GB/T 26318-2010物流網(wǎng)絡信息系統(tǒng)風險與防范

ICS0310001

A02..

中華人民共和國國家標準

GB/T26318—2010

物流網(wǎng)絡信息系統(tǒng)風險與防范

Logisticsnetworkinformationsystemsriskandprevention

2011-01-14發(fā)布2011-05-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T26318—2010

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語和定義………………

31

物流網(wǎng)絡信息系統(tǒng)技術(shù)原則和風險分類………………

42

物流基礎(chǔ)數(shù)據(jù)風險與防范措施…………

58

實體風險與防范措施……………………

610

硬件風險與防范措施……………………

712

軟件風險與防范措施……………………

814

管理風險與防范措施……………………

920

參考文獻……………………

24

Ⅰ

GB/T26318—2010

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準由中華人民共和國商務部提出并歸口

。

本標準起草單位浙江雙馬國際貨運有限公司深圳市聯(lián)合縱橫國際貨運代理有限公司新景程國

:、、

際物流有限公司中國國際電子商務有限公司全國國際貨運代理標準化技術(shù)委員會中外運長航集團

、、、

有限公司中國海運集團總公司中國中鋼集團公司錦程物流集團公司北京交通大學中鋼國際

、()、、()、、

貨運有限公司上海寶霖國際危險品物流有限公司福建金航國際貨運代理有限公司廈門分公司上海

、、、

港虹信息科技有限公司廈門通程物流有限公司內(nèi)蒙古安快物流集團新時代保險經(jīng)紀有限公司新疆

、、、、

德魯亞國際物流有限公司新疆托木爾貨運代理有限責任公司

、。

本標準主要起草人林忠王喜富蔣寒松胡榮楊爽陳崢馮建萍楊旭景洪德張海峰陳智勇

:、、、、、、、、、、、

李莉麗

。

Ⅲ

GB/T26318—2010

引言

本標準通過對物流信息資產(chǎn)面臨的威脅資產(chǎn)存在的脆弱性以及脆弱性被威脅利用后所產(chǎn)生的實

、、

際負面影響等進行識別分析從而得到資產(chǎn)威脅和脆弱性相映射的資產(chǎn)價值威脅等級和薄弱點等級

、,、、

等轉(zhuǎn)化成以提示的形式給出了物流基礎(chǔ)數(shù)據(jù)風險實體風險硬件風險軟件風險和管理風險五個方面

,、、、

的主要風險來源和相應的防范措施以對付威脅減少脆弱性限制意外事件影響實現(xiàn)以下一種或多種

,、、,

功能預防延遲阻止檢測限制修正恢復監(jiān)控以及意識性提示或強化

:、、、、、、、。

當前由于我國中小物流企業(yè)占多數(shù)而企業(yè)規(guī)模服務水平人員素質(zhì)地域等差異不一導致企

,、,、、、,

業(yè)在信息化建設(shè)和技術(shù)運用與其實際的經(jīng)營規(guī)模業(yè)務范圍流程和管理之間發(fā)展不平衡制約了企業(yè)

、、,

和行業(yè)的信息化的發(fā)展加大了企業(yè)的運營風險本標準旨在提高中小物流企業(yè)的物流網(wǎng)絡信息風險

,。、

防范的能力

。

Ⅳ

GB/T26318—2010

物流網(wǎng)絡信息系統(tǒng)風險與防范

1范圍

本標準規(guī)定了物流網(wǎng)絡信息系統(tǒng)的風險評估安全防范措施和安全管理要求

、。

本標準適用于我國物流企業(yè)對信息系統(tǒng)或物流信息系統(tǒng)公共服務平臺進行規(guī)范與管理并可作為

,

相關(guān)機構(gòu)對物流網(wǎng)絡信息系統(tǒng)進行安全評價的依據(jù)

。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)信息安全風險評估規(guī)范

GB/T20984—2007

3術(shù)語和定義

下列術(shù)語和定義適用于本文件

。

31

.

資產(chǎn)asset

對組織具有價值的信息或資源是安全策略保護的對象

,。

定義

[GB/T20984—2007,3.1]

32

.

資產(chǎn)價值assetvalue

資產(chǎn)的重要程度或敏感程度的表征資產(chǎn)價值是資產(chǎn)的屬性也是進行資產(chǎn)識別的主要內(nèi)容

。,。

定義

[GB/T20984—2007,3.2]

33

.

威脅threat

可能導致對系統(tǒng)或組織危害的不希望事故潛在起因

。

定義

[GB/T20984—2007,3.17]

34

.

薄弱點vulnerability

資產(chǎn)或資產(chǎn)組