【導讀】中國石油需要建立統(tǒng)一的信息安全管理政策和標準，并在集團內統(tǒng)一推廣、實施。油自身的應用特點，制定的適合于中國石油信息安全的標準與規(guī)范。冊的部分，共有13本《規(guī)范》和1本《通用標準》。7個《標準》的組合也依據(jù)了信息安全生命周期的理論模型。每個《標準》都會對所有的《規(guī)。我們在行文上將這7個標準組合成一本《通用安全管理標準》單獨成冊。購過程中相關安全上的考慮，為信息安全總體框架中以深色底色標注的部分。驟上各個重要環(huán)節(jié)安全上的相關控制和規(guī)范要求。本規(guī)范由中國石油天然氣股份有限公司發(fā)布。集團公司指中國石油天然氣集團公司有時也稱“存續(xù)公司”。公司和集團公司下屬單位，擔提及“存續(xù)部分”時指集團公司下屬的單位。部，不是利用專線，這樣的單位和所使用的遠程信道不屬于中國石油專用網(wǎng)主干網(wǎng)組成部分。地區(qū)網(wǎng)地區(qū)公司網(wǎng)絡和所屬單位網(wǎng)絡的總和。局域網(wǎng)和園區(qū)網(wǎng)與廣域網(wǎng)不同，廣域網(wǎng)不僅覆蓋范圍廣，所利用的設備、

　　

【正文】 包括任何產(chǎn)品說明書中沒有提供的功能和方法，包括但不限于惡意代碼、后門、禁門等 ____________________________________________ ____________________________________________ ____________________________________________ ? 遞交的軟件產(chǎn)品不會干擾和越過系統(tǒng)的安全軟件 軟件列表 ，軟件只對請求有效性進行檢查并只根據(jù)安全軟件的要求采取相應的安全措施。該處理對所有用戶有效，除非下列情況： 商業(yè)軟件購買管理規(guī)范 35 ____________________________________________ ____________________________________________ ____________________________________________ d) 版權和專利問題 ??版權和專利問題也應在合同中得到體現(xiàn)。 合同的其他規(guī)范 a) 對于大型商業(yè)軟件的采購，應建立專門的安全控制和評審小組以更好的控制商業(yè)軟件購買過程中的安全，該小組的主要目的是： ? 采購方和供應方 信息交流 ? 安全需求分析 ? 確認新的威脅和弱點 ? 確定對系統(tǒng)安全有影響的變更 ? 安全問題策略建議 ? 當需要在安全問題和功能需求做出平衡的時候，給出適當?shù)囊庖? b) 應在合同中定義清楚安全控制小組的組成、職責和功能。 例如： ? 安全控制小組由中國石油 人員 和供 應商 人員 共同構成，主要負責軟件的安全問題，其中包括匯報軟件的安全問題、并提出軟件安全建議。 ? 安全控制小組需要在 地址 安排 會議 ，并記錄會議內容，會議記錄需要提交給中國石油相關負責人。會議需要在 合同生效以及后續(xù) xx天 期間定期舉行。 c) 合同還需要規(guī)定在合同結束的時候，怎樣確保在供應商電腦系統(tǒng)中的中國石油的所有信息的歸還和銷毀（并且在銷毀之前需要保證這些信息已經(jīng)在中國石油的系統(tǒng)中備份），例如可以包括如下的條款： ? 供應商保證所有履行合約需要的中國石油專有的數(shù)據(jù)和信息必須在合同結束之后歸還給中國石油，并保 證不在供應商系統(tǒng)中保留任何相關信息，如果無法馬上消除所有信息，供36 商業(yè)軟件購買管理規(guī)范 應商保證這些信息在銷毀以前不會泄露給第三方也不會用于任何未經(jīng)中國石油同意的用途，并按如下的進度銷毀資料（插入進度）。 d) 合同還應規(guī)定，在合同期間供應商使用的中國石油專有的軟件和硬件設備在合同結束以后也需按議定流程歸還給中國石油，并保證恢復所有設備的初始狀態(tài)。由于涉及問題的復雜性，無法給出各種場合下的條款內容，例如： ? 所有的軟件配置需要回到原來的狀態(tài) e) 合同還應規(guī)定供應商在合同期間所使用的中國石油系統(tǒng)帳戶在合同結束以后必須歸還給中國石油，以防止意 外情況的出現(xiàn)。 合同的條款可以類似： ? 在合同完成和終止以后，供應商需要提供用戶狀態(tài)列表，提供在后續(xù)階段需要訪問中國石油資源的用戶列表以及對應的權限列表。當供應商的員工不再因該合同需要訪問中國石油的資源的時候（離職或者合同結束），供應商需要在 時間 內通知中國石油相關方面。當供應商的職員離開公司和合同規(guī)定的項目時，供應商應提前 時間 通知中國石油，如果是突發(fā)的離職事件則供應商應在第一時間通知中國石油。 f) 合同應規(guī)定員工離職或者離開項目時候的工作移交問題，以保證合同的正常持續(xù)履行。 合同條款可以類似： ? 當供應商員工 離開項目，供應商項目經(jīng)理必須保證該員工所有相關工作的及時移交，并刪除所有必要的文件，并確保在 時間內 通知中國石油。 特殊合同要求 某些招標書中內容（主要是權利、責任和賠償方面的約定）和信息安全休戚相關，但是不包括在供應商相關的應標文件中，并在合同期限內有效。因此這些條款最好在合同的特殊條款中說明，例如保密協(xié)定。中國石油采購負責人需要和供應商的相關方面協(xié)商這些條款的具體內容。 供應商應對所有在合同期間中國石油提供的信息簽署保密條款，類似： ? 所有 中國石油提供的 列出所有類型 l列表中的信息不管以何種方式提供， 供應商應保證僅用于合同履行過程并保證不向任何的第三方以任何形式泄露。 ? 所有 類型列表 的信息必須由接受方在整個擁有過程中妥善保存。該原則同樣適用于上述信息產(chǎn)生的輸出信息 。 ? 如果由于項目的需要，必須對外發(fā)布 信息類型列表 中的信息，則必須向中國石油相關方面提出書面的申請。 商業(yè)軟件購買管理規(guī)范 37 采購軟件的安全性文檔 軟件的安全性文檔為中國石油的用戶理解和使用軟件的安全特征提供了幫助。 并且安全性文檔同時也說明了該軟件的安全性是否達到了中國石油的要求?？梢詫踩晕臋n分為交付文檔和應標書文檔。在應標書中的安全性文檔主要表明了供應商 對中國石油安全需要的理解，可以將其用于供應商的評估。而測試報告、使用文檔則表明了系統(tǒng)的安全需求是否已經(jīng)得到了滿足。不同種類的安全性文檔的內容是不一樣的。以下分別列出了不同文檔類型下需要包含的安全內容。 應標書文檔 a) 應標方的安全策略 —— 中國石油購買的所有商業(yè)軟件都必須在應標書中闡明供應商的安全策略，該策略的內容主要包括：該產(chǎn)品在安全上如何達到中國石油的要求。 對于無需定制購得即可用得產(chǎn)品，供應商需要提供其產(chǎn)品的安全特性和中國石油的安全需求之間的對應關系，并提供保證。 b) 供應商的內部安全策略和規(guī)劃 —— 根據(jù)情況，中國 石油可以要求供應商提供其公司內部包括適用的信息安全策略、人員策略和物理安全策略等情況在內的安全策略和規(guī)劃，以確保所購買軟件的安全。 包括產(chǎn)品文檔在內的交付文檔 a) 安全功能用戶手冊 —— 該手冊需要提供購買軟件的安全機制、以及如何使用這些安全機制等情況。對于購得的軟件必須確保具有這部分文檔。 b) 系統(tǒng)管理手冊 —— 在系統(tǒng)管理手冊中，必須說明： ? 如何檢查和維護系統(tǒng)的安全功能特征 ? 管理員如何使用和管理系統(tǒng)的安全功能 ? 管理員怎樣保護系統(tǒng)自身的安全 38 商業(yè)軟件購買管理規(guī)范 ? 管理員應如何應對安全相關的事件 c) 測試文檔 —— 購得軟件在測試環(huán)境中的測試結果， 包括對安全體系的測試結果。 d) 設計文檔 —— 在某些特定情況下，中國石油可以要求供應商提供文檔說明其設計和實現(xiàn)的安全體系。 軟件實施和驗收 合同履行 在合同履行過程中應有 IT 安全專家參與監(jiān)理合同的履行情況，檢查采購軟件安裝、測試和試運行過程中的安全問題。 履約情況監(jiān)管 決策部門應制定計劃檢查合同的執(zhí)行情況，確保安全性沒有降級，確保系統(tǒng)已經(jīng)考慮到最新的威脅和系統(tǒng)弱點并采取了恰當?shù)姆婪洞胧? 檢查和驗收 驗收意味著中國石油接受采購的軟件并同意支付相關款項。 因此在驗收的時候中國石油必須非常謹慎 ，需要由中國石油的專家 或者中國石油聘請的第三方機構對軟件進行驗收，確認其是否達到要求的標準，包括安全標準。 人員和安全相關培訓 人員安全 a) 為保證購買軟件的安全，必須考慮對入駐中國石油進行安全配置和二次開發(fā)的人員進行審查。 購買的軟件不同、使用的場合不同、系統(tǒng)本身的風險性不同對于人員信息的要求也不同。一般而言，要求做到： ? 確定相關人員需要訪問的信息類型 ? 規(guī)定每一類信息類型的審查標準 商業(yè)軟件購買管理規(guī)范 39 ? 必要的時候在系統(tǒng)權限授予相關人員之前復審 ?? 明確相關人員審查責任 ?? 確定待審人員信息和提交時間 ? 審查結果匯報 b) 原則上中國石油 禁止 在軟件購買過程中使用臨時工 安裝和配置系統(tǒng)。 人員培訓 在合同中應包括安全相關的培訓方面的要求，包括培訓時間、培訓內容、培訓對象等。 條款可以類似： ? 供應商最低限度必須保證從事該項目的雙方員工都經(jīng)過適當?shù)呐嘤?，包?IT安全方面的培訓，并且向中國石油相關方面在 日期 之前提供關于員工培訓的證明 原有軟件系統(tǒng)的處置 商業(yè)軟件采購周期的最后階段是合同結束處理。由于采購新軟件后可能會使原有的系統(tǒng)作廢，因此在該過程中必須十分注意保護中國石油原有的信息資產(chǎn)。應注意以下三個方面： 信息歸檔 原有系統(tǒng)廢止以前，需要對原有系統(tǒng)的信息進行必要的歸檔， 以備使用，歸檔時必須考慮使用比較先進的技術，避免將來的兼容性問題，同時還需要根據(jù)法律的要求保留足夠的年限。 介質清理 在購進新軟件以后，如果不再需要原有系統(tǒng)的硬件，則需要對原有系統(tǒng)的硬件做介質清理，包括數(shù)據(jù)刪除、系統(tǒng)刪除等，在該過程中必須保證徹底清除原有硬件設備上的系統(tǒng)。 40 商業(yè)軟件購買管理規(guī)范 原有軟硬件處理 在處理原有的軟件時必須保證在原有合約的授權范圍內進行（如不得將廢止軟件贈與第三方），對于非常敏感的信息和信息載體可予以物理毀滅。 商業(yè)軟件購買管理規(guī)范 41 附附 錄錄 1 參參 考考 文文 獻獻 【國家法律】 《中華人民共和國國家安全法》 《中華人民共和國計算機信息系統(tǒng)安 全保護條例》 《中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定》 《 中華人民共和國保守國家秘密法 》 《 中華人民共和國國家安全法 》 【國家規(guī)定】 《維護互聯(lián)網(wǎng)安全的決定》 中華人民共和國計算機信息系統(tǒng)安全保護條例 中國信息安全產(chǎn)品測評認證用標準目錄（一） 軍用計算機安全評估準則 GJB225595 國土資源部信息網(wǎng)絡安全管理規(guī)定 安全策略分析報告 _樣例 淺談金融計算機信息系統(tǒng)安全管理 電子計算機機房施工及驗收規(guī)范 sj 電子計算機機房設計規(guī)范 GB501741993 網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定 計算機信息系統(tǒng) 國際聯(lián)網(wǎng)保密管理規(guī)定 計算機信息系統(tǒng)安全專用產(chǎn)品分類原則 (GA1631997) 計算機信息系統(tǒng)安全產(chǎn)品部件 (安全功能檢測 GA21611999) 計算機信息系統(tǒng)安全保護等級劃分準則 GB 178591999 計算機信息系統(tǒng)安全等級保護操作系統(tǒng)技術要求 (GAT3882020) 計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理系統(tǒng)技術要求 (GAT3892020) 計算機信息系統(tǒng)安全等級保護管理要求 (GAT3912020) 計算機信息系統(tǒng)安全等級保護網(wǎng)絡技術要求 (GAT3872020) 計算機信息系統(tǒng)安全等級保護 通用技術要求 (GAT3902020) 計算機軟件保護條例 42 商業(yè)軟件購買管理規(guī)范 計算站場地安全要 GB9361_1988 計算站場地技術條件 gb28871989 field 銀行卡聯(lián)網(wǎng)聯(lián)合安全規(guī)范 【國家防火規(guī)范標準】 建筑內部裝修設計防火規(guī)范 建筑物防雷設計規(guī)范 建筑設計防火規(guī)范 .doc 火災自動報警系統(tǒng)設計規(guī)范 高層民用建筑設計防火規(guī)范 【國 外相關 標準】 RFC 2196 BS 7799 (UK) IT Baseline Protection Manual (Germany) OECD Guidelines ISO 15408 (Common Criteria) Rainbow Series (Orange Book) (US) Information Technology Security Evaluation Criteria (ITSEC) (UK) System Security Engineering Capability Maturity Model (SSECMM) Development ISO 11131 (Banking and Related Financial Services。 Signon Authentication) ISO 13569 (Banking and Related Financial Services Information Security Guidelines) 商業(yè)軟件購買管理規(guī)范 43 附附 錄錄 2 本本 規(guī)規(guī) 范范 用用 詞詞 說說 明明 一、 為便于在執(zhí)行本規(guī)范條文時區(qū)別對待，對要求嚴格程度不同的用詞說明如下： 1. 表示很嚴格，非這樣做不可的： 正面詞采用 “ 必須 ” ； 反面詞采用 “ 嚴禁 ” ； 2. 表示嚴格，在 正常情況下均應這樣做的： 正面詞采用 “ 應 ” ； 反 面詞采用 “ 不應 ” 或 “ 不得 ” 。 3. 表示允許稍有選擇，在條件許可時首先應這樣做的： 正面詞采用 “ 宜 ” 或 “ 可 ” ；反面詞采用 “ 不宜 ” 。 二、 條文中指定應按其它有關標準、規(guī)范執(zhí)行時，寫法為 “ 應符合 ?? 的規(guī)定 ” 或 “ 應按 ?? 要求（或規(guī)定）執(zhí)行 ” 。