告大客戶中心經(jīng)理績(jī)效合同專職行為規(guī)范工作周報(bào)企業(yè)管理部績(jī)效管理人力資源管理能 力訪談問卷例會(huì)會(huì)議紀(jì)要業(yè)務(wù)流程優(yōu)化咨詢項(xiàng)目工作績(jī)效監(jiān)控分析報(bào)告供應(yīng)鏈管理工資核算流程 前 言 隨著中國(guó)石油天然氣股份有限公司（以下簡(jiǎn)稱“中國(guó)石油”）信息化建設(shè)的穩(wěn)步推進(jìn)，信息安全日益受到中國(guó)石油的廣泛關(guān)注，加強(qiáng)信息安全的管理和制度無疑成為信息化建設(shè)得以順利實(shí)施的重要保障。中國(guó)石油需要建立統(tǒng)一的信息安全管理政策和標(biāo)準(zhǔn)，并在集團(tuán)內(nèi)統(tǒng)一推廣、實(shí)施。 本規(guī)范是依據(jù)中國(guó)石油信息安全的現(xiàn)狀，參照國(guó)際、國(guó)內(nèi) 和行業(yè)相關(guān)技術(shù)標(biāo)準(zhǔn)及規(guī)范，結(jié)合中國(guó)石油自身的應(yīng)用特點(diǎn)，制定的適合于中國(guó)石油信息安全的標(biāo)準(zhǔn)與規(guī)范。目標(biāo)在于通過在中國(guó)石油范圍內(nèi)建立信息安全相關(guān)標(biāo)準(zhǔn)與規(guī)范，提高中國(guó)石油信息安全的技術(shù)和管理能力。 信息技術(shù)安全總體框架如下（ changehighlight the corresponding one）： 《區(qū)域安全管理規(guī)范》《機(jī)房安全管理規(guī)范》《硬件設(shè)備管理規(guī)范》《網(wǎng)絡(luò)安全管理規(guī)范》《通用安全管理標(biāo)準(zhǔn)》《數(shù)據(jù)和文檔安全管理規(guī)范》《應(yīng)用系統(tǒng)使用安全管理標(biāo)準(zhǔn)通則》《應(yīng)用系統(tǒng)開發(fā)安全管理標(biāo)準(zhǔn)通則》《商業(yè)軟件購(gòu)買管理標(biāo)準(zhǔn)》《電子郵件安全管理規(guī)范》《Web系統(tǒng)安全管理規(guī)范》《電子商務(wù)安全規(guī)范》《防御惡意代碼和計(jì)算機(jī)犯罪管理規(guī)范》《信息安全技術(shù)標(biāo)準(zhǔn)》物理環(huán)境安全管理硬件設(shè)備安全管理操作系統(tǒng)安全管理數(shù)據(jù)和文檔安全管理應(yīng)用系統(tǒng)安全管理網(wǎng)絡(luò)安全管理概述通用網(wǎng)絡(luò)安全管理規(guī)范內(nèi)部網(wǎng)絡(luò)安全管理規(guī)范外部網(wǎng)絡(luò)安全管理規(guī)范認(rèn)證管理通用標(biāo)準(zhǔn)通用安全管理標(biāo)準(zhǔn)概述授權(quán)管理通用標(biāo)準(zhǔn)加固管理通用標(biāo)準(zhǔn)加密管理通用標(biāo)準(zhǔn)日志管理通用標(biāo)準(zhǔn)系統(tǒng)登陸管理通用標(biāo)準(zhǔn)《操作系統(tǒng)安全管理規(guī)范》 1） 整體信息技術(shù)安全架構(gòu)從邏輯上共分為 7 個(gè)部分，分別為：物理環(huán)境、硬件設(shè)備、網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)和電子文檔、應(yīng)用系統(tǒng)和通用安全管理標(biāo)準(zhǔn)。圖中帶陰影的方框 中帶書名號(hào)的為單獨(dú)成冊(cè)的部分，共有 13 本《規(guī)范》和 1 本《通用標(biāo)準(zhǔn)》。 2） 對(duì)于 13個(gè) 《規(guī)范》中具有一定共性的內(nèi)容 我們整理出了 7個(gè)《標(biāo)準(zhǔn)》橫向貫穿整個(gè)架構(gòu)，這7個(gè)《標(biāo)準(zhǔn)》的組合也依據(jù)了信息安全生命周期的理論模型。每個(gè)《標(biāo)準(zhǔn)》都會(huì)對(duì)所有的《規(guī)范》中相關(guān)涉及到的內(nèi)容產(chǎn)生指導(dǎo)作用，但每個(gè)《標(biāo)準(zhǔn)》應(yīng)用在不同的《規(guī)范》中又會(huì)有相應(yīng)不同的具體的內(nèi)容。我們?cè)谛形纳蠈⑦@六個(gè)標(biāo)準(zhǔn)組合成一本通用的安全管理標(biāo)準(zhǔn)單獨(dú)成冊(cè)。 3） 全文以信息安全生命周期的方法論作為基本指導(dǎo)，《規(guī)范》和《標(biāo)準(zhǔn)》的內(nèi)容基本都根據(jù)預(yù)防—— 〉保護(hù) —— 〉檢測(cè)跟蹤 —— 〉響 應(yīng)恢復(fù)的理論基礎(chǔ)行文。 II 數(shù)據(jù)和電子文檔安全管理規(guī)范 隨著企業(yè)信息化建設(shè)的不斷深入，企業(yè)對(duì)于各類信息需求也越來越緊迫，同時(shí)，企業(yè)內(nèi)部的各種信息數(shù)據(jù)的重要程度也越來越高。有時(shí)由于企業(yè)信息數(shù)據(jù)的丟失或破壞對(duì)于一個(gè)企業(yè)來說影響程度是無法估計(jì)的，可能會(huì)直接導(dǎo)致一個(gè)企業(yè)的失敗。而保護(hù)企業(yè)信息的最直接最關(guān)鍵的方法就是對(duì)于信息的各種電子化的載體的安全控制，比如電子電子文檔或存儲(chǔ)在數(shù)據(jù)庫(kù)中的數(shù)據(jù)。因此本規(guī)范就是針對(duì)該類數(shù)據(jù)和電子文檔安全上的考慮，在上圖 —— 信息安全總體框架中以深色底色標(biāo)注的部分。 為加強(qiáng)計(jì)算機(jī)系統(tǒng)的信息安全， 1985 年美國(guó)國(guó)防部發(fā)表 了《可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則》（縮寫為TCSEC），它依據(jù)處理的信息等級(jí)采取的相應(yīng)對(duì)策，劃分了 4 類 7 個(gè)安全等級(jí)。依照各類、級(jí)的安全要求從低到高，依次是 D、 C C B B B3 和 A1 級(jí)。在中國(guó)市場(chǎng)上的國(guó)外數(shù)據(jù)庫(kù)安全等級(jí)為 C2級(jí)，國(guó)外更高級(jí)別的數(shù)據(jù)庫(kù)是限制對(duì)中國(guó)出口的（目前通用標(biāo)準(zhǔn) (CC: Common Criteria) 已經(jīng)被國(guó)際標(biāo)準(zhǔn)化組織接受，代替 TCSEC 來評(píng)價(jià)計(jì)算機(jī)的安全等級(jí)，通用標(biāo)準(zhǔn)的 EAL 3 級(jí)大致與 C2 級(jí)的功能相當(dāng)）。 但是中國(guó)目前的大型企業(yè)使用的數(shù)據(jù)庫(kù)系統(tǒng)，包括中國(guó)石油內(nèi)部使用的，大多數(shù) 還是國(guó)外廠商生產(chǎn)的數(shù)據(jù)庫(kù)產(chǎn)品，在無法購(gòu)買到更安全的技術(shù)的情況下，需要通過其他的安全管理措施來加強(qiáng)數(shù)據(jù)庫(kù)的安全特性。 本規(guī)范由中國(guó)石油天然氣股份有限公司發(fā)布。 本規(guī)范由中國(guó)石油天然氣股份有限公司科技與信息管理部歸口管理解釋。 起草部門：中國(guó)石油制定信息安全政策與標(biāo)準(zhǔn)項(xiàng)目組。 數(shù)據(jù)和電子文檔安全管理規(guī)范 III 部門績(jī)效績(jī)效監(jiān)控分析報(bào)告大客戶中心經(jīng)理績(jī)效合同專職行為規(guī)范工作周報(bào)企業(yè)管理部績(jī)效管理人力資源管理能 力訪談問卷例會(huì)會(huì)議紀(jì)要業(yè)務(wù)流程優(yōu)化咨詢項(xiàng)目工作績(jī)效監(jiān)控分析報(bào)告供應(yīng)鏈管理工資核算流程 說 明 在中國(guó)石油信息安全標(biāo)準(zhǔn)中涉及以下概念： 組織機(jī)構(gòu) 中國(guó)石油（ PetroChina） 指中國(guó)石油天然氣股份有限公司有時(shí)也稱“股份公司”。 集團(tuán)公司（ CNPC） 指中國(guó)石油天然氣集團(tuán)公司有時(shí)也稱“存續(xù)公司”。為區(qū)分中 國(guó)石油的地區(qū)公司和集團(tuán)公司下屬單位，但提及“存續(xù)部分”時(shí)指集團(tuán)公司下屬的單位。如：遼河油田分公司存續(xù)部分指集團(tuán)公司下屬的遼河石油管理局。 計(jì)算機(jī)網(wǎng)絡(luò) 中國(guó)石油信息網(wǎng)（ PetroChinaNet） 指中國(guó)石油范圍內(nèi)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。中國(guó)石油信息網(wǎng)是在中國(guó)石油天然氣集團(tuán)公司網(wǎng)絡(luò)的基礎(chǔ)上，進(jìn)行擴(kuò)充與提高所形成的連接中國(guó)石油所屬各個(gè)單位計(jì)算機(jī)局域網(wǎng)和園區(qū)網(wǎng)。 集團(tuán)公司網(wǎng)絡(luò)（ CNPCNet） 指集團(tuán)公司所屬范圍內(nèi)的網(wǎng)絡(luò)。中國(guó)石油的一些地區(qū)公司是和集團(tuán)公司下屬的單位共用一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，當(dāng)提及“存續(xù)公司網(wǎng)絡(luò)”時(shí)，指存 續(xù)公司使用的網(wǎng)絡(luò)部分。 主干網(wǎng) 是從中國(guó)石油總部連接到各個(gè)下屬各地區(qū)公司的網(wǎng)絡(luò)部分，包括中國(guó)石油總部局域網(wǎng)、各個(gè)二級(jí)局域網(wǎng)（或園區(qū)網(wǎng)）和連接這些網(wǎng)絡(luò)的專線遠(yuǎn)程信道。有些單位通過撥號(hào)線路連接到中國(guó)石油總部，不是利用專線，這樣的單位和所使用的遠(yuǎn)程信道不屬于中國(guó)石油專用網(wǎng)主干網(wǎng)組成部分。 地區(qū)網(wǎng) 地區(qū)公司網(wǎng)絡(luò)和所屬單位網(wǎng)絡(luò)的總和。這些局域網(wǎng)或園區(qū)網(wǎng)互相連接所使用的遠(yuǎn)程信道可是專線，也可是撥號(hào)線路。 局域網(wǎng)與園區(qū)網(wǎng) 局域網(wǎng)通常指，在一座建筑中利用局域網(wǎng)技術(shù)和設(shè)備建設(shè)的高速網(wǎng)絡(luò)。園區(qū)網(wǎng)是在一個(gè)園區(qū)（例如研究院園 區(qū)、管理局基地等）內(nèi)多座建筑內(nèi)的多個(gè)局域網(wǎng)，利用高速信道互相連接起來所構(gòu)成的網(wǎng)絡(luò)。園區(qū)網(wǎng)所利用的設(shè)備、運(yùn)行的網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)傳輸速度基本相同于局域網(wǎng)。局域網(wǎng)和園區(qū)網(wǎng)通常都是用戶自己建設(shè)的。局域網(wǎng)和園區(qū)網(wǎng)與廣域網(wǎng)不同，廣域網(wǎng)不僅覆蓋范圍廣，所利用的設(shè)備、運(yùn)行的協(xié)議、傳送速率都與局域網(wǎng)和園區(qū)網(wǎng)不同。傳輸信息的信道通常都是電信部門建設(shè)的。 二級(jí)單位網(wǎng)絡(luò) 指地區(qū)公司下屬單位的網(wǎng)絡(luò)的總和，可能是局域網(wǎng)，也可能是園區(qū)網(wǎng)。 專線與撥號(hào)線路 從連通性劃分的兩大類網(wǎng)絡(luò)遠(yuǎn)程信道。專線，指數(shù)字電路、幀中繼、 DDN 和 ATMIV 數(shù)據(jù)和電子文檔安全管理規(guī)范 等經(jīng)常 保持連通狀態(tài)的信道；撥號(hào)線路，指只在傳送信息時(shí)才建立連接的信道，如電話撥號(hào)線路或 ISDN撥號(hào)線路。這些遠(yuǎn)程信道可能用來連接不同地區(qū)的局域網(wǎng)或園區(qū)網(wǎng)，也可能用于連接單臺(tái)計(jì)算機(jī)。 石油專網(wǎng)與公網(wǎng) 石油專業(yè)電信網(wǎng)和公共電信網(wǎng)的簡(jiǎn)稱。 最后一公里問題 建設(shè)廣域網(wǎng)時(shí)，用戶局域網(wǎng)或園區(qū)網(wǎng)連接附近電信部門信道的最后一段距離的連接問題。這段距離通常小于一公里，但也有大于一公里的情況。為簡(jiǎn)便，同稱為最后一公里問題。 涉及計(jì)算機(jī)網(wǎng)絡(luò)的術(shù)語和定義請(qǐng)參見《中國(guó)石油局域網(wǎng)標(biāo)準(zhǔn)》。 數(shù)據(jù)和電子文檔安全管理規(guī)范 V 部門績(jī)效績(jī)效監(jiān)控分析報(bào)告大客戶中心經(jīng)理績(jī)效合同專職行為規(guī)范工作周報(bào)企業(yè)管理部績(jī)效管理人力資源管理能 力訪談問卷例會(huì)會(huì)議紀(jì)要業(yè)務(wù)流程優(yōu)化咨詢項(xiàng)目工作績(jī)效監(jiān)控分析報(bào)告供應(yīng)鏈管理工資核算流程 目 錄 第 1 章 數(shù)據(jù)和電子文檔安全管理概述 ..................................................................... 7 概述 ........................................................................... 7 目標(biāo) ........................................................................... 7 規(guī)范的適用范圍 ................................................................. 7 規(guī)范引用的文件或標(biāo)準(zhǔn) ........................................................... 8 術(shù)語和定義 ..................................................................... 9 第 2 章 電子文檔安全管理 規(guī)范 ..............................................................................11 電子文檔主要安全問題 .......................................................... 11 未經(jīng)授權(quán)的訪問則 .......................................................................................................................................11 人員的惡意攻擊 ...........................................................................................................................................11 授權(quán)用戶的不當(dāng)操作 ...................................................................................................................................11 電子文檔的分散存儲(chǔ) .................................................................................................................................. 12 外部因素的影響 .......................................................................................................................................... 12 電子文檔安全管理規(guī)范 .......................................................... 13 電子文檔的建立管理 .................................................................................................................................. 13 電子文檔的更改管理 ...............................................................................