中国石油天然气股份有限公司应用系统开发安全管理通则(DOC 47页)

前    言
随着中国石油天然气股份有限公司（以下简称“中国石油”）信息化建设的稳步推进，信息安全日益受到中国石油的广泛关注，……………………
本规范是依据中国石油信息安全的现状，参照国际、国内和行业相关技术标准及规范，结合中国石油自身的应用特点，制定的适合于中国石油信息安全的标准与规范。目标在于通过在中国石油范围内建立信息安全相关标准与规范，提高中国石油信息安全的技术和管理能力。
信息技术安全总体框架如下：

 

1） 整体信息技术安全架构从逻辑上共分为7个部分，分别为：物理环境、硬件设备、网络、操作系统、数据和文档、应用系统和通用安全管理标准。图中带阴影的方框中带书名号的为单独成册的部分，共有13本《规范》和1本《通用标准》。
2） 对于13个《规范》中具有一定共性的内容我们整理出了7个《标准》横向贯穿整个架构，这7个《标准》的组合也依据了信息安全生命周期的理论模型。每个《标准》都会对所有的《规范》中相关涉及到的内容产生指导作用，但每个《标准》应用在不同的《规范》中又会有相应不同的具体的内容。我们在行文上将这7个标准组合成一本《通用安全管理标准》单独成册。
3） 全文以信息安全生命周期的方法论作为基本指导，《规范》和《标准》的内容基本都根据预防——〉保护——〉检测跟踪——〉响应恢复的理论基础行文。

本通则讨论了在企业内部自行开发一套应用系统或外包开发所必须考虑到的几个步骤，开发应用系统的安全性考虑就好像建设楼房一样，拥有越坚固的地基楼房越是稳定，因此应用系统在开发阶段打好坚实的安全基础，那么以后的日常维护工作就会很轻松。以下我们主要从系统开发的各个阶段入手，考虑在标准的开发流程的各个阶段中要注意的安全方面的考虑。

本规范由中国石油天然气股份有限公司发布。
本规范由中国石油天然气股份有限公司科技与信息管理部归口管理解释。
起草部门：中国石油制定信息安全政策与标准项目组。

..............................