QSY 1223.1-2009 信息系统总体控制规范 第1部分 实施

QSY 1223.1-2009 信息系统总体控制规范 第1部分 实施 Q/SY 1223《信息系统总体控制规范》分2个部分： ——第 1 部分：实施；——第 2 部分：测试。 本部分为Q/SY 1223 的第1 部分。 本标准的附录A、附录B、附录C、附录D、附录E、附录F为规范性附录。 本标准由中国石油天然气集团公司信息管理部提出。 本标准由中国石油天然气集团公司信息技术专业标准化技术委员会归口。 范围 Q/SY 1223的本部分依据信息系统总体控制要求而制定，用以指导日常信息项目管理、建设和运维. 本部分中的中国石油天然气集团公司（以下简称集团公司）信息资产主要包括机房、网络、服务器、存储、信息系统、数据库、操作系统及相关数据等。 2基本内容 信息系统总体控制规范实施涉及的内容包括：控制环境、信息安全、项目建设管理、系统变更管理、系统运行维护、最终用户操作等。 2.1 控制环境 包括信息系统总体控制环境、信息与沟通、风险评估、监控等。 2.2 信息安全 包括信息安全管理组织、逻辑安全、物理安全、网络安全、计算机病毒防护、第三方安全管理、信息安全事件响应等.2.3 项目建设管理 包括项目建设方法论、项目立项审批、商业软件、硬件的外购、项目启动、项目需求分析、项目设计、系统开发实施、系统测试、数据移植、系统上线、项目验收、用户培训和上线后评估等。 2.4 系统变更管理 包括变更管理、日常变更流程、紧急变更流程等。 2.5 系统运行维护 包括机房环境控制、系统日常运作监控、批处理作业调度管理、备份与恢复、问题管理等。 2.6 最终用户操作 包括最终用户计算机操作安全制度、电子表格管理等。 3控制环境 3.1 信息系统总体控制环境 3.1.1 信息技术总体规划： a）集团公司信息化工作主管部门负责制定中国石油信息技术项目规划，报经上级主管委员会审批通过后下发执行 b）信息技术项目规划包括信息技术项目建设的规划、基础设施建设的规划以及信息队伍与制度体系建设等方面内容. c）集团公司信息化工作主管部门定期（至少每年度）组织相关业务部门对中国石油信息技术项目规划的执行情况及其对公司业务的适应性进行审阅。如果执行情况与规划偏离，或规划内容和公司业务实际情况不再适应，集团公司信息化工作主管部门随之调整规划以适应公司业务发展需要，调整后的规划报经上级主管委员会批准后下发执行。 上述各项工作的文档记录均应归档。 3.1.2 信息技术组织机构及岗位设置。 3.1.2.1集团公司信息化工作主管部门负责指导和监督各控股公司、全资公司、直属企事业单位的信息技术工作，建立纵向汇报、沟通、监控机制。具体为： a）各级信息化工作管理部门每年向上级主管部门进行年度工作汇报。 b）集团公司信息化工作主管部门不定期对各级信息化工作管理部门的工作情况进行检查，形成相关文档，如会议纪要或者工作检查报告等，并负责相关文档的归档。 3.1.2.2 各级信息化工作管理部门的岗位设置遵循职责分离的原则，要求：a）监督者独立于执行者。 b）操作者和授权者分离。 c）应用系统管理员 和数据库管理员分离。 d）程序开发人员无生产环境的访问权限。 3.1.2.3 各级信息化工作管理部门在重要工作岗位上可设置两名以上员工互为备份，并加强备份岗位人员的交叉培训. 3.1.2.4 各级信息化工作管理部门负责制定信息技术培训计划，并组织实施，同时负责完成培训计划和所有培训相关文件的归档工作。 3.2 信息与沟通 3.2.1信息分类：各级信息化工作管理部门对所属单位使用的信息资产建立清单、进行分级，明确各信息资产的相关责任人，具体包括：a）建立“信息资产清单”（见表 A.1）. b）明确信息资产责任人，由其负责信息资产的日常管理。 e）根据信息资产的变动情况，更新“信息资产清单”。 3.2.2 信息沟通. a）各级信息化工作管理部门负责本单位的信息系统总体控制相关政策和制度的宣贯工作。 b）各级信息化工作管理部门定期评估信息系统总体控制相关政策和制度在本单位的执行情况对于所发现的问题分析其原因，制定相应的补救措施，并向上级信息化工作主管都门汇报。 e）各级信息化工作管理部门负责会议纪要、培训记录等相关文档的归档工作。 3.3 风险评估 3.3.1 集团公司信息化工作主管部门对主要信息技术风险进行评估： b）制定相应的风险防范措施. a）分析主要信息技术威胁的影响程度和发生概率。 3.3.2 当组织机构、环境发生变动或发生重大的信息技术应用时，集团公司信息化工作主管部门对变动情况进行风险评估，必要时调整相关风险防范措施. 3.3.3 集团公司信息化工作主管部门每年度负责审核信息技术风险评估结果。 3.4 监控 3.41 各级信息化工作管理部门按照信息系统总体控制相关政策和制度的要求进行日常检查与监控. 确保信息系统总体控制体系的有效运行。