文本描述
中国石油信息安全标准
编号:
中国石油天然气股份有限公司
硬件设备安全管理规范
(审阅稿)
版本号:V3
审阅人:王巍
中国石油天然股份有限公司
前言
随着中国石油天然气股份有限公司(以下简称“中国石油”)信息化建设的稳步推进,信息安全日益受到中国石油的广泛关注,加强信息安全的管理和制度无疑成为信息化建设得以顺利实施的重要保障。中国石油需要建立统一的信息安全管理政策和标准,并在集团内统一推广、实施。
本规范是依据中国石油信息安全的现状,参照国际、国内和行业相关技术标准及规范,结合中国石油勘探与生产地区公司、炼油与销售地区公司、化工与销售地区公司、天然气与管道地区公司等四个专业分公司的应用特点,制定的适合于中国石油信息安全的标准与规范。目标在于通过在中国石油范围内建立信息安全相关标准与规范,提高中国石油信息安全的技术和管理能力。
信息技术安全总体框架如下:
整体信息技术安全架构从逻辑上共分为7个部分,分别为:物理环境、硬件设备、网络、操作系统、数据和文档、应用系统和通用安全管理标准。图中带阴影的方框中带书名号的为单独成册的部分,共有13本《规范》和1本《通用标准》。
对于13个《规范》中具有一定共性的内容我们整理出了6个《标准》横向贯穿整个架构,这6个《标准》的组合也依据了信息安全生命周期的理论模型。每个《标准》都会对所有的《规范》中相关涉及到的内容产生指导作用,但每个《标准》应用在不同的《规范》中又会有相应不同的具体的内容。我们在行文上将这六个标准组合成一本通用的安全管理标准单独成册。
全文以信息安全生命周期的方法论作为基本指导,《规范》和《标准》的内容基本都根据认证——〉授权——〉内容安全——〉日志管理的理论基础行文。
本文即为信息安全总体框架中以深色标注的部分:《硬件设备管理规范》,主要规定了各种硬件设备针对安全问题的管理制度。
硬件设备安全管理规范描述了企业内部所有的IT相关的硬件设备的安全规定。该规范保护的对象为企业内部所有的IT相关的硬件设备,包括了台式电脑、服务器、周边设备、存储设备、可携式媒介、移动计算设备(笔记本电脑,Palm)、厂外设备(第三方)等。而对于硬件设备的保护我们主要从防护人对设备的威胁、环境对设备的威胁和设备自身的故障威胁三个方面进行阐述。
本规范由中国石油天然气股份有限公司发布。
本规范由中国石油天然气股份有限公司科技与信息管理部归口管理解释。
起草部门:中国石油制定信息安全政策与标准项目组。