海油信息安全管理计划详细说明.doc

/*1 目的 规范计算机及计算机网络信息安全管理，提高信息安全保障能力和水平，维护国家及企业安全。 2 适用范围 公司机关及所属单位。 3 编制依据 3.1 信息安全管理办法(IT-01-07，2011，中国海油)3.2 信息系统安全等级保护管理细则(IT-01-07-02，2011，中国海油)3.3 计算机信息网络安全规范(Q/HS 5000-2009，中国海油)3.4 信息安全管理办法(AM-01-08，2015，公司)3.5 信息系统安全等级保护工作实施细则(AM-01-08-01，2015，公司)4 职责4.1 行政管理部 督促、检查、指导公司及所属单位计算机网络信息运营的安全工作。4.2 公司机关部门及所属单位 履行计算机网络信息安全的义务和责任。 5 工作内容与要求5.1 安全防范5.1.1 基本要求5.1.1.1 各单位应按信息系统安全保护级别对信息系统采取安全防范措施，并确保安全防范工作的有效落实。5.1.1.2 IT支持服务中心应采取必要措施，提高网络的整体防护能力。5.1.1.3 各信息系统的数据、信息传输都应采用加密传输。5.1.1.4 各业务责任单位应制定其信息系统备份策略和灾备策略。5.1.1.5 IT支持服务中心应提供备份和灾备的相应资源、服务，定期备份数据、进行恢复测试并做好记录。5.1.1.6 各单位应对本单位信息系统的信息进行审查、检查和复查，确保信息的合法性、合规性。5.1.1.7 员工对所使用的终端、网络设施及其中的信息安全、账号安全、账号权限内的信息安全和上网行为负责，员工终端中严禁存储涉密(此处涉密系指涉及国家秘密，下同)信息，终端中的商密文件不可设置为共享，工作邮箱电子邮件的收发要进行病毒查杀。5.1.1.8 员工发现异常或发现其他人员非法使用计算机时，有及时向所属单位或公司报告的责任。5.1.1.9 各单位要对移动存储介质进行登记、编号，移动存储介质要经IT支持服务中心检测合格、注册后入网使用。5.1.1.10 涉及国家或企业秘密信息的存储、传输等应指定专人负责，并严格执行国家、中国海油及公司有关保密的法律、法规和相关管理规定。5.1.1.11 涉密信息未经批准，不得在网络上发布或通过明码（明文）传输。5.1.2 信息加密管理5.1.2.1 涉及国家秘密的信息，其电子文档资料须加密存储。5.1.2.2 涉及国家和公司利益的敏感信息的电子文档资料应当加密存储。5.1.2.3 涉及国家秘密、国家与公司利益和社会安定的秘密信息和敏感信息，在传输过程中应遵守国家的有关规定，视情况采用文件加密传输或链路传输加密。5.1.2.4 适度采用先进的加密解密技术对公司其他电子文档和数据进行加密管理。5.1.3 用户账号(ID)管理5.1.3.1 信息系统管理系统中或运维支持体系中应包括账号管理流程。5.1.3.2 信息系统用户要严格管理账号，不得把自己账号外借他人使用、不得在电脑、屏幕和办公桌上贴条暴露账号信息，禁止索要、盗取、使用、传播任何未经授权使用的账号。5.1.3.3 加强对离职员工的账号管理，各单位在员工离职时应办理注销其账号。5.1.4 用户权限管理5.1.4.1 信息系统权限设计要符合安全管理要求，实现最小权限和权限互斥原则。5.1.4.2 信息系统的用户权限要严格对应用户工作职责，权限申请和变更应按流程办理审批手续。5.1.5 禁止活动5.1.5.1 涉密计算机必须与互联网物理隔离，禁止把涉密计算机直接或间接连入公司局域网络和互联网，禁止在互联网计算机中存储或处理涉密信息。5.1.5.2 禁止利用信息网络系统制作、传播、复制有害信息。5.1.5.3 禁止非法违规入侵计算机和信息系统，禁止未经授权对信息网络系统中存储、处理或传输的信息进行增加、修改、复制和删除等。5.1.5.4 禁止未经允许使用他人在信息网络系统中未公开的信息。5.1.5.5 禁止未经授权查阅他人邮件和盗用他人名义发送电子邮件。5.1.5.6 禁止未经允许在互联网公共邮箱、即时通讯工具、云盘、网盘或免费空间上处理、存储、传输公司业务和信息。5.1.5.7 禁止故意干扰网络的畅通运行。5.1.5.8 禁止其他危害公司信息网络系统安全的活动。5.2 员工信息系统使用5.2.1 员工信息系统是指员工利用公司内部计算机技术对业务和信息进行集成处理的程序、数据、文档以及计算机终端、各种存储设备等公司重要资源的总称，每个员工应该安全、可靠、有效地使用员工信息系统并保证数据的完整性和准确性。5.2.2 员工在使用员工信息系统时应具备安全意识、保密意识和合规使用信息系统意识，应确保：a) 设备安全；b) 信息安全；c) 信息系统安全。5.2.3 在使用员工信息系统前，员工应签署信息系统使用安全保密协议。5.2.4 员工有保护办公计算机和设备物理安全的责任和义务，并按规定正确放置、保管、使用和归还员工信息系统，具体要求如下：a) 妥善保存可移动设备，不得存放涉密信息；b) 使用便携式计算机的员工，应当保管好计算机，防止遗窃；c) 避免环境对计算机设备的损害，比如食物、烟火、液体、极高和极低湿度、极高和极低温度等；d) 禁止安装、使用未经授权的非公司标准软件和硬件；e) 信息技术支持部门负责设备的安装、拆卸、更改和迁移，员工不得自行进行以上操作；f) 员工应当认真保管公司分配的电子设备，未妥善保管而致丢失或损害的，应赔偿。5.2.5 员工在使用公司提供的互联网和员工信息系统时，应注意合法、安全和保密，具体要求如下：a) 员工根据公司有关规定申请互联网和员工信息系统的使用权；b) 不得通过员工信息系统和互联网从事非法的、不道德的、损害公司利益的活动；c) 对通过员工信息系统和互联网接收的可执行文件进行病毒扫描检查；d) 禁止员工随意改动计算机网络参数配置；e) 禁止企业网内的计算机通过MODEM拨号、私自搭建无线网络等未经审批同意的方式联通到互联网；f) 员工因工作需要使用公司电子邮件系统对200人以上群发邮件的，需经各单位信息化主管领导批准并报公司行政管理部备案；g) 员工须以本人的真实身份和口令使用公司的信息系统，禁止以他人名义滥发邮件或盗用他人账号；口令必须定期更改并具有一定的复杂性，口令规则应满足：1) 密码长度为至少8位；2) 密码组成方式不能包含用户的账户名，不能包含用户姓名中超过两个连续字符的部分；3) 必须包含以下四类中的三类字符：英文大写字母（A-Z）、英文小写字母（a-z）、10个基本数字（0-9）、非字母字符（例如!、$、#、%）。示例：合格的密码：PaSs1234或p!ss1234或Pass!$#%不合格的密码：Cnooc或cnooPASS或PASS1234h) 不得在信息系统上进行工作以外的活动；i) 涉及公司秘密的信息，须遵守公司的保密规定，严禁在互联网上披露涉及国家和公司秘密的信息。5.2.6 员工有防范病毒和恶意软件方面的责任和义务，具体要求如下：a) 员工应定期查看计算机是否更新了病毒数据代码，若防病毒软件工作异常，病毒特征库过旧（更新时间为两周前）等，应当及时通知计算机维护人员；b) 控制来源不明的介质、不确定来源下载的软件或文档、不确定的邮件和超级链接等；c) 严禁员工以任何方式卸载防病毒软件、停止防病毒服务和更改防病毒软件配置；d) 员工发现计算机感染病毒时应当立刻关闭计算机，并报告1331服务热线或本单位的技术支持部门；e) 员工在向信息系统上传数据前要做好查毒、杀毒工作，确保信息文件无毒上传；f) 移动办公计算机，应当定期接入公司企业网更新病毒库和查杀病毒；g) 外来移动存储介质应检查病毒、杀毒、检测并注册后，方可使用。5.2.7 员工应采取有效访问控制措施，以确保访问安全，具体要求如下：a) 员工应明确和采取措施，保护办公计算机不受非法进入；b) 员工有合法使用和保护各类系统密码的权利和义务；c) 应妥善保管计算机设备账号和密码；d) 必须设置屏保及密码，屏保等待时间小于15分钟，并在离开计算机时注销登录、启动屏保；e) 不能使用容易被人破解的密码；f) 应定期更改密码；g) 不得向其他人公开密码，在别人有可能已经获知密码时，须立刻更改密码，不得将密码记录在容易获得的地方；h) 不得索要、盗取、使用、传播他人的任何账号和密码。5.2.8 员工在使用信息系统时应确保信息安全，具体要求如下：a) 员工不得通过互联网传递属于国家和公司保密规定范围内的任何信息；b) 员工应对终端内公司业务文件数据的完整和安全负责，包括保护公司的信息和软件；c) 公司商秘数据不得保留在私人计算机中；d) 应定期备份工作计算机终端数据；e) 需使用移动存储介质向有关机关、单位提供信息时，应由该信息的负责人审批；须一事一盘，严禁提供与该项工作无关的其他涉密信息，传递时应检查；f) 员工在离开原工作岗位时，需将计算机、移动存储及业务文件数据完整地交回所属单位；g) 员工未经授权，不得将获取的信息数据与软件扩散至第三方，因此而引起的法律纠纷应由扩散人员负责；h) 敏感、重要信息不得遗留在打印设施，例如复印机、打印机和传真机等；i) 便携式计算机在接入国际互联网时，不得连接任何涉密移动存储介质,不得访问涉密信息；j) 使用可移动办公工具的员工，有义务保证公司业务数据的安全性和机密性，不得泄漏公司信息，不得处理涉密信息，不得使用未取得中国国家合法入网许可的移动办公工具，并应自觉遵守公司制度，安装正版软件、公司统一的防护软件并及时升级，其移动办公工具应设置开机口令和屏幕保护口令，口令规则应满足5.2.5款g)项所规定的要求；k) 计算机终端和移动办公工具需要外部人员维修时，应采取有效防护措施防止泄密或泄露公司信息。5.2.9 员工必须遵守国家关于知识产权保护的法律法规，安装新的软件需经信息技术部门登记、检查和授权，包括公司拥有所有权的、公司已经购买版权的、或者是员工或供应商使用公司资源开发的所有软件。5.2.10 员工应正确使用移动邮件和远程访问。具体要求如下：a) 应当妥善保管可访问公司邮件的移动设备；b) 应当设置一定复杂程度的开机密码；c) 丢失可访问公司邮件的移动设备的，应及时报告技术支持部门；d) 除获得授权的远程漫游账户员工外，公司员工只能在公司内通过局域网访问公司网络资源，严禁以其它方式访问；e) 远程漫游账户员工应遵守公司的相关制度，并采取以下措施以保证其计算机访问公司网络的安全：1) 仅通过信息技术部门提供的加密漫游账户接入公司网络；2) 安装并启用公司规定的防病毒软件，并保证及时更新；3) 安装并启用公司规定的防火墙软件；4) 保管好计算机、密码。5.2.11 应当加强对第三方人员使用本公司信息系统的管理，具体要求如下：a) 严格控制第三方人员在公司内使用计算机和网络；b) 第三方人员必须签订保密协议，限制必要的访问权限（如公司内部网络访问权限、VPN访问权限等），规定使用期限，明确公司内责任人；c) 第三方人员使用本公司信息系统时，应遵守本规定。5.3 对外网站安全管理5.3.1 对外网站信息系统管理员应当严格按照制度规定实施管理，负责网站防病毒、防黑客攻击及为网站的运行提供技术支持与保障。 5.3.2 对外网站信息系统管理员须及时向对外网站负责人报告网站信息安全事件及处理情况。5.3.3 对外网站负责人须及时向公司保密办公室报告网站发生的重大安全事件，包括但不限于：a) 对外网站被黑客攻击；b) 对外网站出现违法、不良信息；c) 对外网站意外关闭3天以上；d) 安全事件造成5万元以上经济损失；e) 对外网站负责人认为需上报的其他安全事件。5.3.4 IT支持服务中心应于每季度安全评估公司对外网站，并向网站管理单位提出网站安全评估报告及加固建议。5.3.5 收到网站安全评估报告及加固建议后2周内，对外网站管理单位应完成网站加固工作，并向公司保密办公室提交对外网站加固工作报告。5.4 系统安全补丁管理 5.4.1 信息系统管理员负责跟进各产品的安全漏洞信息和产品厂商发布的安全补丁信息。5.4.2 安全补丁根据其对应漏洞的严重程度分为三个级别：a) 紧急安全补丁：如果系统漏洞被利用，将对资产造成重大或完全损害，须在15天内完成安装；b) 重要安全补丁：如果系统漏洞被利用，将对资产造成一般损害，须在1个月内完成安装c) 一般安全补丁：如果系统漏洞被利用，将对资产造成较小或可忽略损害，须在6个月内完成安装。 5.4.3 信息系统管理员须从正式渠道获取安全补丁，正式渠道包括中国海油信息技术中心发布、提供的安全补丁和产品厂商提供的安全补丁，不包括从网站下载的安全补丁。 5.4.4 信息系统管理员应制定安全补丁的检验、测试、安装以及系统测试、功能检查的方案并报系统责任人审核、批准。5.4.5 信息系统管理员负责安全补丁的完整性校验，确保获取的安全补丁可用且未被修改。 5.4.6 重要系统的安全补丁安装前须通过严格的模拟环境测试或现网测试：模拟环境需与现网环境尽可能一致，并考虑差异性带来的风险；条件允许的情况下（如有测试环境或备机）可实施现网测试。5.4.7 重要系统的安全补丁测试内容包括安全补丁安装测试、安全补丁功能性测试、安全补丁兼容性测试和安全补丁回退测试：a) 安装测试主要测试安全补丁安装过程是否正确无误，安全补丁安装后系统是否正常启动；b) 安全补丁功能性测试主要测试安全补丁是否修补了安全漏洞；c) 安全补丁兼容性测试主要测试安全补丁安装后是否对应用系统带来影响，是否可正常运行。d) 安全补丁回退测试主要包括安全补丁卸载测试、系统还原测试。5.4.8 系统管理员负责实施重要系统安全补丁测试工作，测试完成后需给出明确的书面测试结论。 5.4.9 经测试并经系统责任人测试并审核通过的安全补丁方可安装到生产系统。 5.4.10 从安全漏洞发布到安全补丁安装前，信息系统管理员应视需要采取应急措施加强网络安全，各相关信息系统应根据建议采取适当的防护措施，并加强对系统的监控，及时发现和报告安全事件。 5.4.11 安全补丁安装前，应做好数据备份，确保任何操作都可回退，在到达回退时间安全补丁安装没有完成时，启动回退操作，保证系统正常运行。5.4.12 安全补丁应在信息系统业务空闲时间安装。5.4.13 安装核心信息系统的安全补丁，应当要求厂商工程师现场支持。5.4.14 安全补丁安装完成后，信息系统管理员须查看系统信息，确保安全补丁已成功安装。 5.4.15 信息系统管理员须严格测试安装安全补丁后的系统，包括：安全补丁安装后系统的性能，各项业务操作是否正常。5.4.16 安全补丁安装后1周内，信息系统管理员应密切监控系统性能和事件。5.4.17 信息系统管理员应记录系统所安装的安全补丁，对不能安装安全补丁的系统应给予说明。5.4.18 公司和公司各单位应定期审核补丁管理的执行情况，审核内容包括补丁安装情况、补丁版本信息的准确性和相关文档的质量。5.4.19 IT支持服务中心审核人员应定期通过安全漏洞扫描和现场人工抽查检查安全补丁管理情况。5.4.20 流程图和内控活动列表 依据本章节内容制定的系统安全补丁管理流程图见附件7.1、系统安全补丁管理流程内控活动列表见附件7.2。5.5 信息系统建设安全管理5.5.1 信息系统建设规划中应包括安全规划，安全规划主要内容应包括信息安全保障系统技术框架总体规划、安全管理体系规划、网络安全体系规划、安全基础设施应用系统安全规划、实施计划及投资估算。5.5.2 立项单位应从业务角度明确提出信息系统的安全需求，包括但不限于：业务连续性、可用性、机密性、完整性、合规性、业务操作记录、身份抗抵赖等。5.5.3 立项单位和建设单位根据业务需求从信息技术角度明确提出信息系统的安全需求，包括但不限于：数据安全、应用安全、主机安全、网络安全、物理环境、日志记录等。5.5.4 立项单位和建设单位应根据等级保护要求，进行系统等级保护的自定级工作，定级工作需要符合如下要求：a) 明确信息系统的边界和安全保护等级； b) 以书面的形式明确信息系统为某个安全保护等级的方法和理由；c) 定级结果应报公司行政管理部并应由中国海油信息化部批准；d) 组织相关部门和有关安全技术专家论证、审定信息系统定级结果的合理性和正确性。5.5.5 立项单位和建设单位应根据信息系统业务和技术方面的安全需求，制定可以满足信息系统安全需求、符合等级保护要求的信息系统安全设计子方案，内容包括但不限于：a) 按子系统描述系统的安全体系结构；b) 描述每一个子系统所提供的安全功能；c) 标识所要求的任何基础性的硬件、固件或软件，及其支持性保护机制提供的功能表示；d) 描述子系统所有接口的用途与使用方法，并适当提供影响、例外情况和错误消息的细节；e) 确保子系统（包括但不限于：外购系统以及自主开发系统）的安全功能指标满足系统安全需求及等级保护要求。5.5.6 立项单位和建设单位应根据系统的安全保护等级选择基本安全措施，并依据风险分析的结果补充和调整安全措施。5.5.7 立项单位和建设单位应根据信息系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案，形成配套文件。5.5.8 立项单位和建设单位应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定，且经过信息安全负责人批准后，方可正式实施。5.5.9 立项单位和建设单位应根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。5.5.10 立项单位和建设单位应指定或授权专门的部门或人员负责管理工程实施过程，应按照信息系统安全设计方案要求，实施信息系统。5.5.11 立项单位和建设单位应制定工程实施方面的管理制度，明确说明实施过程的控制方法和人员行为准则。5.5.12 信息系统建设涉及程序开发的，应当进行源代码安全测试，代码安全应遵照中国海油代码编写安全管理细则执行。5.5.13 在信息系统实施完成后，立项单位和建设单位应申请对信息系统的安全测试和测评，提交信息系统安全整改报告。5.5.14 测试和测评内容应包括：a) 信息系统渗透性测试；b) 信息系统技术风险评估，包括：脆弱性检查、资产分析、威胁分析、综合赋值等，其中脆弱性检查又分为：漏洞检查及配置核查；c) 信息系统管理风险评估；d) 信息系统合规性评估。5.5.15 在测试和测评验收前，立项单位和建设单位应根据设计方案或合同要求等制定测试和测评验收方案，在测试和测评验收过程中应详细记录测试和测评验收结果，并形成验收报告。5.5.16 立项单位和建设单位应书面规定系统测试和测评验收的控制方法和人员行为准则，应指定或授权专门的机构负责系统测试和测评验收的管理，并按照管理规定的要求完成系统测试和测评验收工作，应组织相关部门和相关人员审定系统测试和测评验收报告，并签字确认。5.5.17 在信息系统安全测试和测评报告经信息安全负责人审批同意后，信息系统方可上线试运行，并在验收后正式投入使用。5.5.18 信息系统业务单位和使用单位应按系统安全保护级别开展运维工作，在系统应用过程中要加强日常信息安全管理，并对管理和技术层面上存在的不足，加以持续改进。5.5.19 应在信息系统后评价阶段，对系统运维、项目实施过程或项目管理中涉及的安全管理情况进行评估和检查。5.5.20 信息系统停用下线后，由信息系统变更申请单位联系IT支持服务中心对硬件资产进行评估，如无继续使用价值，则对硬件资产实施安全处理后进行报废，信息系统全生命周期中涉及的电子文档资料和系统中保存的数据资产按照公司电子文件管理细则进行处理。5.5.21 信息系统等级保护管理遵照信息系统安全等级保护工作实施细则（AM-01-08-02）执行。5.5.22 流程图和内控活动列表依据本章节内容制定的信息系统安全测试的流程图见附件7.3、信息系统安全测试的内控活动列表见附件7.4。5.6 备份和灾备管理5.6.1 公司统一指导、组织信息系统备份及灾备中心的管理。5.6.2 IT支持服务中心应建立信息系统备份系统、灾备中心、管理细则和流程(包括灾难备份恢复应急预案及演练计划)，确保信息系统安全备份、灾备、运维和演练。5.6.3 IT支持服务中心应每半年开展备份系统、灾备中心演练和评估、验证数据可用性，根据演练、评估和验证情况，对应急预案和计划进行修订。5.6.4 IT支持服务中心应记录灾备中心的运行情况，每季度向公司提交运行情况报告。5.7 执行要求5.7.1 各单位应制定信息系统安全管理细则或流程，内容应包括安全管理策略、工作内容、责任和应急预案。5.7.2 各单位应加强对信息系统开发过程的信息安全管理，确保信息系统及其开发过程的安全性，应建立开发过程的安全控制措施,内容应包括：a) 应在信息系统开发项目的可行性研究分析中包括信息安全方面的内容；b) 应在信息系统需求分析中包括安全分析；c) 应在信息系统设计过程中，设计确保业务安全的安全技术方案；d) 应在信息系统开发实施过程中遵循最小权限原则，明确各岗位人员在开发过程中的职责和访问权限；e) 信息系统的开发环境应相对独立，开发环境和现场应与运行环境相分离，并实行值班登记制度；f) 应在信息系统测试过程中进行安全功能和机制的测试；g) 信息系统移植至生产环境之前，应制定、检查信息系统安全控制措施和应急预案，并进行用户接受性测试；h) 系统检查验收的文档资料中应包括与安全相关的各类内容或文档。5.7.3 应在信息系统使用过程中进行安全监控和保护，内容包括：a) 信息系统安装之前测试其安全性和可靠性，信息系统安装过程中应防范对信息系统知识产权的非法侵害（如被非法拷贝或使用盗版）；b) 信息系统日常使用过程中应遵循安全等级制度（包括认证、授权、加密、加固、防恶意代码和日志审计等）的各项基本要求，并应遵循职责分离的要求；c) 应指派专人对信息系统进行日常备份、维护和技术支持，信息系统更新换代时应妥善处置原有信息系统。5.7.4 在公司硬件、软件采购过程中应使用适当的安全控制手段，内容包括：a) 在购买之前，应对业务需求中的安全内容进行分析，确定安全要求；b) 在采购招标中，应明确安全特性、销售许可证和安全资质的要求；c) 在采购完成后，应遵循第三方合作及外包安全管理要求签订安全协议。5.7.5 各单位应建立相关报告制度，将具体安全管理责任落实到人，及时处理本单位范围内出现的各种安全问题。5.7.6 各单位应记录信息系统安全管理、安全测评、系安全事件调查与处理，并接受公司信息安全检查。5.7.7 每一项与信息系统安全有关的活动，都应有两人或多人在场，负责的安全活动范围包括：a) 访问控制使用证件的发放与回收；b) 信息处理系统使用的媒介发放与回收；c) 处理保密信息；d) 硬件和软件的维护；e) 系统软件的设计、实现和修改；f) 重要程序和数据的删除和销毁等。5.7.8 下面每组内的两项信息系统维护管理工作应当尽可能分开，进行必要的职责分离：a) 系统管理与计算机编程；b) 机密资料的接收和传送；c) 安全管理和系统管理；d) 访问证件的管理与其它工作；e) 数据库管理和应用程序管理。5.7.9 各单位负责信息系统安全管理的部门应根据管理原则和该系统处理数据的保密性或主要程度，制订相应的管理制度或采用相应的规范。具体工作是：a) 根据工作的重要程度，确定该系统的安全等级；b) 根据确定的安全等级，确定安全管理的范围；c) 制订相应的机房出入管理制度；d) 对于安全等级要求较高的系统，要实行分区控制，限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记系统，采用磁卡、身份卡等手段，对人员进行识别、登记和管理；e) 制订严格的操作规程；f) 操作规程要根据职责明确和多人负责的原则，各负其责，不能超越自己的管辖范围，对工作调动和离职人员要及时调整相应的授权；g) 制订完备的系统维护制度；h) 对系统进行维护时，应采取数据保护措施，如数据备份等。维护时要首先经系统管理责任单位的批准，并有安全管理人员在场，故障的原因、维护内容和维护前后的情况要详细记录；i) 建立信息系统应急响应组织，定义组织角色和职责。建立信息系统应急响应流程，定义响应的每个阶段和内容，使损失减至最小。5.7.10 IT支持服务中心应加强移动办公系统和移动办公工具的安全防护，确保员工的移动办公工具在使用公司移动应用系统时与公司网络互联、数据传输和终端应用及数据的安全。5.8 应急响应5.8.1 当网络和信息系统的生产系统出现停止服务、关键功能大面积失效或全局性重要业务无法运行的紧急事件时，公司启动应急响应，解决和排除故障，恢复生产系统的正常运行。5.8.2 公司信息化领导小组是紧急事件应急指挥小组，负责： a）统一指挥紧急事件应急处理； b）协调相关资源处理紧急事件； c）决定是否启动备份系统； d）决定是否及如何通报紧急事件； f）建议各使用单位启动紧急预案。5.8.3 应急办公室设在行政管理部，负责协助应急指挥小组处理紧急事件。5.8.4 紧急事件应急响应支持分为一级支持、二级支持和1331服务台。5.8.4.1 一级支持由使用单位关键用户及相关人员组成，对本单位用户提供本地技术支持；一级支持就紧急事件进行解决与恢复操作，通过1331服务台上报二级支持。5.8.4.2 二级支持由IT支持服务中心支持人员组成，对各单位提供支持；二级支持负责：a）紧急事件判断；b）就紧急事件进行解决与恢复操作；c）与外部支持沟通，寻求相关支持；d）形成应急处理报告。5.8.4.3 1331服务台处理客户请求，记录紧急事件，派发或转发工单。5.8.5 紧急事件应急处理范围5.8.5.1 由于软件产品存在缺陷或使用过程中出现的失误，导致关键功能大面积失效或全局性重要业务无法运行。5.8.5.2 除5.8.5.1款原因之外的其他故障导致系统停止服务，或导致关键功能大面积失效、全局性重要业务无法运行。5.8.6 紧急事件应急处理内容5.8.6.1 明确故障范围，确定故障原因和排除故障，减少对业务的影响。5.8.6.2 向领导汇报系统紧急事件状态及处理情况。5.8.6.3 向各使用单位通报紧急事件处理进度。5.8.6.4 紧急事件须根据规定的流程，在ITSM系统中准确、完整的完成事件的记录、处理和分析总结。5.8.6.5 须对应急处理进行回顾和分析，并提出预防措施和建议。5.8.6.6 必要情况下请求启动灾备。5.8.7 紧急事件的上报5.8.7.1 一级支持人员不能及时解决的事件，应及时通过1331服务台将事件升级上报至二级支持。5.8.7.2 二级支持人员对上报的事件进行初步评估，判断紧急事件性质和影响，协调资源，确定问题范围，采取应对措施，并将情况通报应急办公室。5.8.7.3 二级支持不能及时解决的事件，应将情况和拟采取的应对措施上报至应急指挥小组。5.8.8 紧急事件的处理5.8.8.1 应急指挥小组协调应急处理人员解决问题，应急处理人员及时排除故障，详细记录问题解决过程、操作步骤。5.8.8.2 应急办公室向使用单位反馈系统紧急事件处理情况。 5.8.8.3 应急指挥小组参考使用单位的实际情况，建议使用单位启动应急预案，使用单位反馈应急预案执行情况。5.8.8.4 经过应急指挥小组的综合判断后，确定短时间内无法恢复系统至正常运行状态时，由应急指挥小组决定是否启动灾备系统。5.8.8.5 处理人员在处理过程中保留紧急事件处理过程记录，对事件原因和解决方案进行分析、总结，完善预防性措施，形成应急处理报告；在处理完成后，将紧急事件处理过程记录及应急处理报告，交付应急办公室。5.8.9 流程图和内控活动列表依据本章节内容制定的应急响应流程图见附件7.5、应急响应的内控活动列表见附件7.6。5.9 信息安全事件调查与处理5.9.1 各单位应加强信息安全宣传和教育，员工入网使用网络信息资源前，应签署保密协议(见信息安全管理办法(AM-01-08，2015，公司)附件9.1)。5.9.2 各单位在接到信息系统安全事件调查的通知后，要立即采取行动保护现场，获取相关证据。5.9.3 各单位应在日常工作中进行信息系统日志检查，及时发现安全问题，并做好备份和归档工作（包括但不限于操作系统日志、应用日志、数据库日志等），将日志管理情况写入信息系统安全管理报告。5.9.4 各单位应在信息系统安全事件调查时，提供相应的日志数据。5.9.5 各级别日志归档周期是：a) 安全等保级别为一级的信息系统的日志归档周期为半年；b) 安全等保级别为二级的信息系统的归档周期为每季度；c) 安全等保级别为三级的信息系统的日志检查和归档周期为每个月；d) 重要科研信息系统、科研专网或物理隔离网的日志归档周期为每个月。5.9.6 公司根据各单位和系统的重要性抽查日志和日志归档，检查周期是：a) 每半年检查安全等保级别为一级的信息系统；b) 每季度检查安全等保级别为二级及其以上级别的信息系统；c) 每月检查重要办公和科研信息系统、科研专网或物理隔离网。5.9.7 各单位每个月都应对信息系统进行日志检查，并在系统运行报告和信息系统安全管理报告详细描述日志检查结果。5.9.8 公司根据信息安全事件的危害程度，确定调查方式和处理方式。5.9.9 对于危害国家或社会的信息安全事件，公司将成立专门的工作组进行调查。5.9.10 员工违反管理规定的，公司按照员工管理权限，依据公司员工违纪处理规定（2015版）予以处理，若其行为违反国家法律和法规，应承担相应法律责任。5.10 其他要求5.10.1 各单位应在每季度向公司报送信息系统安全管理报告，报送时间为每季度最后一个月月底28日之前，重要信息安全事件随时报告。5.10.2 IT支持服务中心填报其负责运维信息系统的信息系统安全管理报告。5.10.3 各单位填报其独立使用和自行运维信息系统的信息系统安全管理报告。5.10.4 本细则的账号管理要求、权限管理要求和口令规则同样适用于工业控制系统。5.10.5 其它未尽事宜，遵守中国海油信息安全相关制度、规范和标准的要求。6 附则 6.1 已运行的信息系统自本细则施行之日起180日内确定信息系统的安全保护等级；新建信息系统在设计、规划阶段确定安全保护等级。6.2 本细则所称“以上”包含本数（级）。6.3 本细则自发布之日起施行，信息系统安全管理规定（COSL/IT-P-04-2011）、员工计算机使用规定（COSL/IT-P-10-2011）和员工信息安全手册（COSL/IT-P-11-2011）同时废止。6.4 本细则由行政管理部解释。7 附件7.1 系统安全补丁管理流程7.2 系统安全补丁管理流程内控活动列表7.3 信息系统安全测试流程7.4 信息系统安全测试内控活动列表7.5 应急响应流程7.6 应急响应内控活动列表