中國石油天然氣股份有限公司應用係統開發安全管理通則(DOC 47頁)
前 言
隨著中國石油天然氣股份有限公司(以下簡稱“中國石油”)信息化建設的穩步推進,信息安全日益受到中國石油的廣泛關注,……………………
本規範是依據中國石油信息安全的現狀,參照國際、國內和行業相關技術標準及規範,結合中國石油自身的應用特點,製定的適合於中國石油信息安全的標準與規範。目標在於通過在中國石油範圍內建立信息安全相關標準與規範,提高中國石油信息安全的技術和管理能力。
信息技術安全總體框架如下:
1) 整體信息技術安全架構從邏輯上共分為7個部分,分別為:物理環境、硬件設備、網絡、操作係統、數據和文檔、應用係統和通用安全管理標準。圖中帶陰影的方框中帶書名號的為單獨成冊的部分,共有13本《規範》和1本《通用標準》。
2) 對於13個《規範》中具有一定共性的內容我們整理出了7個《標準》橫向貫穿整個架構,這7個《標準》的組合也依據了信息安全生命周期的理論模型。每個《標準》都會對所有的《規範》中相關涉及到的內容產生指導作用,但每個《標準》應用在不同的《規範》中又會有相應不同的具體的內容。我們在行文上將這7個標準組合成一本《通用安全管理標準》單獨成冊。
3) 全文以信息安全生命周期的方法論作為基本指導,《規範》和《標準》的內容基本都根據預防——〉保護——〉檢測跟蹤——〉響應恢複的理論基礎行文。
本通則討論了在企業內部自行開發一套應用係統或外包開發所必須考慮到的幾個步驟,開發應用係統的安全性考慮就好像建設樓房一樣,擁有越堅固的地基樓房越是穩定,因此應用係統在開發階段打好堅實的安全基礎,那麼以後的日常維護工作就會很輕鬆。以下我們主要從係統開發的各個階段入手,考慮在標準的開發流程的各個階段中要注意的安全方麵的考慮。
本規範由中國石油天然氣股份有限公司發布。
本規範由中國石油天然氣股份有限公司科技與信息管理部歸口管理解釋。
起草部門:中國石油製定信息安全政策與標準項目組。
..............................