硬件設(shè)備安全管理規(guī)范

1、.：.；中國石油信息平安規(guī)范編號：中國石油天然氣股份硬件設(shè)備平安管理規(guī)范審閱稿版本號：V3審閱人：王巍中國石油天然股份 硬件設(shè)備平安管理規(guī)范 PAGE V前 言隨著中國石油天然氣股份以下簡稱“中國石油信息化建立的穩(wěn)步推進(jìn)，信息平安日益遭到中國石油的廣泛關(guān)注，加強(qiáng)信息平安的管理和制度無疑成為信息化建立得以順利實(shí)施的重要保證。中國石油需求建立一致的信息平安管理政策和規(guī)范，并在集團(tuán)內(nèi)一致推行、實(shí)施。本規(guī)范是根據(jù)中國石油信息平安的現(xiàn)狀，參照國際、國內(nèi)和行業(yè)相關(guān)技術(shù)規(guī)范及規(guī)范，結(jié)合中國石油勘探與消費(fèi)地域公司、煉油與銷售地域公司、化工與銷售地域公司、天然氣與管道地域公司等四個(gè)專業(yè)分公司的運(yùn)用特點(diǎn)，制定的適

2、宜于中國石油信息平安的規(guī)范與規(guī)范。目的在于經(jīng)過在中國石油范圍內(nèi)建立信息平安相關(guān)規(guī)范與規(guī)范，提高中國石油信息平安的技術(shù)和管理才干。信息技術(shù)平安總體框架如下：整體信息技術(shù)平安架構(gòu)從邏輯上共分為7個(gè)部分，分別為：物理環(huán)境、硬件設(shè)備、網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)和文檔、運(yùn)用系統(tǒng)和通用平安管理規(guī)范。圖中帶陰影的方框中帶書名號的為單獨(dú)成冊的部分，共有13本和1本。對于13個(gè)中具有一定共性的內(nèi)容我們整理出了6個(gè)橫向貫穿整個(gè)架構(gòu)，這6個(gè)的組合也根據(jù)了信息平安生命周期的實(shí)際模型。每個(gè)都會對一切的中相關(guān)涉及到的內(nèi)容產(chǎn)生指點(diǎn)作用，但每個(gè)運(yùn)用在不同的中又會有相應(yīng)不同的詳細(xì)的內(nèi)容。我們在行文上將這六個(gè)規(guī)范組合成一本通用的平安管

3、理規(guī)范單獨(dú)成冊。全文以信息平安生命周期的方法論作為根本指點(diǎn)，和的內(nèi)容根本都根據(jù)認(rèn)證授權(quán)內(nèi)容平安日志管理的實(shí)際根底行文。本文即為信息平安總體框架中以深色標(biāo)注的部分：，主要規(guī)定了各種硬件設(shè)備針對平安問題的管理制度。硬件設(shè)備平安管理規(guī)范描畫了企業(yè)內(nèi)部一切的IT相關(guān)的硬件設(shè)備的平安規(guī)定。該規(guī)范維護(hù)的對象為企業(yè)內(nèi)部一切的IT相關(guān)的硬件設(shè)備，包括了臺式電腦、效力器、周邊設(shè)備、存儲設(shè)備、可攜式媒介、挪動(dòng)計(jì)算設(shè)備(筆記本電腦，Palm)、廠外設(shè)備(第三方)等。而對于硬件設(shè)備的維護(hù)我們主要從防護(hù)人對設(shè)備的要挾、環(huán)境對設(shè)備的要挾和設(shè)備本身的缺點(diǎn)要挾三個(gè)方面進(jìn)展論述。本規(guī)范由中國石油天然氣股份發(fā)布。本規(guī)范由中國石油

4、天然氣股份科技與信息管理部歸口管了解釋。起草部門：中國石油制定信息平安政策與規(guī)范工程組。 硬件設(shè)備平安管理規(guī)范說 明在中國石油信息平安規(guī)范中涉及以下概念：組織機(jī)構(gòu)中國石油PetroChina 指中國石油天然氣股份有時(shí)也稱“股份公司。集團(tuán)公司CNPC 指中國石油天然氣集團(tuán)公司有時(shí)也稱“存續(xù)公司。為區(qū)分中國石油的地域公司和集團(tuán)公司下屬單位，擔(dān)提及“存續(xù)部分時(shí)指集團(tuán)公司下屬的單位。如：遼河油田分公司存續(xù)部分指集團(tuán)公司下屬的遼河石油管理局。計(jì)算機(jī)網(wǎng)絡(luò)中國石油信息網(wǎng)PetroChinaNet 指中國石油范圍內(nèi)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。中國石油信息網(wǎng)是在中國石油天然氣集團(tuán)公司網(wǎng)絡(luò)的根底上，進(jìn)展擴(kuò)展與提高所構(gòu)成的銜

5、接中國石油所屬各個(gè)單位計(jì)算機(jī)局域網(wǎng)和園區(qū)網(wǎng)。集團(tuán)公司網(wǎng)絡(luò)CNPCNet 指集團(tuán)公司所屬范圍內(nèi)的網(wǎng)絡(luò)。中國石油的一些地域公司是和集團(tuán)公司下屬的單位共用一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，當(dāng)提及“存續(xù)公司網(wǎng)絡(luò)時(shí)，指存續(xù)公司運(yùn)用的網(wǎng)絡(luò)部分。主干網(wǎng) 是從中國石油總部銜接到各個(gè)下屬各地域公司的網(wǎng)絡(luò)部分，包括中國石油總部局域網(wǎng)、各個(gè)二級局域網(wǎng)或園區(qū)網(wǎng)和銜接這些網(wǎng)絡(luò)的專線遠(yuǎn)程信道。有些單位經(jīng)過撥號線路銜接到中國石油總部，不是利用專線，這樣的單位和所運(yùn)用的遠(yuǎn)程信道不屬于中國石油公用網(wǎng)主干網(wǎng)組成部分。地域網(wǎng) 地域公司網(wǎng)絡(luò)和所屬單位網(wǎng)絡(luò)的總和。這些局域網(wǎng)或園區(qū)網(wǎng)相互銜接所運(yùn)用的遠(yuǎn)程信道可以是專線，也可以是撥號線路。局域網(wǎng)與園區(qū)網(wǎng) 局

6、域網(wǎng)通常指，在一座建筑中利用局域網(wǎng)技術(shù)和設(shè)備建立的高速網(wǎng)絡(luò)。園區(qū)網(wǎng)是在一個(gè)園區(qū)例如大學(xué)校園、管理局基地等內(nèi)多座建筑內(nèi)的多個(gè)局域網(wǎng)，利用高速信道相互銜接起來所構(gòu)成的網(wǎng)絡(luò)。園區(qū)網(wǎng)所利用的設(shè)備、運(yùn)轉(zhuǎn)的網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)傳輸速度根本一樣于局域網(wǎng)。局域網(wǎng)和園區(qū)網(wǎng)通常都是用戶本人建立的。局域網(wǎng)和園區(qū)網(wǎng)與廣域網(wǎng)不同，廣域網(wǎng)不僅覆蓋范圍廣，所利用的設(shè)備、運(yùn)轉(zhuǎn)的協(xié)議、傳送速率都與局域網(wǎng)和園區(qū)網(wǎng)不同。傳輸信息的信道通常都是電信部門建立的。二級單位網(wǎng)絡(luò) 指地域公司下屬單位的網(wǎng)絡(luò)的總和，能夠是局域網(wǎng)，也能夠是園區(qū)網(wǎng)。專線與撥號線路 從連通性劃分的兩大類網(wǎng)絡(luò)遠(yuǎn)程信道。專線，指數(shù)字電路、幀中繼、DDN和ATM等經(jīng)常堅(jiān)持連通形

7、狀的信道；撥號線路，指只在傳送信息時(shí)才建立銜接的信道，如撥號線路或ISDN撥號線路。這些遠(yuǎn)程信道能夠用來銜接不同地域的局域網(wǎng)或園區(qū)網(wǎng)，也能夠用于銜接單臺計(jì)算機(jī)。石油專網(wǎng)與公網(wǎng) 石油專業(yè)電信網(wǎng)和公共電信網(wǎng)的簡稱。最后一公里問題 建立廣域網(wǎng)時(shí)，用戶局域網(wǎng)或園區(qū)網(wǎng)銜接附近電信部門信道的最后一段間隔 的銜接問題。這段間隔 通常小于一公里，但也有大于一公里的情況。為簡便，同稱為最后一公里問題。涉及計(jì)算機(jī)網(wǎng)絡(luò)的術(shù)語和定義請參見。目 錄 TOC o 1-3 h z HYPERLINK l _Toc36358767 1概述 硬件設(shè)備平安管理規(guī)范 PAGE 35概述保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備本身的平安和設(shè)備所在

8、區(qū)域的物理環(huán)境平安是整個(gè)計(jì)算機(jī)信息系統(tǒng)平安的前提和根底。 信息系統(tǒng)所在區(qū)域的物理環(huán)境平安以下簡稱“物理平安是維護(hù)區(qū)域內(nèi)計(jì)算機(jī)相關(guān)設(shè)備以及其它媒介免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及周圍環(huán)境的要素影響。它是對系統(tǒng)所在環(huán)境的平安維護(hù)，同時(shí)，還需求防止對區(qū)域的未經(jīng)授權(quán)的訪問。信息系統(tǒng)的硬件設(shè)備平安主要指：設(shè)備本身的平安問題、如何防止對硬件設(shè)備的未經(jīng)授權(quán)的訪問和未經(jīng)授權(quán)的攜入攜出以及設(shè)備在生命周期的各個(gè)環(huán)節(jié)需求留意的平安事項(xiàng)。目的本規(guī)范的目的為：維護(hù)信息系統(tǒng)根底設(shè)備、設(shè)備、媒介免受非法的實(shí)物訪問、自然災(zāi)禍和環(huán)境的危害。經(jīng)過對設(shè)備從采購到運(yùn)用到維護(hù)直至最后報(bào)廢的全過程進(jìn)展平安相關(guān)的防護(hù)和相應(yīng)的規(guī)范，防止中

9、國石油根底設(shè)備等資產(chǎn)的損壞、喪失、敏感信息的走漏以及商務(wù)活動(dòng)的中斷。從而進(jìn)一步保證中國石油業(yè)務(wù)的繼續(xù)運(yùn)營，維護(hù)中國石油的信息平安。適用范圍本套規(guī)范適用的范圍包括了公司內(nèi)部一切的信息相關(guān)的硬件設(shè)備，包括了臺式電腦、效力器、周邊設(shè)備、存儲設(shè)備、可攜式媒介、挪動(dòng)計(jì)算設(shè)備(筆記本電腦，Palm)、廠外設(shè)備(第三方)等。注：由于網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)線纜設(shè)備相對其他IT設(shè)備由于具有一定的特殊性，因此我們對于這兩種設(shè)備的平安規(guī)范將在中進(jìn)展描畫。規(guī)范援用的文件或規(guī)范以下文件或規(guī)范中的條款經(jīng)過本規(guī)范的援用而成為本規(guī)范的條款。本規(guī)范出版時(shí)，所示版均為有效。一切規(guī)范都會被修訂，運(yùn)用本規(guī)范的各方應(yīng)討論運(yùn)用以下規(guī)范最新版本的

10、能夠性。GAT390-2002 GB50174-93 SJ/T30003-93 GB9361-88 GB2887-2000 GB50052 GA 1631997GA 216.1-1999NIST信息平安系列美國國家規(guī)范技術(shù)院英國國家信息平安規(guī)范BS7799信息平安根底維護(hù)IT Baseline Protection Manual (Germany)BearingPoint Consulting 內(nèi)部信息平安規(guī)范RU Secure平安技術(shù)規(guī)范信息系統(tǒng)平安專家叢書Certificate Information Systems Security Professional術(shù)語和定義關(guān)鍵級設(shè)備 包含了非

11、常重要的的企業(yè)信息資產(chǎn)或企業(yè)信息系統(tǒng)的硬件設(shè)備。該設(shè)備上所承載的信息資產(chǎn)或運(yùn)轉(zhuǎn)的信息系一致旦出現(xiàn)中斷、損壞、喪失或走漏等平安缺點(diǎn)會直接影響影響整個(gè)公司的業(yè)務(wù)運(yùn)作或各個(gè)地域公司的業(yè)務(wù)運(yùn)作，或是會對公司帶來宏大的經(jīng)濟(jì)上或聲譽(yù)上的損失。舉例：備份非常重要研發(fā)數(shù)據(jù)的臺式電腦、公司級Email系統(tǒng)效力器、存放財(cái)務(wù)數(shù)據(jù)的磁帶重要級設(shè)備 包含了比較重要的的企業(yè)信息資產(chǎn)或企業(yè)信息系統(tǒng)的硬件設(shè)備。該設(shè)備上所承載的信息資產(chǎn)或運(yùn)轉(zhuǎn)的信息系一致旦出現(xiàn)中斷、損壞、喪失或走漏等平安缺點(diǎn)會直接影響影響各個(gè)業(yè)務(wù)單元或各個(gè)業(yè)務(wù)部門的業(yè)務(wù)運(yùn)作，或是會對公司帶來明顯的經(jīng)濟(jì)上或聲譽(yù)上的損失。舉例：病毒效力器、部門級運(yùn)用效力器、商業(yè)軟

12、件光盤普通級設(shè)備 包含了普通的企業(yè)信息資產(chǎn)或個(gè)人信息資產(chǎn)的硬件設(shè)備。該設(shè)備上所承載的信息資產(chǎn)或運(yùn)轉(zhuǎn)的信息系一致旦出現(xiàn)中斷、損壞、喪失或走漏等平安缺點(diǎn)會直接影響影響個(gè)人或小范圍群體的業(yè)務(wù)運(yùn)作，或是會對公司帶來較小的經(jīng)濟(jì)上或聲譽(yù)上的損失。舉例：普通用戶臺式電腦、個(gè)人數(shù)據(jù)備份光盤、工程暫時(shí)效力器訪問控制 access control一種平安保證手段，即信息系統(tǒng)的資源只能由被授權(quán)實(shí)體按授權(quán)方式進(jìn)展訪問，防止對資源的未授權(quán)運(yùn)用。審計(jì) audit為了測試出系統(tǒng)的控制能否足夠, 為了保證與已建立的戰(zhàn)略和操作相符合, 為了發(fā)現(xiàn)平安中的破綻, 以及為了建議在控制、戰(zhàn)略中作任何指定的改動(dòng), 而對系統(tǒng)記錄與活動(dòng)進(jìn)展

13、的獨(dú)立察看。 授權(quán)authorization 給予權(quán)益，包括信息資源訪問權(quán)的授予。認(rèn)證 certification a. 驗(yàn)證用戶、設(shè)備和其他實(shí)體的身份； b. 驗(yàn)證數(shù)據(jù)的完好性。隔離 isolation為防止其他用戶或程序的非授權(quán)訪問, 把操作系統(tǒng)、用戶程序、數(shù)據(jù)文件加以彼此獨(dú)立存儲的行為。日志 log一種信息的聚集, 記錄有關(guān)對系統(tǒng)操作和系統(tǒng)運(yùn)轉(zhuǎn)的全部事項(xiàng)，提供了系統(tǒng)的歷史情況。破綻loophole 由軟硬件的設(shè)計(jì)忽略或破綻導(dǎo)致的能避過系統(tǒng)的平安措施的一種錯(cuò)誤。物理平安 physical security 為防備蓄意的和不測的要挾而對資源提供物理維護(hù)所采取的措施。要挾threat 一種潛在

14、的對平安的損害以破壞、走漏、數(shù)據(jù)修正和回絕效力的方式，能夠?qū)ο到y(tǒng)呵斥損害的環(huán)境或潛在事件。(GB9387-95)平安等級 security classification 決議防止數(shù)據(jù)或信息需求的訪問的某種程度的維護(hù)，同時(shí)對該維護(hù)程度給以命名。為表示信息的不同敏感度, 按嚴(yán)密程度不同對信息進(jìn)展層次劃分的組合或集合。敏感信息 sensitive information 由權(quán)威機(jī)構(gòu)確定的必需受維護(hù)的信息，由于該信息的泄露、修正、破壞或喪失都會對人或事產(chǎn)生可預(yù)知的損害。弱點(diǎn)vulnerability 導(dǎo)致破壞系統(tǒng)平安戰(zhàn)略的系統(tǒng)平安規(guī)程、系統(tǒng)設(shè)計(jì)、實(shí)現(xiàn)、內(nèi)部控制等方面的薄弱環(huán)節(jié)，在信息系統(tǒng)中能被要挾利用

15、產(chǎn)生風(fēng)險(xiǎn)。設(shè)備平安分級規(guī)范設(shè)備平安等級區(qū)分表區(qū)域類型定義信息系統(tǒng)/業(yè)務(wù)影響范圍公司經(jīng)濟(jì)上或聲譽(yù)上的損失舉例關(guān)鍵級設(shè)備包含了非常重要的的企業(yè)信息資產(chǎn)或企業(yè)信息系統(tǒng)的硬件設(shè)備整個(gè)公司或各個(gè)地域公司宏大備份非常重要研發(fā)數(shù)據(jù)的臺式電腦、公司級Email系統(tǒng)效力器、存放財(cái)務(wù)數(shù)據(jù)的磁帶重要級設(shè)備包含了比較重要的的企業(yè)信息資產(chǎn)或企業(yè)信息系統(tǒng)的硬件設(shè)備各個(gè)業(yè)務(wù)單元或業(yè)務(wù)部門明顯病毒效力器、部門級運(yùn)用效力器、商業(yè)軟件光盤普通級設(shè)備包含了普通的企業(yè)信息資產(chǎn)或個(gè)人信息資產(chǎn)的硬件設(shè)備個(gè)人或小范圍群體較小普通用戶臺式電腦、個(gè)人數(shù)據(jù)備份光盤、工程暫時(shí)效力器硬件設(shè)備采購平安設(shè)備選購平安選用的信息處置設(shè)備、信息交換傳輸設(shè)備和

16、信息存儲設(shè)備必需經(jīng)過技術(shù)論證，符合國家、行業(yè)相關(guān)規(guī)范的規(guī)定，滿足平安性、可靠性與兼容性要求。關(guān)鍵級和重要級設(shè)備制止采購和運(yùn)用未經(jīng)國家信息平安評測機(jī)構(gòu)認(rèn)可的設(shè)備。新購置的設(shè)備應(yīng)經(jīng)過測試，測試合格后方能投入運(yùn)用。根據(jù)設(shè)備所承載的信息資產(chǎn)的重要性確認(rèn)設(shè)備冗余的等級。制止運(yùn)用未經(jīng)國家密碼管理部門同意和未經(jīng)過國家信息平安質(zhì)量認(rèn)證的密碼設(shè)備。設(shè)備采購招標(biāo)平安對硬件供應(yīng)商的平安要求本節(jié)內(nèi)容主要針對重要級和關(guān)鍵級的硬件設(shè)備硬件設(shè)備供應(yīng)商必需滿足以下要求：未經(jīng)中國石油的書面贊同，不得以任何方式發(fā)布或走漏為中國石油提供或中國石油本人提供的硬件中的額外平安措施。硬件設(shè)備供應(yīng)商必需提供本人設(shè)備、安裝和技術(shù)才干的資質(zhì)證

17、明。假設(shè)供應(yīng)商或中國石油發(fā)生了任何不曾預(yù)料到的要挾或危害，或者任何現(xiàn)存的維護(hù)措施停頓任務(wù)，發(fā)現(xiàn)者必需立刻通知另一方。當(dāng)供應(yīng)商提供效力時(shí)需求用到中國石油的硬件系統(tǒng)，中國石油應(yīng)添加相應(yīng)限制：在任何情況下，供應(yīng)商不得為了合同以外的目的運(yùn)用中國石油的計(jì)算機(jī)或相關(guān)設(shè)備。供應(yīng)商如需運(yùn)用中國石油的硬件系統(tǒng)，必需經(jīng)過適當(dāng)?shù)膶徟鞒?，如先向中國石油提出書面的懇求，明確運(yùn)用的目的和緣由，經(jīng)過相關(guān)平安部門審批經(jīng)過后方可運(yùn)用。根據(jù)供應(yīng)商的詳細(xì)需求授予供應(yīng)商相應(yīng)運(yùn)用的權(quán)限，必需嚴(yán)厲遵照“最小授權(quán)原那么。并明確運(yùn)用時(shí)間、地點(diǎn)、范圍等內(nèi)容。如必要，可簽署相應(yīng)的協(xié)議以確保平安。對于關(guān)鍵級和重要級的硬件設(shè)備應(yīng)要求供應(yīng)商為其硬件

18、設(shè)備提供業(yè)務(wù)延續(xù)性支持方案和應(yīng)急方案。延續(xù)性支持方案必需包含詳細(xì)的措施，用以及時(shí)采取適當(dāng)?shù)男袨榫S護(hù)系統(tǒng)的信息資產(chǎn)免受危害，該方案至少應(yīng)包含：風(fēng)險(xiǎn)評價(jià)業(yè)務(wù)影響評價(jià)確定主要的行動(dòng)或者關(guān)鍵流程、以及需求的任務(wù)量與恢復(fù)時(shí)間等要素確定替代流程確定可以緩解危害的行為延續(xù)性支持方案必需包含詳細(xì)的措施，用以及時(shí)采取適當(dāng)?shù)拇胧┗謴?fù)被修正、破壞或者盜用的參數(shù)、硬件或數(shù)據(jù)。方案中的系統(tǒng)恢復(fù)部分必需至少包含：恢復(fù)的根本戰(zhàn)略根據(jù)硬件組件和子系統(tǒng)的優(yōu)先級確定恢復(fù)流程的規(guī)范進(jìn)展冗余操作時(shí)的測試流程確定應(yīng)急呼應(yīng)的詳細(xì)責(zé)任延續(xù)性支持方案應(yīng)闡明方案的測試方法，并確定進(jìn)展方案測試的時(shí)間安排。至少進(jìn)展年度測試，并且應(yīng)進(jìn)展一些不提早通

19、知的測試。作為應(yīng)標(biāo)書一部分，硬件供應(yīng)商應(yīng)提供應(yīng)急方案的初始方案，來應(yīng)對潛在的要挾以及實(shí)踐發(fā)生的危害。同時(shí)應(yīng)提供對于應(yīng)急方案的測試方案。供應(yīng)商應(yīng)闡明應(yīng)急方案的架構(gòu)、技術(shù)才干和組織在緊急情況下維護(hù)硬件系統(tǒng)的方法。在應(yīng)急方案中應(yīng)闡明中止效力、交換硬件等應(yīng)急措施的詳細(xì)運(yùn)用范圍。應(yīng)急方案中應(yīng)闡明需求外部第三方效力的緊急情況下，如何要求外部的第三方供應(yīng)商提供應(yīng)急效力。供應(yīng)商必需求求其他的必要的第三方供應(yīng)商提供應(yīng)急方案。硬件采購標(biāo)書評價(jià)建立評標(biāo)小組，確立小組的組織原那么，小組成員的角色和職責(zé)。制定評標(biāo)規(guī)劃，主要包括：確立平安評價(jià)在整個(gè)規(guī)范評價(jià)中的位置、作用和權(quán)益.確立平安評價(jià)內(nèi)容，例如要求供應(yīng)商在應(yīng)標(biāo)書中聲

20、明硬件產(chǎn)品平安保證進(jìn)展硬件平安性評價(jià)，在評價(jià)過程中根據(jù)評價(jià)規(guī)劃的內(nèi)容，確定能否需求進(jìn)展硬件平安性測試。根據(jù)系統(tǒng)的不同，可以靈敏掌握能否需求進(jìn)展平安測試、選擇哪種測試方式包括現(xiàn)場測試、基準(zhǔn)測試和交付后測試，并且根據(jù)本錢、技術(shù)和整體的思索確定測試次數(shù)。應(yīng)控制高本錢測試的次數(shù)，從而減少供應(yīng)商方案預(yù)備的本錢。硬件供應(yīng)商應(yīng)根據(jù)規(guī)范流程進(jìn)展自我評價(jià)。供應(yīng)商的自我評價(jià)不依賴于一個(gè)公正和獨(dú)立的審查者。供應(yīng)商根據(jù)本人制定的平安要求，對系統(tǒng)進(jìn)展技術(shù)評價(jià)。雖然無法提供一個(gè)公正的結(jié)果，但是這依然能提供一定的保證。經(jīng)過查看評價(jià)報(bào)告，可以確定供應(yīng)商確定能否認(rèn)義了適宜的平安要求，并且能否進(jìn)展了適宜的檢查。硬件供應(yīng)商宜在獨(dú)立

21、組織的支持和審查下的自我評價(jià)。這種方法具有自我評價(jià)的低本錢和快速的特性，同時(shí)又可以具備獨(dú)立公正性。但是，這種審查能夠不如其他的正式評價(jià)和測試過程徹底。訂立硬件設(shè)備采購合同相關(guān)平安簽署合同法律符合性中國石油應(yīng)具備專門的法律顧問或者法律部門，擔(dān)任硬件設(shè)備采購合同的法律符合性問題，實(shí)施采購的擔(dān)任人需求和相關(guān)法律部門協(xié)商合同的法律問題。硬件采購合約性風(fēng)險(xiǎn)和責(zé)任采購合同除了普通性的內(nèi)容以外，還應(yīng)包括針對平安的額外條款，如硬件設(shè)備質(zhì)量保證條款、售后效力條款和平安問題賠償條款等，詳細(xì)的條款能夠會根據(jù)采購硬件設(shè)備的不同而大有差別，但這些條款的總體目的在于迫使供應(yīng)商提高對平安的注重程度。關(guān)于這些條款的詳細(xì)訂立需

22、求咨詢相關(guān)的法律專家和平安問題專家。下文給出了一個(gè)可以參考的范例：遞交的產(chǎn)品的功能和產(chǎn)品闡明書、質(zhì)量保證書以及其它相關(guān)資料一致，除此以外：_假設(shè)硬件安裝正常，那么只會創(chuàng)建或者改動(dòng)以下方面：_除了以下的例外情況以外，提交的硬件件不包括任何產(chǎn)品闡明書中沒有提供的功能和方法：_合同的其他規(guī)范對于大型硬件系統(tǒng)的采購，應(yīng)建立專門的平安控制和評審小組以更好的控制硬件設(shè)備購買過程中的平安，該小組的主要目的是：采購方和供應(yīng)方信息交流平安需求分析確認(rèn)新的要挾和弱點(diǎn)確定對系統(tǒng)平安有影響的變卦平安問題戰(zhàn)略建議當(dāng)需求在平安問題和功能需求做出平衡的時(shí)候，給出適當(dāng)?shù)囊庖姂?yīng)在合同中定義清楚平安控制小組的組成、職責(zé)和功能。例

23、如：平安控制小組由中國石油人和供應(yīng)商人共同構(gòu)成，主要擔(dān)任硬件的平安問題，其中包括匯報(bào)硬件的平安問題、并提出硬件平安建議。平安控制小組需求在安排，并記錄會議內(nèi)容，會議記錄需求提交給中國石油相關(guān)擔(dān)任人。會議需求在期間定期舉行。合同還需求規(guī)定在合同終了的時(shí)候，怎樣確保在供應(yīng)商電腦系統(tǒng)中的中國石油的一切信息的歸還和銷毀并且在銷毀之前需求保證這些信息曾經(jīng)在中國石油的系統(tǒng)中備份，例如可以包括如下的條款：供應(yīng)商保證一切履行合約需求的中國石油專有的數(shù)據(jù)和信息必需在合同終了之后歸還給中國石油，并保證不在供應(yīng)商系統(tǒng)中保管任何相關(guān)信息，假設(shè)無法馬上消除一切信息，供應(yīng)商保證這些信息在銷毀以前不會泄露給第三方也不會用于

24、任何未經(jīng)中國石油贊同的用途，并按如下的進(jìn)度銷毀資料插入進(jìn)度。合同還應(yīng)規(guī)定，在合同期間供應(yīng)商運(yùn)用的中國石油專有的軟件和硬件設(shè)備在合同終了以后也需按議定流程歸還給中國石油，并保證恢復(fù)一切設(shè)備的初始形狀。由于涉及問題的復(fù)雜性，無法給出各種場所下的條款內(nèi)容。合同還應(yīng)規(guī)定供應(yīng)商在合同期間所運(yùn)用的中國石油系統(tǒng)帳戶在合同終了以后必需歸還給中國石油，以防止不測情況的出現(xiàn)。合同的條款可以類似：在合同完成和終止以后，供應(yīng)商需求提供用戶形狀列表，提供在后續(xù)階段需求訪問中國石油資源的用戶列表以及對應(yīng)的權(quán)限列表。當(dāng)供應(yīng)商的員工不再因該合同需求訪問中國石油的資源的時(shí)候離任或者合同終了，供應(yīng)商需求在時(shí)間內(nèi)通知中國石油相關(guān)方

25、面。當(dāng)供應(yīng)商的職員分開公司和合同規(guī)定的工程時(shí)，供應(yīng)商應(yīng)提早通知中國石油，假設(shè)是突發(fā)的離任事件那么供應(yīng)商應(yīng)在第一時(shí)間通知中國石油。合同應(yīng)規(guī)定員工離任或者分開工程時(shí)候的任務(wù)移交問題，以保證合同的正常繼續(xù)履行。合同條款可以類似：當(dāng)供應(yīng)商員工分開工程，供應(yīng)商工程經(jīng)理必需保證該員工一切相關(guān)任務(wù)的及時(shí)移交，并刪除一切必要的文件，并確保在通知中國石油。特殊合同要求某些招標(biāo)書中內(nèi)容主要是權(quán)益、責(zé)任和賠償方面的商定和信息平安休戚相關(guān)，但是不包括在供應(yīng)商相關(guān)的應(yīng)標(biāo)文件中，并在合同期限內(nèi)有效。因此這些條款最好在合同的特殊條款中闡明，例如嚴(yán)密協(xié)定。中國石油采購擔(dān)任人需求和供應(yīng)商的相關(guān)方面協(xié)商這些條款的詳細(xì)內(nèi)容。供應(yīng)商

26、應(yīng)對一切在合同期間中國石油提供的信息簽署嚴(yán)密條款，類似：一切中國石油提供的列表中的信息不論以何種方式提供，供應(yīng)商應(yīng)保證僅用于合同履行過程并保證不向任何的第三方以任何方式泄露。一切的信息必需由接受方在整個(gè)擁有過程中妥善保管。該原那么同樣適用于上述信息產(chǎn)生的輸出信息。假設(shè)由于工程的需求，必需對外發(fā)布中的信息，那么必需向中國石油相關(guān)方面提出書面的懇求。 設(shè)備檢測平安管理信息系統(tǒng)中一切平安設(shè)備必需是經(jīng)過國家信息平安產(chǎn)品測評認(rèn)證的合格產(chǎn)品，并應(yīng)符合中華人民共和國國家規(guī)范、的規(guī)定要求。設(shè)備安裝平安管理設(shè)備符合系統(tǒng)選型的要求并同意后，方可購置安裝。必需至少經(jīng)過單機(jī)72小時(shí)的運(yùn)轉(zhuǎn)測試和聯(lián)機(jī)48小時(shí)的運(yùn)用兼容性

27、測試。經(jīng)過設(shè)備檢測測試后，設(shè)備才干進(jìn)入試運(yùn)轉(zhuǎn)階段。試運(yùn)轉(zhuǎn)時(shí)間的長短可根據(jù)需求自行確定。關(guān)鍵級和重要級設(shè)備必需經(jīng)過試運(yùn)轉(zhuǎn)，才干投入消費(fèi)系統(tǒng)，正式運(yùn)轉(zhuǎn)。硬件設(shè)備運(yùn)用平安管理規(guī)范設(shè)備物理環(huán)境相關(guān)平安管理設(shè)備物理環(huán)境應(yīng)根據(jù)和中相關(guān)的平安防護(hù)措施，降低失竊、火災(zāi)、水、灰塵、振動(dòng)、電源、電磁輻射等環(huán)境要挾對設(shè)備所產(chǎn)生的潛在的風(fēng)險(xiǎn)。設(shè)備的布置應(yīng)有利于減少對任務(wù)區(qū)的不用要的訪問。敏感數(shù)據(jù)的信息處置設(shè)備應(yīng)放置在有效的監(jiān)視范圍內(nèi)。需求特別維護(hù)的信息處置設(shè)備應(yīng)與其他設(shè)備隔離。制止在重要級和以上級別的信息處置設(shè)備附近進(jìn)展飲食、飲水和吸煙。應(yīng)盡能夠提供滿足信息處置設(shè)備運(yùn)作所要求的環(huán)境條件。應(yīng)思索發(fā)生在臨近場所的災(zāi)難影響

28、，如臨近的房屋起火、屋頂漏水、地板滲水等情況。設(shè)備供電平安設(shè)備配備電源應(yīng)符合設(shè)備制造商規(guī)定的相關(guān)技術(shù)規(guī)范。確保關(guān)鍵級設(shè)備獲得繼續(xù)的電力供應(yīng)、保證供電可靠性，可選擇以下方案：防止電源單點(diǎn)缺點(diǎn)的多路供電。配備不延續(xù)電源UPS配備備用發(fā)電機(jī)。應(yīng)對供電設(shè)備定期檢測維護(hù)。應(yīng)對UPS設(shè)備的定期檢查，以確保UPS有充足的電量，同時(shí)應(yīng)按照供應(yīng)商的測試建議進(jìn)展測試。發(fā)電機(jī)安裝后，應(yīng)按照供應(yīng)商闡明的測試方法進(jìn)展必要的測試，應(yīng)配備充足的燃料以保證發(fā)電機(jī)可以長時(shí)間的供電。一切的樓房應(yīng)安裝防雷維護(hù)安裝，雷電的防護(hù)過濾器該當(dāng)安裝在外部的通訊線上。如有停電方案，應(yīng)提早通知有關(guān)部門，防止忽然斷電呵斥的不用要的損失。設(shè)備電纜平

29、安無論電力電纜還是通訊電纜應(yīng)盡能夠埋在地下，或必需得到其它適當(dāng)?shù)木S護(hù)。網(wǎng)絡(luò)電纜線路應(yīng)堤防未經(jīng)授權(quán)的截取或損壞，例如，線路經(jīng)過電纜管道或防止線路經(jīng)過公共區(qū)域。電源電纜應(yīng)與通訊電纜分別，以防干擾。定期對線路進(jìn)展維護(hù)，包括線路巡視檢查和線路技術(shù)目的測試，及時(shí)發(fā)現(xiàn)線路缺點(diǎn)隱患。對于敏感或重要的設(shè)備，應(yīng)思索采用進(jìn)一步的控制。例如電纜檢查點(diǎn)和端點(diǎn)(或電纜接頭)放在帶鎖的房間或盒子里，用公用的檢查工具來檢測與電纜銜接的非法儀器如用TDR時(shí)域反射器監(jiān)測同軸電纜，用OTDR光學(xué)時(shí)域反射器檢測光纜，或采用數(shù)據(jù)加密技術(shù)對傳輸?shù)臄?shù)據(jù)進(jìn)展加密等。“去除桌面和屏幕 去除桌面和屏幕是維護(hù)信息資產(chǎn)防止其走漏或喪失的重要措施之

30、一，即在不運(yùn)用信息設(shè)備時(shí)，采取措施將資產(chǎn)維護(hù)起來使未經(jīng)授權(quán)的用戶無法訪問。規(guī)定如下：計(jì)算機(jī)媒介在不運(yùn)用時(shí)，特別是在任務(wù)時(shí)間以外應(yīng)，應(yīng)放置在上鎖的文件柜或其他方式的保險(xiǎn)設(shè)備中。個(gè)人計(jì)算機(jī)、計(jì)算機(jī)終端、各類效力器和打印機(jī)等信息處置設(shè)備在無人值守時(shí)應(yīng)處于登陸形狀；在不運(yùn)用時(shí)應(yīng)經(jīng)過鍵盤鎖定、口令或其他控制加以維護(hù)。在任務(wù)時(shí)間以外應(yīng)將復(fù)印機(jī)鎖住，以防止其他方式非授權(quán)的運(yùn)用。在打印敏感信息或資料時(shí)，應(yīng)在打印終了后立刻從打印機(jī)中去除這些資料。員工運(yùn)用硬件設(shè)備的相關(guān)平安人員身份識別根據(jù)，在一切的認(rèn)證技術(shù)手段中只需以下三種情況適宜本規(guī)范的內(nèi)容：硬件設(shè)備采用的認(rèn)證方法應(yīng)遵照下表要求平安級別認(rèn)證方法關(guān)鍵級設(shè)備重要級

31、設(shè)備普通級設(shè)備PIN碼(用戶所知)+智能卡(用戶所持)-生物鑒別(用戶生物體征)-表中符號闡明：-：不要求； ：要求；：可選舉例：關(guān)鍵級設(shè)備、重要級設(shè)備、普通級設(shè)備對于承載了非常重要的信息且信息平安敏感程度極高的設(shè)備建議采用兩種認(rèn)證方式組合的方法，如PIN碼+智能卡。對于承載了重要的信息且信息平安敏感程度較高的設(shè)備可以采用用戶所知或用戶所持的恣意一種認(rèn)證方式，如PIN碼或智能卡對于承載了普通的信息且信息的設(shè)備可以建議采用用戶所知的認(rèn)證方式，如PIN碼。PIN碼運(yùn)用每隔90天修正口令。明確每個(gè)用戶運(yùn)用PIN碼的責(zé)任。用戶需求保守PIN碼的性，不要將密碼通知任何不相關(guān)的人。用戶需求防止保管PIN碼

32、的字面紀(jì)錄或電子紀(jì)錄。用戶需求防止將PIN碼經(jīng)過Email、等任何電子的或紙質(zhì)的方式傳播出去。PIN碼的最短長度不得低于6位。防止運(yùn)用與個(gè)人有關(guān)數(shù)據(jù)如生日、身份證字號、單位簡稱、號碼、同事名字等當(dāng)做PIN碼。防止在不同的運(yùn)用情況下運(yùn)用同樣的PIN碼。任何時(shí)候有跡象闡明PIN碼能夠曾經(jīng)走漏或受損害時(shí)要立刻改換。智能卡相關(guān)規(guī)范 (Smart Card)智能卡是一種安裝有集成電路芯片，用于存儲和處置數(shù)據(jù)的塑料卡片。智能卡中存有用戶數(shù)據(jù)信息和密鑰，是目前最有效的身份認(rèn)證手段之一。智能卡具有平安性高、防偽性好、可靠性高、信息存儲量大及運(yùn)用簡便的特點(diǎn)。目前對于智能卡的物理特性和技術(shù)特性和通訊協(xié)議有嚴(yán)厲的相

33、關(guān)規(guī)范，但用作身份認(rèn)證時(shí)沒有詳細(xì)的運(yùn)用管理規(guī)范。以以下舉了一些國際上關(guān)于智能卡的物理特性、技術(shù)特性和通訊協(xié)議相關(guān)的規(guī)范，僅供參考：ISO7816采用最廣泛的智能卡規(guī)范。我國已采用其第一、二、三部分為中國規(guī)范 。此規(guī)范主要定義了塑料基片的物理和尺寸特性(7816/1)，觸點(diǎn)的尺寸和位置(7816/2)，信息交換的底層協(xié)議描畫(7816/3)。7816/4論述了跨行業(yè)的命令集。EMV世界主要信譽(yù)卡結(jié)合體Visa，Mastercard和Europay于1996年修訂終了。定義了CPU卡的協(xié)議、數(shù)據(jù)和指令。提供了除卡內(nèi)部維護(hù)機(jī)制之外的附加平安措施。SET用于電子商務(wù)的規(guī)范，是“平安電子買賣(Secur

34、eElectronicTransaction)的縮寫。此規(guī)范由Visa和Mastercard共同制定。目前運(yùn)用極為廣泛，系統(tǒng)向用戶要求卡號和失效日期，然后信息被加密和核實(shí)。系統(tǒng)只檢查卡的有效性，而不判別運(yùn)用者的合法性。用戶生物體征 用戶生物體征識別(BIOMETRICS)是指經(jīng)過計(jì)算機(jī)利用人體所固有的生理特征或行為特征來進(jìn)展個(gè)人身份識別和或驗(yàn)證目的。常用的生物特征包括：指紋、掌紋、虹膜、臉像等。生物特征識別是目前正在開展的一門新興技術(shù)，還沒有成熟規(guī)范可參考。指紋識別計(jì)算機(jī)系統(tǒng)經(jīng)過個(gè)體指紋生理特征的提取、比對、驗(yàn)證，從而到達(dá)身份識別目的。目前，指紋鑒定曾經(jīng)被各方所廣泛接受成為一種有效的身份識別手

35、段。指紋識別技術(shù)在一切生物特征識別技術(shù)中性能價(jià)錢比最好。指紋門禁系統(tǒng)、指紋考勤系統(tǒng)是基于指紋的身份鑒別技術(shù)最直接的運(yùn)用成果，隨著網(wǎng)絡(luò)化的更加普及，指紋識別的運(yùn)用將更加廣泛。虹膜識別一種新興的生物特征識別技術(shù)，經(jīng)過對個(gè)體虹膜圖象提取、圖像處置、虹膜特征提取、匹配與識別等手段到達(dá)身份識別目的。它具有獨(dú)一性、穩(wěn)定性、可采集性、非進(jìn)犯性等優(yōu)點(diǎn)。虹膜具有更高的準(zhǔn)確性。目前，虹膜識別的錯(cuò)誤率是各種生物特征識別中最低的。設(shè)備的運(yùn)用授權(quán)平安本節(jié)內(nèi)容主要針對重要級和關(guān)鍵級的硬件設(shè)備外來訪問者設(shè)備運(yùn)用管理規(guī)范訪者者預(yù)先提出懇求并由相關(guān)擔(dān)任人審批確認(rèn)訪問者身份和答應(yīng)證明紀(jì)錄訪問相關(guān)信息對設(shè)備上的敏感信息進(jìn)展一定的維

36、護(hù)授予相應(yīng)訪問權(quán)限紀(jì)錄分開相關(guān)信息并收回相應(yīng)的訪問權(quán)限舉例：關(guān)鍵級設(shè)備運(yùn)用管理方法建議對外來訪問者應(yīng)提早3天提出懇求并明確理由，提交給擔(dān)任相關(guān)設(shè)備管理的主管進(jìn)展審批；只需在審批經(jīng)過后方可對相關(guān)設(shè)備進(jìn)展訪問。來訪時(shí)需求其出示相關(guān)證件和審批確認(rèn)書；記錄訪問者的訪問時(shí)間、訪問地點(diǎn)和事由；如需訪問一些關(guān)鍵級機(jī)房內(nèi)的設(shè)備還需求相關(guān)主管部門進(jìn)一步書面確認(rèn)。訪問終了后應(yīng)及時(shí)登記分開時(shí)間。舉例：重要級設(shè)備訪問管理方法建議對外來訪問者應(yīng)提早1天提出懇求并明確理由，提交給擔(dān)任相關(guān)設(shè)備管理的主管進(jìn)展審批；只需在審批經(jīng)過后方可對相關(guān)設(shè)備進(jìn)展訪問。來訪時(shí)需求其出示相關(guān)證件和審批確認(rèn)書；記錄訪問者的訪問時(shí)間、訪問地點(diǎn)和事

37、由；如需訪問一些重要級機(jī)房內(nèi)的設(shè)備還需求相關(guān)主管部門進(jìn)一步書面確認(rèn)；訪問終了后應(yīng)及時(shí)登記分開時(shí)間。內(nèi)部員工管理方法內(nèi)部員工的訪問控制管理方法應(yīng)采取分權(quán)分級并基于角色和運(yùn)用相結(jié)合的授權(quán)方法。(這里指的內(nèi)部員工是指在同一部門任務(wù)的人員，非該部門內(nèi)人員即使是中國石油其他部門的人員都不屬于內(nèi)部員工概念的范疇，而屬于外來訪問者)經(jīng)過人事系統(tǒng)中員工的情況授予其相應(yīng)的設(shè)備相關(guān)權(quán)限和承當(dāng)?shù)呢?zé)任。以書面的方式將員工的權(quán)限和相應(yīng)的責(zé)任提交給員工本人。根據(jù)員工權(quán)限和責(zé)任的大小確認(rèn)能否需求簽署相關(guān)的嚴(yán)密協(xié)議。在日常任務(wù)中記錄員工的平安區(qū)域訪問日志信息員工一旦離任或調(diào)動(dòng)崗位應(yīng)立刻收回或調(diào)整其訪問的權(quán)限。舉例關(guān)鍵級、重要

38、級設(shè)備的內(nèi)部員工管理方法建議：新員工進(jìn)入公司后相關(guān)的檔案信息進(jìn)入人事系統(tǒng)，然后根據(jù)該員工的等級給與相應(yīng)設(shè)備的訪問權(quán)限。如網(wǎng)絡(luò)管理員具有訪問網(wǎng)絡(luò)設(shè)備的權(quán)限，其他員工如需訪問網(wǎng)絡(luò)設(shè)備需提出適當(dāng)?shù)睦碛刹⒂蓳?dān)任網(wǎng)絡(luò)的相關(guān)部分主管書面確認(rèn)；書面通知該員工相應(yīng)的的權(quán)益和責(zé)任并簽署相關(guān)的嚴(yán)密協(xié)議；在日常運(yùn)用中需登記設(shè)備運(yùn)用日志，以備日后審核；內(nèi)部用戶一旦離任或崗位變動(dòng)應(yīng)及時(shí)調(diào)整訪問權(quán)限。硬件設(shè)備相關(guān)運(yùn)用日志和運(yùn)用權(quán)限的審計(jì)硬件設(shè)備變卦情況登記簿管理登記記錄的內(nèi)容應(yīng)該包括：設(shè)備稱號信息；操作人員的姓名、證件號碼、訪問的日期和進(jìn)出時(shí)間；更改緣由，和相關(guān)的審批人；更動(dòng)的內(nèi)容包括原來的內(nèi)容和變卦的部分和變卦后的內(nèi)容

39、；訪問的設(shè)備和媒介的稱號、數(shù)量、編號、進(jìn)出時(shí)間、懇求同意證明、同意者；檢測、報(bào)警系統(tǒng)的報(bào)警時(shí)間、現(xiàn)場勘測人員姓名、到達(dá)時(shí)間、以及現(xiàn)場的其他情況。樣例：設(shè)備更改登記表設(shè)備稱號操作者姓名、任務(wù)單位起始日期時(shí)間終了日期時(shí)間審批人更改緣由更改內(nèi)容設(shè)備情況備注硬件設(shè)備日志文件保管的時(shí)間關(guān)鍵級設(shè)備運(yùn)用登記記錄應(yīng)該至少保管一年。以備審計(jì)用。超越保管期限的日志應(yīng)監(jiān)視銷毀。重要級設(shè)備運(yùn)用登記記錄應(yīng)該至少保管三個(gè)月。以備審計(jì)用。超越保管期限的日志應(yīng)監(jiān)視銷毀。硬件設(shè)備存放保管登記簿管理本部分內(nèi)容屬于實(shí)物資產(chǎn)管理內(nèi)容。記錄了設(shè)備從采購到維修到報(bào)廢的紀(jì)錄。樣例：設(shè)備維護(hù)登記表填寫人姓名年 月 日故障記錄維修記錄部件更換

40、記錄部件稱號部件序號改換時(shí)間操作人備注日志定期的審計(jì)和人員權(quán)限的定期審核日志定期審計(jì)關(guān)鍵級設(shè)備的日志文件每6個(gè)月審核一次。重要級設(shè)備的日志文件每12個(gè)月審核一次。內(nèi)部人員權(quán)限定期審計(jì)關(guān)鍵級設(shè)備的人員權(quán)限每3個(gè)月審核一次。重要級設(shè)備的人員權(quán)限每6個(gè)月審核一次。訪問者訪問期間的管理方法訪問者必需遵守相應(yīng)的訪問權(quán)限的約束，只能訪問經(jīng)過授權(quán)的詳細(xì)目的；媒介設(shè)備平安含有敏感信息的文件、信息媒介、系統(tǒng)文檔等信息資產(chǎn)會蒙受盜竊、未經(jīng)授權(quán)的訪問、存儲不當(dāng)、媒介處置錯(cuò)誤等方面的要挾。因此，中國石油應(yīng)對上述的媒介設(shè)備進(jìn)展有效的控制，確保各種信息媒介處置的平安?？膳矂?dòng)計(jì)算機(jī)媒介含有敏感信息的可挪動(dòng)媒介如磁帶、磁盤、

41、可挪動(dòng)式硬盤、盒式磁帶等很容易被非法帶離中國石油從而呵斥敏感信息的走漏，應(yīng)采取以下控制措施：如不再需求，應(yīng)將可相應(yīng)媒介中的敏感信息刪除一切需求從中國石油帶走的含有敏感信息的媒介都需求經(jīng)過授權(quán)，一切可挪動(dòng)媒介的借用記錄都應(yīng)保管并加以審核跟蹤。一切含有敏感信息的媒介應(yīng)保管在平安可靠的地方，并符合消費(fèi)廠家闡明書的平安要求。對媒介進(jìn)展平安的處置中國石油應(yīng)建立正式的媒介平安處置程序確保將平安的風(fēng)險(xiǎn)降至最低，媒介的平安處置程序應(yīng)針對不同類型的媒介規(guī)定相應(yīng)的處置方法、審批程序、處置記錄等。宜參照下表進(jìn)展：媒介類型處置方法備注磁帶、錄像帶將媒介上的內(nèi)容去除后再運(yùn)用物理方法破壞化學(xué)方法破壞媒介可以單獨(dú)處置，也可

42、以集中處置，待處置媒介應(yīng)妥善保管。當(dāng)媒介處置任務(wù)交由第三方進(jìn)展時(shí)，應(yīng)采取適當(dāng)?shù)目刂拼胧喝缋煤贤M(jìn)展控制或?qū)μ幹眯袨檫M(jìn)展監(jiān)控。磁盤、可挪動(dòng)硬盤格式化后媒體反復(fù)運(yùn)用物理方法破壞化學(xué)方法破壞一次性打印色帶燒毀光學(xué)存儲媒介(CDDVD)物理破壞建立信息處置和儲存程序?yàn)榫S護(hù)信息免受未經(jīng)授權(quán)的走漏或?yàn)E用，對中國石油對信息進(jìn)展運(yùn)用、復(fù)制、傳送等信息處置活動(dòng)及信息存儲過程進(jìn)展必要的規(guī)范以保證平安：應(yīng)按照信息分類的原那么對媒介進(jìn)展處置并標(biāo)志。處置敏感信息的行為應(yīng)被授權(quán)如敏感信息的復(fù)制等。應(yīng)保管一份授權(quán)人員的真實(shí)的記錄。應(yīng)為存放重要數(shù)據(jù)的媒介提供適宜的保管環(huán)境。一切數(shù)據(jù)的拷貝都應(yīng)清楚地闡明平安嚴(yán)密等級應(yīng)定期檢

43、查并更新授權(quán)人員的權(quán)限變動(dòng)。場外設(shè)備平安場所外設(shè)備是指分開組織正常任務(wù)場所的設(shè)備，分為兩類：一類是因任務(wù)需求，將設(shè)備帶離組織的任務(wù)場所；另一類是固定在組織場所之外的設(shè)備。廠外設(shè)備能夠蒙受盜竊、未經(jīng)授權(quán)的訪問或環(huán)境要素的要挾，組織應(yīng)思索場所外的設(shè)備所存在的風(fēng)險(xiǎn)，所提供的維護(hù)至少應(yīng)等同于組織內(nèi)部的一樣的設(shè)備。任何在組織外用于信息處置的設(shè)備的運(yùn)用，應(yīng)一概經(jīng)由管理部門授權(quán)答應(yīng)。場所外設(shè)備和媒介如便攜式計(jì)算機(jī)等在公共場所不應(yīng)無人看管。應(yīng)一直遵守制造商有關(guān)維護(hù)和運(yùn)用設(shè)備的指南要求。應(yīng)采用適宜的物理防護(hù)安裝如保險(xiǎn)罩和鎖柜等，以維護(hù)場所外的設(shè)備。硬件設(shè)備維護(hù)平安設(shè)備的維護(hù)不當(dāng)會引起設(shè)備缺點(diǎn)，從而呵斥信息的不完

44、好甚至不可用。因此，中國石油應(yīng)按照相應(yīng)設(shè)備供應(yīng)商提供的維護(hù)手冊上的要求進(jìn)展維護(hù)，或自行制定相應(yīng)的設(shè)備維護(hù)政策對設(shè)備進(jìn)展適當(dāng)?shù)木S護(hù)，確保設(shè)備處于良好的任務(wù)形狀下，即堅(jiān)持設(shè)備的可用性和完好性。對設(shè)備的維護(hù)該當(dāng)思索以下幾點(diǎn)：按照供應(yīng)商引薦的保養(yǎng)時(shí)間間隔和規(guī)范進(jìn)展設(shè)備保養(yǎng)。重要級設(shè)備和以上級別設(shè)備只需經(jīng)授權(quán)的維護(hù)人員才干維修。重要級設(shè)備和以上級別設(shè)別應(yīng)只需經(jīng)授權(quán)的專業(yè)人員才干保養(yǎng)維護(hù)。維修人員應(yīng)具備一定的維修技藝和專業(yè)資質(zhì)。應(yīng)貯藏一定數(shù)量的備品與配件。應(yīng)堅(jiān)持一切有疑問或?qū)嵺`缺陷以及一切預(yù)防和糾正措施的記錄。當(dāng)將設(shè)備送外進(jìn)展保養(yǎng)時(shí)，應(yīng)采取適當(dāng)?shù)目刂品乐姑舾行畔⒌男孤?。未?jīng)答應(yīng)，不得擅自開拆設(shè)備或互換設(shè)備配件。關(guān)鍵級的設(shè)備應(yīng)采用冗余的設(shè)置。設(shè)備維護(hù)時(shí)應(yīng)采取相應(yīng)的數(shù)據(jù)維護(hù)措施，含有敏感數(shù)據(jù)的設(shè)備維護(hù)時(shí)應(yīng)有信息平安員在場。對設(shè)備進(jìn)展維修時(shí)必需紀(jì)錄維修的對象、缺點(diǎn)緣由、排除方法、主要維修過程及維修相關(guān)的情況。硬件設(shè)備處置和重用平安信息設(shè)備到期報(bào)廢或淘汰時(shí)，或設(shè)備改動(dòng)原來的運(yùn)用用途改為他用時(shí)，由于大意的緣由會呵斥敏感信息的走漏。如不需求的磁盤驅(qū)動(dòng)器被賣掉或扔掉時(shí)，能夠會走漏保管在上面的數(shù)據(jù)。因此，為取保設(shè)備處置和重用的平安，應(yīng)遵守以下規(guī)定：在設(shè)備處置或反復(fù)利用之前，應(yīng)采取適當(dāng)方法將設(shè)備內(nèi)存儲的敏感數(shù)據(jù)和軟件去除。例