SY-T 5231-2024 石油工业信息系统安全管理规范

ICS 75-010 SY CCS E 07 中华人民共和国石油天然气行业标准 SY/T 52312024 代替 SY/T 5231—2010 石油工业信息系统安全管理规范 Specification for security management of information systems in the petroleum industry 2024—09—24 发布 2025－03—24 实施国家能源局发布 SY/T 5231—2024 目次前言· 1 范围 2 规范性引用文件 3 术语和定义 4 缩略语 5 总体要求 6 管理基本要求 7 增强管理要求 8 关键信息基础设施安全保护 9 证实方法附录A (资料性) 检测控制参考文献 SY/T 5231—2024 前言本文件按照GB/T 1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件代替SY/T 5231—2010《石油工业计算机信息系统安全管理规范》，与SY/T 5231—2010 相比，除结构调整和编辑性改动外，主要技术变化如下： a）删除了“体系概述”（见2010年版的第4章）； b）增加了“总体要求”（见第5章）； c）更改了“管理基本要求”（见第6章，2010 年版的第5章、第6章、第7章及第8章）； 9），，，，（ 6.8) ; ，，，，（罪调查管理”及“用户管理”（见2010年版的第9章、第10章、第11章、第12章及第13 章)； f）增加了“增强管理要求”（见第7章）; g）增加了“关键信息基础设施安全保护”（见第8章）； h）增加了管理检测控制（见第9章)。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由石油工业标准化技术委员会石油信息与计算机应用专业标准化委员会提出并归口。本文件起草单位：中国石油天然气股份有限公司勘探开发研究院、中国石油天然气集团有限公司数字和信息化管理部、中国石化集团有限公司信息和数字化管理部、中国海洋石油集团有限公司科技与信息化部、国家石油天然气管网集团有限公司数字化部、新疆石油管理局有限公司数据公司、中国石油昆仑数智公司。本文件主要起草人：冯梅、唐福宇、孙晓、帅训波、李青、董之光、柏东明、张文博、孙东旭、谷海生、魏萍、叶铭、陈靓、吴建军、张涛、沫一纯、刘辉。本文件及其所代替文件的历次版本发布情况为： -1991年首次发布为 SY/T 5231一1991，19.99 年第一次修订，2010年第二次修订；一本次为第三次修订。 II SY/T 5231—2024 石油工业信息系统安全管理规范 1 范围本文件规定了石油工业信息系统安全管理的总体要求，以及涵盖信息系统的技术、管理、建设运维的各环节管理的基本要求和对于云计算、工控系统、物联网的增强管理要求，还包括关键信息基础设施的安全保护，描述了检测控制的证实方法。本文件适用于石油工业领域的信息系统设计、建设和运行维护的安全管理。 2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 22239信息安全技术网络安全等级保护基本要求 GB/T 22240—2020信息安全技术网络安全等级保护定级指南 GB/T 25070信息安全技术网络安全等级保护安全设计技术要求 GB/T 28448 信息安全技术‧网络安全等级保护测评要求 GB/T 392044 信息安全技术‧关键信息基础设施安全保护要求 3术语和定义下列术语和定义适用于本文件。 3.1 安全策略 security policy 由最高管理层作出的关于信息安全的最广泛、最概括的定义，明确指定了企业信息安全的作用、价值与意义。 3.2 安全域 security domain 遵从共同安全策略的资产和资源的集合。 3.3 安全事件security incident 与可能危害组织资产或损害其运行相关的、单个或多个被识别的信息安全事态。 [来源 : GB/T 20985.1—2017,3.4] 3.4 云计算平台 cloud computing platform 云服务商提供的云计算基础设施及其上的服务软件的集合。 [来源: GB/T 22239—2019,3.6] 1 SY/T 52312024 3.5 工业控制系统 industrial control system (ICS) 工业生产中使用的控制系统，包括监控和数据采集系统（SCADA)、分布式控制系统(DCS）和其他较小的控制系统，如可编程逻辑控制器(PLC)。 [来源 : GB/T 32919—2016, 3.1] 3.6 物联网 internet of things 通过感知设备，按照约定协议，连接物、人、系统和信息资源，实现对物理和虚拟世界的信息进行处理，并作为反应的智能服务系统。 [来源 : GB/T 33745—2017, 2.1.1] 3.7 感知终端 perception terminal 能对物或环境进行信息采集或执行操作，并能联网进行通信的装置。 [来源 : GB/T 37044—2018,3.2] 3.8 区域边界 area boundary 对信息系统的安全计算环境边界，以及安全计算环境与安全通信网络之间实现连通并实施安全策略的相关部件。注：安全区域边界按照保护能力划分为- 一级至五级 [来源: GB/T 34990—2017,3.10] 3.9 安全审计 security audit 对信息系统记录与活动的独立评审与考察，以测试系统控制的充分程度，确保对于既定安全策略和运行规程的符合性，发现安全违规，并在控制、安全策略和过程三方面提出改进建议。 [来源:GB/T 25069—2022，3.24] 3.10 访问控制 access control -种确保数据处理系统的资源只能由经授权实体以授权访问方式进行访问的手段。 [来源 : GB/T 5271.8—2001,8.4.1] 3.11 保密性 confidentiality 信息对未授权的个人、实体或过程不可用或不泄露的性质。 [来源:GB/T 25069—2022，3.41] 3.12 个人信息 personal information 以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。注：通常包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。 3.13 关键信息基础设施 critical information infrastructure 公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生，公共利益的重要网络设施、信息系统等。 [来源:GB/T 39204—2022，3.1] 2 SY/T 5231—2024 4 缩略语下列缩略语适用于本文件。 API :应用程序编程接口 (Application Progranming Interface) FTP ：文本传输协议 (File Transfer Protocol) HMI : 人机界面 (Human Machine Interface) HTTP :超文本传输协议 (Hyper Text Transfer Protocol) TelNet : 远程登录协议 (Telecommunications INetwork Protocol) 5总体要求 5.1企业应建立网络安全管理机构，指定网络安全工作职能部门，设立人员岗位，明确工作职责。 5.2企业应制订网络安全工作制度，闸明总体自标、范围、原则和安全框架等。 5.3企业应按照 GB/T 28448 的要求，建立信息系统网络安全等级保护相关管理制度，符合 GB/T 22239的要求，对已定级系统实施安全建设和运维管理。 5.4企业应按照GB/T39204的要求，在网络安全等级保护制度基础上加强关键信息系统的安全防护。 5.5企业应建立适合本企业的信息系统安全管理体系，主要包含密码应用、数据安全和个人信息保护制度，加强对云计算、物联网、智能制造、大数据等新技术信息系统的安全防护。 5.6信息系统中涉及商业秘密的，应按照保密主管部门要求开展商业秘密保护工作。 5.7信息系统主管部门应重点保护勘探与开发、炼油与化工、天然气与销售、管道与新能源等业务运行安全、数据安全和个人信息安全。 6管理基本要求 6.1网络安全等级保护 6.1.1应落实国家网络安全等级保护制度相关要求, 开展网络和信息系统的定级、备案、安全建设整改和等级测评等工作。 6.1.2云计算、大数据、物联网、工业控制系统等系统，应依据GB/T22240一2020中第5章的要求确定定级对象。 6.1.3应依据 GB/T 22240一2020 中 4.4 的要求，对初步确认为第二级及以上的信息系统，应组织专家评审、主管部门核准和行业主管（监管）部门核准，并将定级结果提交公安机关完成备案审核。 6.1.4信息系统安全等级测评，依据《信息安全等级保护管理办法》中第14条的规定，第三级信息系统应每年至少进行一次等级测评，第四级信息系统应每半年至少进行一次等级测评。 6.1.5网络安全等级保护第三级及以上系统应采用密码技术进行安全防护，并使用符合相关要求的密码产品和