中国石化信息安全政策

中石化全套内部控制系统制度__信息管理系统文件一、宗旨
中石化内部控制系统制度（以下简称“中石化系统”）旨在建立一套有效的、规范的信息管理机制，保证信息的有效期和安全性，实现公司战略目标并保障有助于维护财务秩序的实施措施。

二、管理内容
中石化系统的管理内容包括：
1、信息的获取、标识、整理和发布等；
2、信息流程的建立和维护；
3、信息资源的统一管理；
4、信息系统的建立、维护和改进；
5、信息安全的管理；
6、信息认证、审计、考核等。

三、管理原则
1.遵循法律法规：中石化系统坚持遵循国家有关信息管理的法律、法规和规章制度。

2.增强信息安全：中石化系统强调加强信息安全管理，采取各种信息安全技术和技术管理措施，建立安全的信息流程和安全的信息系统。

3.改进信息质量：中石化系统追求信息质量的完善和提高，落实及时性、准确性和完整性等信息质量要求，加强信息系统的维护和管理。

4.保护信息使用合法：中石化系统确定信息使用的范围和用途，并严格监督使用行为，确保信息使用的合法性和真实可靠性。

四、管理机构
中石化系统的管理机构由总部信息安全办公室负责。

近年来，国家对石化企业信息化建设提出了一系列政策文件，以推动石化行业的数字化转型和升级。

这些政策文件包括了关于信息化建设的指导意见、支持政策和具体实施方案，为石化企业提供了指导和支持。

下面从政策文件中提炼出几点主要内容，以便了解国家在石化企业信息化方面的政策导向。

1. 制定信息化发展规划国家鼓励石化企业制定信息化发展规划，明确信息化的发展方向、目标和路径，确保信息化建设与企业发展战略相一致。

这些规划要求综合考虑企业的生产经营特点、行业发展趋势和技术创新需求，为企业信息化建设提供了指导和保障。

2. 支持信息化投入国家鼓励石化企业增加对信息化建设的投入，提供税收减免、财政补贴和信贷支持等政策措施，降低企业信息化建设的成本压力。

鼓励企业加大自主研发和技术创新力度，提高信息化建设的质量和效益。

3. 加强信息安全保障国家要求石化企业加强信息安全管理，建立健全信息安全保障体系，防范和应对信息安全风险。

政府部门将加大对信息安全技术和管理规范的支持力度，帮助企业加强信息安全意识和能力。

4. 推动产业协同发展国家鼓励石化企业加强与信息技术企业和科研机构的合作，推动信息技术与石化产业的深度融合，促进产业协同发展。

政府将加大对信息技术企业和科研机构的支持力度，促进技术创新和成果转化。

5. 完善信息化管理体系国家要求石化企业建立健全信息化管理体系，加强对信息化建设、运维和应用的规范和监督。

政府将加大对信息化管理体系建设的支持力度，促进企业信息化管理水平的提升。

国家对石化企业信息化建设的政策文件体现了政府对信息化发展的重视和支持。

石化企业应当认真贯彻落实这些政策文件，加强信息化建设，提高数据和信息的管理和运用水平，为行业的持续发展和创新提供坚实的信息化支撑。

6. 优化信息化基础设施政府要求石化企业优化信息化基础设施，加强对网络、数据库、服务器等基础设施的建设和管理，提高信息系统的稳定性和安全性。

政府将加大对信息化基础设施建设的资金支持力度，促进企业信息化基础设施水平的提升。

本文由CAPFyn贡献doc文档可能在WAP端浏览体验不佳。

建议您优先选择TXT，或下载源文件到本机查看。

中国石化网络安全设备管理规范网络安全设备管理规范管理V 1.12007 年 5 月 16 日- 1 -目1 2 3 4录目的…… - 4 目的范围…… - 4 范围术语…… - 4 术语管理员职责…… - 4 4.14.2 系统管理员职责……- 4 信息安全管理员职责……- 5 -5管理员账号和权限管理…… - 5 5.1 5.2 5.3 5.4 管理员账号……- 5 系统管理员权限……- 5 信息安全管理员权限……- 6 管理员身份鉴别……- 6 -6策略和部署管理…… - 6 6.1 6.2 制定安全策略……- 6 安全设备统一部署……- 6 -6.2.1 6.2.2 6.2.37 7.1 7.2 7.3 7.4 7.5 7.6 7.7 8 8.1 8.2 8.3 8.4 8.5 8.6 8.7 9 9.1 9.2 9.3安全网关类设备部署…… - 6 入侵检测类设备部署…… - 7 漏洞扫描设备部署……- 7 -配置和变更管理…… - 7 配置和变更授权……- 7 防火墙设备配置……- 7 VPN 设备配置……- 8 代理服务器设备配置……- 8 IP 加密机设备配置……- 9 入侵检测设备配置……- 9 漏洞扫描设备配置……- 9 运行维护管理…… - 10 安全设备的检测和维护…… - 10 安全设备的监视和记录…… - 10 安全设备配置备份和恢复…… - 10 安全设备的审计…… - 10 安全事件处理和报告…… - 11 漏洞扫描设备的专项要求…… - 11 安全设备的维修…… - 11 安全数据管理…… - 12 安全设备的数据…… - 12 检测获得数据的管理…… - 12 审计获得数据的管理…… - 12 -- 2 -9.4 9.5 10 11配置数据管理…… - 12 存储空间管理…… - 12 设备选型管理…… - 13 附则…… - 13 -- 3 -1 目的中国石化信息系统已覆盖全国范围的下属企业，成为中国石化系统生产、经营和管理提供信息化手段的根本，网络安全设备是保障中国石化信息系统安全运行的基础。

中国石油炼化企业工业控制系统信息安全等级保护及定级指导意见各炼化企业:为了加强工业控制系统的信息安全管理，提升系统的安全防护水平，满足系统定级的要求，根据国家相关法律、规定和标准，制定本指导意见。

一、基本要求1．本指导意见适用于中国石油炼化企业新建、改扩建及在役的工业控制系统；2．工业控制系统实行全寿命周期管理，安全防护设施建设应坚持同时设计、同时施工和同时投用的原则。

3．企业应定期开展工业控制系统网络安全风险评估，制定可行的安全防护策略，总结防护经验，完善防护措施，提升防御水平，及时定级，及时向政府有关部门备案。

4．企业应有专门的机构负责工业控制系统的安全防护工作，制定安全方针，明确职责，落实系统安全升级等技术方案，部署系统的安全防护措施二、原则依据《中华人民共和国网络安全法》“第二十一条国家实行网络安全等级保护制度。

网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。

”公安部《信息安全等级保护管理办法》第六条“国家信息安全等级保护坚持自主定级、自主保护的原则。

”工业和信息化部《工业控制系统信息安全防护指南》工信部信软〔2016〕338号文件等相关法律、规定和标准。

三、信息系统的安全定级第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

如何构建石化行业信息化的安全防护体系石化行业的信息化发展已经成为当前的重要趋势之一。

然而，在信息化建设过程中，信息安全问题也日益凸显。

为了确保石化企业信息系统的安全，构建一个可靠的信息化安全防护体系是至关重要的。

本文将探讨如何构建石化行业信息化的安全防护体系。

一、加强网络安全防护1.建立安全意识教育培训机制在构建信息化安全防护体系的过程中，首先要加强石化企业员工的安全意识教育培训，提高员工安全意识和应对能力。

通过开展定期的安全培训、组织模拟演练等活动，增强员工的信息安全意识，使其了解安全威胁和风险，掌握安全防护的基本知识和技能。

2.建立完善的安全策略和规范石化企业应制定并执行一套完备的网络安全策略和规范，包括网络访问控制、用户权限管理、密码强度要求、系统补丁更新等方面。

同时，加强对网络设备和系统的定期检查和维护，确保安全设备和软件的及时更新和升级，防止安全漏洞的出现。

3.加强安全审计和监控构建信息化安全防护体系的关键是加强对网络系统和设备的安全审计和监控。

通过对网络流量、日志等进行实时监控和分析，及时发现和处理异常行为和安全事件，阻止未经授权的访问和攻击行为。

同时，建立安全报警机制，加强对安全事件的响应和处理能力。

二、加强数据安全保护1.加强数据分类和分级保护石化企业的数据具有较高的敏感性和保密性，需要根据数据的重要性和保密级别进行分类和分级保护。

制定相应的数据保密政策和措施，明确数据访问权限和使用规范，采取合适的技术手段进行数据加密和防泄密控制，确保数据在传输和存储过程中的安全性。

2.建立数据备份和恢复机制为了防止数据丢失和遭到恶意破坏，石化企业应建立健全的数据备份和恢复机制。

定期对关键数据进行备份，并将备份数据存储在安全可靠的地方，确保在数据损坏或丢失时能够及时恢复。

同时，进行数据恢复演练，提高数据恢复的效率和准确性。

三、加强系统安全防御1.建立安全访问控制机制为了保护石化企业信息系统的安全，需要建立严格的安全访问控制机制。

实施ERP是一场管理理念的革命，中国石化狠抓以ERP为主线的信息化建设，把它当成提高中国石化整体竞争力的重要战略举措。

目前，中国石化已建成ERP系统的11家企业应用效果表明：实施ERP对于推进体制改革、优化业务流程、强化成本控制、规范经营行为、堵塞管理漏洞、提高管理水平，提高经济效益等有着积极的推动作用。

迎接挑战主动出击企业实施ERP，是提升管理能力、增强竞争力的必要手段，是一条现实可行的途径。

ERP的成功建设可以大幅度改进企业的经营管理，实现企业管理的突破，成为建设现代化企业制度的重要内容，给企业带来巨大效益。

中国加入WTO之后，中国石油石化企业面临前所未有的发展机遇。

随着政府长期对石油石化企业销售保护时代的结束、竞争对手越发强大、客户消费市场不断成熟，中国石化股份公司为了建设具有国际竞争力的知名公司，规范管理与全球化经济接轨，提升企业管理水平，促进企业稳健经营，增强企业竞争能力，做出了规划实施ERP系统的重大决策。

实施ERP是一项关系到中国石化企业全局的战略决策，对中国石化应对中国加入WTO后的严峻考验和挑战具有重要意义。

中国石化于2000年初开始制定中国石化ERP总体规划，2001年1月，中国石化党组正式批准了《中国石化ERP系统总体规划》，并明确提出先行试点，再进行推广，努力构架从上到下、集成一体化的中国石化ERP系统的推进策略，这标志着中国石化从此跨上了以实施ERP为主线、以信息化带动工业化的新台阶。

五个统一逐步推进《中国石化ERP系统总体规划》确定了“国际水准、中国国情、石化特色”的建设思路；明确了“三年建成框架，五年基本建成”的建设目标；制定了“统一规划、统一标准、统一投资、统一建设、统一管理”的“五统一”建设原则。

中国石化自正式启动ERP项目建设以来，大致经历了试点、试点加推广和全面推广三个阶段，即：炼油、化纤和销售企业的试点阶段；油田、管道储运、炼化一体化企业试点及部分炼油、销售企业推广同时开展的试点加推广阶段；油田、炼油、化工和销售四大业务板块企业的全面推广阶段。

编订：__________________单位：__________________时间：__________________中国石化桌面系统安全管理规范(正式)Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level.Word格式 / 完整 / 可编辑文件编号：KG-AO-5570-49 中国石化桌面系统安全管理规范(正式)使用备注：本文档可用在日常工作场景，通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范，从而使得组织内人员按照既定标准、规范的要求进行操作，使日常工作或活动达到预期的水平。

下载后就可自由编辑。

1 目的为保证中国石化桌面系统的安全、稳定、可靠运行，减少或降低因病毒、蠕虫、黑客等因素对桌面系统产生的破坏，特制定本安全管理规范。

2 范围本规范适用范围为中国石化所有桌面系统。

3 术语桌面工程师：是指提供桌面系统检测、维修、故障处理等服务的工程技术人员。

4 安全要求第一条公司所有桌面系统必须安装正版软件，不得私自安装盗版软件；第二条公司所有桌面系统的命名应符合公司的计算机命名规范；第三条公司所有桌面系统的用户密码设置必须符合公司密码规范的要求；第四条公司所有桌面系统必须设置屏幕保护程序密码；第五条公司所有桌面系统应加入公司的域管理模式，正确使用公司的各项资源。

第六条公司所有桌面系统应正确安装防病毒系统，必须及时更新病毒特征库和进行定期的病毒扫描（一周一次）；第七条公司所有桌面系统应及时安装和升级系统及应用软件补丁，并与公司发布的安全补丁保持一致。

第八条公司所有桌面系统不得私自装配并使用可读写光驱、磁带机、磁光盘机和USB硬盘等外置存储设备。