中國石油信息安全標準

編號:

PetroChina

中國石油天然氣股份有限公司

商業(yè)軟件購買管理規(guī)范

（審閱稿）

BearingPoint

畢“勘悔,上3廢名單馬KW建省溝

版本號:V3

審閱人：王巍

中國石油天然股份有F艮公司

<t

隨著中國石油天然氣股份有限公司（以下簡稱“中國石油”）信息化建設(shè)的穩(wěn)步推動，信息安全H

益受到中國石油的廣泛關(guān)注，加強信息安全的管理和制度無疑成為信息化建設(shè)得以順利實行的重要保

障c中國石油需要建。統(tǒng)一的信息安全管理政策和標準，并在集團內(nèi)統(tǒng)一推廣、實行C

本規(guī)范是依據(jù)中國石油信息安全的現(xiàn)狀，參照國際、國內(nèi)和行業(yè)相關(guān)技術(shù)標準及規(guī)范，結(jié)合中國石

油自身的應(yīng)用特點，制定的適合于中國石油信息安全的標準與規(guī)范。目的在于通過在中國石油范圍內(nèi)建

立信息安全相關(guān)標準與規(guī)范，提高中國石油信息安全的技術(shù)和管理能力。

信息技術(shù)安全總體框架如下：

《信息安全技術(shù)標準》

《建藁4管

物理環(huán)境

安全管用理標）Q

，

上

上

JL上

，?▼

_1_

校

全

計

全

通

如

加

日

謝

家

認

網(wǎng)

《

《

《

《

《

《

《((

=權(quán)

電

應(yīng)

成

敷

管

算

明

電

機

硬

區(qū)

用

同

外

志

用

統(tǒng)

證

絡(luò)

管

管

諦

機

子

理

安

管

管

管

網(wǎng)

理

國

理

門

管

安

事

舞

*房?

雪

理

受

理§

-理

件?

務(wù)

犯

蒞

蒞

安

全

理

理

理

絡(luò)

標

他

需

理

城

規(guī)

全

賽?k

務(wù)

和

安SS

規(guī)

房

笈

通

線

統(tǒng)

件

管

通

通

通

安

罪

他

管

通

管

準

準

》

》

》

檢

s無?

安

善

專

雙

舍

格

用

安

通

安

卸

用

用

用

全

管

理

用

鄴

通

代

》

》

a》

菱

》

全

安

理

標

全

則

全

標

標

標

標

將

通

標

概

理

碼

s則

9規(guī)

安

準

管

規(guī)

全

規(guī)

準

準

準

準

管

理

用

準

述

技

和

安

規(guī)

》

》

1）整體信息技術(shù)安全架構(gòu)從邏輯上共分為7個部分，分別為：物理環(huán)境、硬件設(shè)備、網(wǎng)絡(luò)、操作

系統(tǒng)、數(shù)據(jù)和文檔、應(yīng)用系統(tǒng)和通用安全管理標準。圖中帶陰影的方框中帶書名號的為單獨成

冊的部分，共有13本《規(guī)范》和1本《通用標準》c

對于13個《規(guī)范》中具有一定共性的內(nèi)容我們整理出了7個《標準》橫向貫穿整個架構(gòu)，這7個

《標準》的組合也依據(jù)了信息安全生命周期的理論模型。每個《標準》都會對所有的《規(guī)范》中相

關(guān)涉及到的內(nèi)容產(chǎn)生指導(dǎo)作用，但每個《標準》應(yīng)用在不同的《規(guī)范》中又會有相應(yīng)不同的具體的

內(nèi)容。我們在行文上將這7個標準組合成一本《通用安全管理標準》單獨成冊。

全文以信息安全生命周期的方法論作為基本指導(dǎo)，《規(guī)范》和《標準》的內(nèi)容基本都根據(jù)防止一一〉

保護一一〉檢測跟蹤一一，響應(yīng)恢復(fù)的理論基礎(chǔ)行文。

隨著公司信息化建設(shè)的不斷進一步，公司對「各類應(yīng)用系統(tǒng)的需求也越來越緊迫。然而由于公司自

行開發(fā)軟件系統(tǒng)具有開發(fā)成本較高，開發(fā)成熟度和系統(tǒng)穩(wěn)定性較低，軟件的功能相對單一簡樸等多方面

的局限性,使得公司在軟件的詵用上越來越傾向于采購商業(yè)的成熟的軟件系統(tǒng),只有公司某些特殊的應(yīng)

說明

在中國石油信息安全標準中涉及以下概念：

組織機構(gòu)

中國石油（PetroChina）指中國石油天然氣股份有限公司有時也稱“股份公司二

集團公司（CNPC）指中國石油天然氣集團公司有時也稱“存續(xù)公司:為區(qū)分中國

石油的地區(qū)公司和集團公司下屬單位，擔(dān)提及“存續(xù)部分”時指集團公司下屬的單位。

如：遼河油田分公司存續(xù)部分指集團公司下屬的遼河石油管理局。

計算機網(wǎng)絡(luò)

中國石油信息網(wǎng)（PetroChinaNet）指中國石油范圍內(nèi)的計算機網(wǎng)絡(luò)系統(tǒng)。中國石油信息網(wǎng)是在

中國石油天然氣集團公司網(wǎng)絡(luò)的基礎(chǔ)上，進行擴充與提高所形成的連接中國石油所屬各個單位計算機

局域網(wǎng)和園區(qū)網(wǎng)。

集團公司網(wǎng)絡(luò)（CNPCNet）指集團公司所屬范圍內(nèi)的網(wǎng)絡(luò)。中國石油的一些地區(qū)公司是和集團

公司下屬的單位共用一個計算機網(wǎng)絡(luò)，當(dāng)提及“存續(xù)公司網(wǎng)絡(luò)”時，指存續(xù)公司使用的網(wǎng)絡(luò)部分。

主干網(wǎng)是從中國石油總部連接到各個下屬各地區(qū)公司的網(wǎng)絡(luò)部分，涉及中國石油總部局域網(wǎng)、各

個二級局域網(wǎng)（或園區(qū)網(wǎng)）和連接這些網(wǎng)絡(luò)的專線遠程信道。有些單位通過撥號線路連接到中國石油總

部，不是運用專線，這樣的單位和所使用的遠程信道不屬于中國石油專用網(wǎng)主干網(wǎng)組成部分。

地區(qū)網(wǎng)地區(qū)公司網(wǎng)絡(luò)和所屬單位網(wǎng)絡(luò)的總和。這些局域網(wǎng)或園區(qū)網(wǎng)互相連接所使用的遠程信道可

以是專線，也可以是撥號線路，

局域網(wǎng)與園區(qū)網(wǎng)局域網(wǎng)通常指，在一座建筑中運用局域網(wǎng)技術(shù)和設(shè)備建設(shè)的高速網(wǎng)絡(luò)。園區(qū)網(wǎng)是

在一個園區(qū)（例如大學(xué)校園、管理局基地等）內(nèi)多座建筑內(nèi)的多個局域網(wǎng)，運用高速信道互相連接起來

所構(gòu)成的網(wǎng)絡(luò)。園區(qū)網(wǎng)所運用的設(shè)備、運營的網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)傳輸速度基本相同于局域網(wǎng)。局域網(wǎng)和園

區(qū)網(wǎng)通常都是用戶自己建設(shè)的。局域網(wǎng)和園區(qū)網(wǎng)與廣域網(wǎng)不同，廣域網(wǎng)不僅覆蓋范圍廣，所運用的設(shè)

備、運營的協(xié)議、傳送速率都與局域網(wǎng)和園區(qū)網(wǎng)不同。傳輸信息的信道通常都是電信部門建設(shè)的。

二級單位網(wǎng)絡(luò)指地區(qū)公司下屬單位的網(wǎng)絡(luò)的總和，也許是局域網(wǎng)，也也許是園區(qū)網(wǎng)。

專線與撥號線路從連通性劃分的兩大類網(wǎng)絡(luò)遠程信道。專線，指數(shù)字電路、幀中繼、DDN和ATM

等經(jīng)常保持連通狀態(tài)的信道；撥號線路，指只在傳送信息時才建立連接的信道，如電話撥號線路或

ISDN撥號線路。這些遠程信道也許用來連接不同地區(qū)的局域網(wǎng)或園區(qū)網(wǎng)，也也許用于連接單臺計算機。

石油專網(wǎng)與公網(wǎng)石油專業(yè)電信網(wǎng)和公共電信網(wǎng)的簡稱。

最后一公里問題建設(shè)廣域網(wǎng)時，用戶局域網(wǎng)或園區(qū)網(wǎng)連凄附近電信部門信道的最后一段距離的

連接問題。這段距離通常小于一公里，但也有大于一公里的情況。為簡便，同稱為最后一公里問題。

涉及計算機網(wǎng)絡(luò)的術(shù)語和定義請參見《中國石油局域網(wǎng)標準》。

目錄

1概述..................................................................................8

2目的...................................................................................8

3合用范圍..............................................................................9

4引用的文獻或標準.....................................................................10

5術(shù)語和定義...........................................................................11

6商業(yè)軟件采購過程中的人員職責(zé)........................................................14

6.1采購過程中的職能崗位定義............................................................14

7商業(yè)軟件采購流程中的安全控制........................................................16

7.1商業(yè)軟件采購的需求定義和分析階段...................................................17

7.2采購招標階段........................................................................25

7.3應(yīng)標書評估階段......................................................................34

7.4商業(yè)軟件采購?fù)戤呺A段................................................................36

附錄1參考文獻.........................................................................43

附錄2本規(guī)范用詞說明...................................................................45

概述

2本規(guī)范闡述了中國石油如何可以有效地控制購買商業(yè)軟件過

程中安全相關(guān)的特性和規(guī)定。著重規(guī)定了商業(yè)軟件采購過程中

的安全問題。通過將安全相關(guān)的考慮應(yīng)用到商業(yè)軟件采購的各

個環(huán)節(jié)中，實現(xiàn)對軟件自身的安全規(guī)定和采購過程中的安全

規(guī)定。一方面定義了在通常的商業(yè)軟件采購過程中各個職能崗

位人員的職責(zé)。然后提供了采購全過程的安全相關(guān)控制手段,

但是本規(guī)范并沒有提供商業(yè)軟件采購過程的完整具體描述（關(guān)

于商業(yè)軟件采購的進一步的具體信息參考的中國石油相關(guān)的

采購政策和流程，不屬于本文討論的范圍）。

3本規(guī)范規(guī)定了將軟件購買中需要考慮的安全問題融合到采購

過程的若干環(huán)節(jié)中去，并且解釋了購買過程中每個階段涉及

的相關(guān)安全環(huán)節(jié)的技術(shù)和安全規(guī)定c

4目的

5本規(guī)范的目的為：

6在商業(yè)軟件正式購入使用之前的采購過程中（從初期的采購計

劃和需求定義到最終的系統(tǒng)安裝和實行），通過將安全相關(guān)的

管理標準和規(guī)范應(yīng)用到采購的各個環(huán)節(jié)中，保證商業(yè)軟件安

全上需求的滿足以及在采購的重要環(huán)節(jié)上的安全控制。這樣可

以更有效地為商業(yè)軟件的使用和維護中的安全控制打下堅實

的基礎(chǔ)，保障了系統(tǒng)的安全可靠。

7合用范圍

本套規(guī)范合用的范圍涉及了所有在商業(yè)軟件購買過程中相關(guān)的安全問題和安全事

件。具體來說涉及了商業(yè)軟件采購的各個階段需要注意的安全問題和相關(guān)安全規(guī)范,

商業(yè)軟件的采購重要分為采購需求定義和分析階段、采購招標階段、采購評估階段

和最后的系統(tǒng)正式運營采購?fù)戤?。本?guī)范的內(nèi)容僅限于對商業(yè)軟件采購過程中安全

相關(guān)因素的考志，不涉及軟件業(yè)務(wù)功能Hl勺符合度或應(yīng)用功能上是否滿足業(yè)務(wù)需求

等和安全無關(guān)的采購需求。

本規(guī)范面向所有和商業(yè)軟件的采購相關(guān)的人員，如具有業(yè)務(wù)需求的用戶，采購工作

人員和相關(guān)技術(shù)人員以及信息安全工作人員。

8引用的文獻或標準

下列文獻中的條款通過本標準的引用而成為本標準的條款。凡是不注日期的引用文獻，其最

新版本合用于本標準。

1.GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準則

2.GB/T9387-1995信息解決系統(tǒng)開放系統(tǒng)互連基本參考模型(￡07498:1989)

3.GA/T391-2023計算機信息系統(tǒng)安全等級保護管理規(guī)定

4.ISO/IECTR13355信息技術(shù)安全管理指南

5.NIST信息安全系列一一美國國家標準技術(shù)院

6.英國國家信息安全標準BS7799

7.信息安全基礎(chǔ)保護ITBaselineProtectionManual(Germany)

8.BearingPointConsuking內(nèi)部信息安全標準

9.RUSecure安全技術(shù)標準

10.信息系統(tǒng)安全專家叢書CertificateInformat沁nSystemsSecurityProfessional

9術(shù)語和定義

訪問控制accesscontrol一種安全保證手段，即信息系統(tǒng)的資源只能由被授權(quán)實體按授權(quán)方式

進行訪問，防止對資源的未授權(quán)使用。

訪問控制列表accesscontrollist由擁有訪問權(quán)利的實體組成的列表，這些實體被授權(quán)訪問某

一資源。

認證certification信息系統(tǒng)技術(shù)和非技術(shù)的安全特性及其他防護的綜合評估，用以支持審批

過程和擬定特殊的設(shè)計和實際滿足一系列預(yù)定的安全需求的限度。

授權(quán)authorization給予權(quán)利，涉及信息資源訪問權(quán)的授予。

審計audit為了測試出系統(tǒng)的控制是否足夠，為了保證與己建立的策略和操作相符合，為了

發(fā)現(xiàn)安全中的漏洞，以及為了建議在控制、策略中倫任何指定的改變，而對系統(tǒng)記錄與活動進

行的獨立觀測。(GB9387-95)

可用性availability數(shù)據(jù)或資源的特性，被授權(quán)實體按規(guī)定能及時訪問和使用數(shù)據(jù)或資源。商

業(yè)軟件businesssoftware

保密性confidentiality數(shù)據(jù)所具有的特性，即表達數(shù)據(jù)所達成的未提供或未泄露給未授權(quán)的個

人、過程或其他實體的限度。

完整性integrity在防止非授權(quán)用戶修改或使用資源和防止授權(quán)用戶不對的地修改或使用資

源的情況下,信息系統(tǒng)中的數(shù)據(jù)與在原文檔中的相同，并未遭受偶爾或惡意的修改或破壞時所

具的性質(zhì)。

數(shù)據(jù)認證dataauthentication用來驗證數(shù)據(jù)完整性的過程。

數(shù)字署名digitalsignature添加到消息中的數(shù)據(jù)，它允許消息的接受方驗證該消息的來源。

加密encryption通過密碼系統(tǒng)把明文變換為不可懂的形式。

加密算法encryptionalgorithm實行一系列變換，使信息變成密文的一組數(shù)學(xué)規(guī)則。

身份辨認identityauthentication使信息解決系統(tǒng)能辨認出用戶、設(shè)備和其他實體的測試

實行過程。同身份驗證C

密鑰key控制加密或解密操作的位串。

公共密鑰publickey一種密鑰，任意實體都可用它與相相應(yīng)的私鑰擁有者進行加密通信。

風(fēng)險評估riskassessment一種系統(tǒng)的方法，標記出信息解決系統(tǒng)的資產(chǎn)、對這些資產(chǎn)的威脅

以及該系統(tǒng)對這些威脅的脆弱性。

安全需求等級securityclassification決定防止數(shù)據(jù)或信息需求的訪問的某種限度的保護，同

時對該保護限度給以命名。

例：“絕密”、“機密”、“秘密”。

安全配置secureconfiguration控制系統(tǒng)硬件與軟件結(jié)構(gòu)更改的一組規(guī)程。其目的是來保證這種

更改不致違反系統(tǒng)的安全策略。（軍用計算機安全術(shù)語）

安全測試securitytesting用于擬定系統(tǒng)的安全特性按設(shè)計規(guī)定實現(xiàn)的過程。這一過程涉及現(xiàn)場

功能測試、滲透測試和驗證。（軍用計算機安全術(shù)語）

敏感性評估sensitivityassessment信息擁有者分派給信息的一種重要限度的度量，以標出該

信息的保護需求。

威脅threat一種潛在的對安全的侵害以破壞、泄漏、數(shù)據(jù)修改和拒絕服務(wù)的方式，也許對系

統(tǒng)導(dǎo)致?lián)p害的環(huán)境或潛在事件。（GB9387-95）

弱點vulnerability導(dǎo)致破壞系統(tǒng)安全策略的系統(tǒng)安全規(guī)程、系統(tǒng)設(shè)計、實現(xiàn)、內(nèi)部控制等方

面的薄弱環(huán)節(jié)，在信息系統(tǒng)中能被威脅運用產(chǎn)生風(fēng)險。（軍用計算機安全術(shù)語）

消息認證碼是對信源消息的一個編碼函數(shù)，假如密鑰被用作消息摘要生成過程的一部分，則

將該算法稱為消息認證碼。

惡意代碼在硬件、固件或軟件中所實行的程序，其目的是執(zhí)行未經(jīng)授權(quán)的或有

害的行動。

后門通常為測試或查找故障而設(shè)立的一種隱藏的軟件或硬件機制，它能避開

計算機安全。并且它能在非常規(guī)時間點或無需常規(guī)檢查的情況下進入程序。

10商業(yè)軟件采購過程中的人員職責(zé)

10.1采購過程中的職能崗位定義

a）根據(jù)采購規(guī)模和性質(zhì)的不同，商業(yè)軟件采購過程會涉及很多的職能崗位。各

種職能崗位的名稱也會因組織機構(gòu)的不同而不同。以下是一個建議的重要職

能崗位的列表，這個列表中包含了在很多采購過程中都很重要的職能崗位。

在一些比較小的機構(gòu)中，一個人也許擔(dān)當(dāng)好幾個職能崗位的角色，但公司中

至少應(yīng)有以下列舉的崗位設(shè)立：

b）首席信息官（CIO）——公司信息安全的最高負責(zé)人之一，負責(zé)提出相關(guān)信息

系統(tǒng)設(shè)計，開發(fā)和實行的決策性建議。

c）協(xié)議負責(zé)人一一采購協(xié)議負責(zé)人，擁有啟動、管理和/或終止協(xié)議的權(quán)利，同

時負責(zé)解決相關(guān)的采購協(xié)議相關(guān)的決定。

d）項目經(jīng)理（數(shù)據(jù)所有者）/采購發(fā)起人一一在采購的過程中代表項目方面的利

益。他們在采購過程的初期就加入戰(zhàn)略規(guī)劃，在安全面也起著重要的作用，

同時密切關(guān)注系統(tǒng)功能需求。

e）采購技術(shù)代表一一由協(xié)議負責(zé)人指派的公司內(nèi)部技術(shù)人員，作為技術(shù)代表來

負責(zé)管理采購協(xié)議的技術(shù)方面的問題。

1）采購業(yè)務(wù)代表一一由提出購買申請的業(yè)務(wù)部門指派的公司內(nèi)部的業(yè)務(wù)部門管

理人員，負責(zé)提出軟件業(yè)務(wù)上的功能需求和安全上的具體需求。

g）公司安全負責(zé)人一一負責(zé)制訂公司的IT安全標準。在通過采用合適的、結(jié)構(gòu)

化的方法來擬定、評估和減小機構(gòu)的IT安全風(fēng)險的過程中起著領(lǐng)導(dǎo)性的作

用。負責(zé)保證信息系統(tǒng)在生命周期的整個過程中的安全，涉及了軟件購買中

從開始的需求分析階段直到最后的系統(tǒng)實行階段.

h）信息保密員一一負責(zé)保證購買的商用軟件或者系統(tǒng)符合現(xiàn)有的保密規(guī)范中的

相關(guān)條款，涉及保護、分發(fā)和密級減少的過程。

i）商業(yè)軟件購買投資委員會一一負責(zé)管理資本方案和控制管理投資的過程。從

資金預(yù)算的角度對采購進行管理。

其它參與者一一隨著采購和管理商業(yè)軟件系統(tǒng)的復(fù)雜度越來越大，采購過程相

關(guān)職能人員的列表也不斷的加長。采購團隊中的所有成.員必須?同工作來保證成

功的完畢采購任務(wù)。系統(tǒng)使用者可以幫助項目經(jīng)理來擬定需求、細化需求，并且

檢查、接受和使用系統(tǒng)。其他的參與者還涉及代表技術(shù)、配置管理、設(shè)計工程和

基礎(chǔ)設(shè)施方面的工作人員。

11商業(yè)軟件采購流程中的安全控制

商業(yè)軟件采購過程中的信息安全

采購需求定義和分析采購招標采購評估采購?fù)戤?/p>

階段

＞業(yè)務(wù)需求擬定＞根據(jù)供應(yīng)商資質(zhì)進＞評估計劃＞簽訂協(xié)議

采購＞建立需求和目的行初步篩選＞進行評估＞軟件實行

流程及業(yè)績的聯(lián)系＞制定RFP＞擬定供應(yīng)商＞抽查驗收

＞資產(chǎn)選擇評估＞向入圍供應(yīng)商分發(fā)＞商議修改計劃建議＞用戶培訓(xùn)

＞需求功能描述RFP書和工作一覽表＞內(nèi)部機構(gòu)審查

＞市場研究＞供應(yīng)商提交項目計＞協(xié)議完畢終止

＞可行性研究劃書和工作一覽表

＞需求分析(SOW)

＞費用-收益分析

＞風(fēng)險管理計劃

安全＞安全需求擬定＞確立商業(yè)軟件中的＞評估確認供應(yīng)商完＞訂立協(xié)議中安全

考慮＞安全需求分析安全特性需求全理解RFP中安全保障

＞相關(guān)機構(gòu)或授權(quán)＞確立對商業(yè)軟件供的需求＞采購過程中文檔

人員審核應(yīng)商的安全需求＞評估確認供應(yīng)商軟安全管理

＞以上環(huán)節(jié)的循環(huán)＞供應(yīng)商和產(chǎn)品選擇件產(chǎn)品計劃書和工＞軟件實行和驗收

＞其它安全因素考啟動階段相關(guān)安全作一覽表可以達成安全保障

慮因素考慮RFP中安全上的需＞用戶安全培訓(xùn)

求。＞原有軟件系統(tǒng)的

處置

上表所示的是信息相關(guān)安全如何融合到整個商業(yè)軟件采購過程中的。商業(yè)軟件采購安全環(huán)

節(jié)是一個需要被遵守的過程，同時也覆蓋了商業(yè)軟仁采購過程中所需要靠考慮的各種安

全因素。但其僅作為一個例子，并不是一個需要強制遵照執(zhí)行的規(guī)定。這個框架包含了商

業(yè)軟件安全采購細則需要考慮的核心問題。不一定要完全遵循這個框架中的采購實行環(huán)節(jié),

但必須嚴格遵循在采購的各個階段的安全考慮的問題。

11.1商業(yè)軟件采購的需求定義和分析階段

在進行安全需求收集和分析階段，應(yīng)將相關(guān)安全考慮的環(huán)節(jié)應(yīng)以一種循環(huán)的方式完畢。

這些環(huán)節(jié)互相關(guān)聯(lián)并且互為基礎(chǔ)。根據(jù)商業(yè)軟件系統(tǒng)規(guī)模和商業(yè)軟件系統(tǒng)復(fù)雜性的不同,

這些環(huán)節(jié)通常以一種不斷優(yōu)化和集中的方式來實現(xiàn)。下圖描述了安全需求分析中信息相

關(guān)安全環(huán)節(jié)是如何共同實現(xiàn)的。

開始

敏感性評估修正

不可接受的

其他部門審核

優(yōu)化和集中部分或

可接受的

者全部的分析

構(gòu)

關(guān)機

相

人

授權(quán)

或

申核

員

不可按受的

可控受的

與需求結(jié)合

11.1.1確認業(yè)務(wù)安全需求

11.1.1.1業(yè)務(wù)需求確認

＞需求擬定是對需要采用計算機自動化方式解決的問題的一個初始化的定義的

過程。傳統(tǒng)上，需求擬定是由一個對系統(tǒng)基本的想法、初步的需求定義、可

行性分析、技術(shù)分析和一些用于進一步調(diào)研的批準表格組成的。需求可以從

戰(zhàn)略或者是戰(zhàn)術(shù)的角度進行擬定：

戰(zhàn)略規(guī)劃定義了公司的重要信息資源和信息需求，制定出高層次的對于商業(yè)軟件系統(tǒng)的購買戰(zhàn)略。

戰(zhàn)術(shù)規(guī)劃定義了為完畢在戰(zhàn)略規(guī)劃中所涉及的相關(guān)任務(wù)，而制定的對于商業(yè)軟件系統(tǒng)的具體規(guī)定。

j）只有在機構(gòu)擬定有需求存在的時候，才干有采購計劃。需求擬定階段是商業(yè)

軟件采購過程最初的階段。

k）應(yīng)考察并確認建立一個新系統(tǒng)或者徹底升級一個原有系統(tǒng)的想法和可行性。

同時提出對于未來系統(tǒng)所可以完畢的功能上的需求定義。

1）對于業(yè)務(wù)需求的擬定應(yīng)和初步的敏感性分析需要同時進行。

11.1.1.2初步敏感性分析

a）初步的敏感性分析將產(chǎn)牛.一個簡要的對于系統(tǒng)安全性限度的需求。在實際中,

對商業(yè)軟件在安全面的需求體現(xiàn)于對系統(tǒng)完整性，可用性，保密性和其他可

實行的措施（比如賬戶設(shè)立，不可抵賴性）的需求。

b）完整性口］以從多個方面來檢查。從用戶的角度或者是系統(tǒng)管理者的角度，完

整性是數(shù)據(jù)在精確性和完備性基礎(chǔ)上的一種屬性。從系統(tǒng)或者是運營者的角

度，完整性的基礎(chǔ)是數(shù)據(jù)嚴格通過授權(quán)進行操作，或系統(tǒng)只根據(jù)預(yù)先設(shè)計的

行為運營，而不做其他的操作。

c）可用性規(guī)定了當(dāng)用戶需要數(shù)據(jù)的時候，數(shù)據(jù)在對的的位置、以對的的時間，并

且以對的的形式提供應(yīng)用戶。

d）保密性規(guī)定規(guī)定了除授權(quán)的用戶，數(shù)據(jù)是私密的，無法被訪問的。

C）初步的敏感性評估應(yīng)擬定出商業(yè)軟件產(chǎn)品或系統(tǒng)將運營的環(huán)境中存在的威

脅。在初步敏感性評估之后應(yīng)擬定初步的安全控制，這些安全控制將在運營

環(huán)境中保護產(chǎn)品和系統(tǒng)。

＞初步的敏感性評估并不需要一個過度復(fù)雜的敏感性評估方案，但必須對將要

采購的軟件系統(tǒng)的重要性進行擬定。擬定系統(tǒng)的敏感性必須考慮法律因素、

國家政策、組織規(guī)范和系統(tǒng)的功能需求。敏感性評估需要考慮的重要因素應(yīng)

涉及：

＞該軟件系統(tǒng)對了中國石油的整體戰(zhàn)略的重要性。

＞該軟件系統(tǒng)在非授權(quán)情況下被修改、泄漏，或系統(tǒng)和信息無法使用也許導(dǎo)致

的后果。

＞該軟件系統(tǒng)對保護員工隱私的需求。

11.1.2安全需求分析

a）通過進行與需要采購的商業(yè)軟件產(chǎn)品的規(guī)模和復(fù)雜性相關(guān)的需求分析，公司

在采購初期階段應(yīng)擬定對于所需IT系統(tǒng)的需求，并制定相應(yīng)的文檔。安全需

求分析是對業(yè)務(wù)需求中隱含的安全面的需求的進一步分析。在安全需求分析

中必須根據(jù)以下環(huán)節(jié)進行分析：

b）完整性、可用性和保密性需求分析

c）進一步完善敏感性評估

d）安全需求等級分析

e）風(fēng)險評估

0相關(guān)機構(gòu)或授權(quán)人員審核

上藥的環(huán)節(jié)可作為安全需求分析的指導(dǎo)原則。根據(jù)初步敏感性評估擬定的安全目的，制定所有必要的安

全需求來解決相應(yīng)的安全問題。將所有也許的安全威脅完整地相應(yīng)到安全需求中去。

雖然這里以一系列環(huán)節(jié)的方式來擬定出安全需求分折的內(nèi)容，這些安全需求的執(zhí)行環(huán)節(jié)也可進行調(diào)整。

對安全規(guī)定特別高的商業(yè)軟件系統(tǒng)，需要循環(huán)使用這些環(huán)節(jié)，直到制定出所有的安全規(guī)定。

11.1.2.1完整性、可用性和保密性需求分析

a）應(yīng)擬定需要進行保護的內(nèi)容。這些分析將在業(yè)務(wù)需求分析階段的初步敏感性

評估的基礎(chǔ)上進行，但是將更為進一步和具體。

應(yīng)基于基本安全規(guī)定的法律和法規(guī)的符合性分析。在這一過程中，和初始的需

求定義階段不同，分析集中在要購買的商業(yè)軟件的安全相關(guān)的問題。同時應(yīng)對

于法律、功能和其他的IT安全需求都應(yīng)形成具體的條目。

對于復(fù)雜系統(tǒng)，宜進行多次的分析。對于大多數(shù)系統(tǒng)至少都會有最基本的完整

性和可用性的規(guī)定，這些特定方面的需求必須清楚的定義。安全性需求不只是

保密性，沒有保密性需求的系統(tǒng)也也許需要完整性和可用性方面的安全需求。

11.1.2.2進一步完善敏感性評估

完畢了完整性、可用性和保密性分析后，應(yīng)在分析結(jié)果上完善敏感性評估。

11.1.2.3安全需求等級分析

a）提出對的的完全的安全需求是有效的運用IT安全控制手段的基礎(chǔ)。但抱負化

的安全需求往往無法在現(xiàn)實中達成。因此安全需求等級分析是指軟件采購者

須確認對于購買的商業(yè)軟件的安全規(guī)定和流程可以在多大限度上在系統(tǒng)環(huán)境

中被對的和有效的執(zhí)行。

擬定安全需求等級是非常困難的，由于進行安全等級檢查也許非常昂貴并且很難對安全的各種需求其

進行量化并加權(quán)評選出必須實現(xiàn)的安全需求。這一步的分析應(yīng)擬定要購買的軟件的安全性必須在多大限

度上被保證對的和有效的執(zhí)行。這此分析將在法律和功能需求分析的基礎(chǔ)上進行，從而擬定需要什么類

型以及何種限度的安全級別。

正如安全的其他方面同樣，應(yīng)考慮合理的性價比，并滿足保護機構(gòu)數(shù)據(jù)的保密性、完整性和可用性規(guī)定.

規(guī)定絕對的安全是無法達成的。在通常情況下都需要對系統(tǒng)的功能和可達成的安全能力之間進行平衡。

11.1.2.4風(fēng)險評估

風(fēng)險評估是采購規(guī)劃階段的重要環(huán)節(jié)。可以用來擬定哪些控利手段性價比比較合理，并且它也成為擬定

需要哪些強制和適當(dāng)?shù)囊?guī)范的基礎(chǔ)。風(fēng)險評估應(yīng)在批準設(shè)計規(guī)范前進行。此外，風(fēng)險評估在規(guī)范遭到反

對時提供了證明的手段。

對于商業(yè)軟件的風(fēng)險評估不一定是一個復(fù)雜的過程，但是象其他風(fēng)險分析同樣，必須考慮相關(guān)的信息資

產(chǎn)、對信息資產(chǎn)的威脅、潛在的問題以及解決問題的方法。同時風(fēng)險評估必須考慮現(xiàn)有的控制及它們的

效果。風(fēng)險評估需要其他功能部門的參與。風(fēng)險評估揩使用完整性、可用性和保密性需求分析的結(jié)果，并

擬定信息資產(chǎn)的價值以及安全問題會對它們導(dǎo)致的影響。具體的風(fēng)險評估的方法的相應(yīng)的規(guī)范可以參照

《風(fēng)險評估規(guī)范》。

11.1.3相關(guān)機構(gòu)或授權(quán)人員審核

b）根據(jù)商業(yè)軟件系統(tǒng)的大小和作川范圍不同，應(yīng)建立相關(guān)的機構(gòu)或職能小組來

對于商業(yè)軟件的安全需求進行審核，該類人員的審核對于商業(yè)軟件的安全需

求的確認將很有幫助。即使對于比較小的軟件系統(tǒng)，也應(yīng)引入相應(yīng)的的審核

機制。

C）該小組或機構(gòu)應(yīng)涉及一些不同背景的人員，如軟件最終使用者、采購項目經(jīng)

理和采購需求的發(fā)起人；系統(tǒng)及相關(guān)軟件安全的管理員：安全官員或?qū)＜遥?/p>

及C&A（通過認證和授權(quán)）代表；以及系統(tǒng)和應(yīng)用分析人員。

＞在安全需求分析階段后期引入審核機制可減少整個商業(yè)軟件購買周期

的成本，并且在較早的時候變更需求也比較容易。相關(guān)的審核機構(gòu)或授

權(quán)審核人員可以：

＞驗證這個項目的安全計劃是否包含了和IT構(gòu)架相一致的安全控制手段

d）保證安全計劃可以管理風(fēng)險，保護隱私和保密內(nèi)容

具有一定技術(shù)資格的授權(quán)人員應(yīng)證明已經(jīng)提出的安全需求中的安全控制可以真正滿足需求。這種確

認是允許商用