SN-T 5562.8-2023 海關實驗室數(shù)字化管理規(guī)范 第8部分：安全管理

學兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ標準下載1 2ICS03.20.0學兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ標準下載1 2CCSA00中華人民共和國出入境檢驗檢疫行業(yè)標準8SN/T

5562.—20238海關實驗室數(shù)字化管理規(guī)范

8

:

ii

i t i

iii

i t i

iiPart8:Securtymanagementi-

- -

--

- -

-中華人民共和國海關總署 發(fā)

布學ｗｗ．ｂｚｆｘｗ．ｃｏｍ標準兔兔ｗ下載學ｗｗ．ｂｚｆｘｗ．ｃｏｍ標準兔兔ｗ下載學兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ標準下載8SN/T5562.—2023學兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ標準下載8前 言本文件按照

GB/T1.標準化工作導則 第1部分:標準化文件的結構和起草規(guī)則》的規(guī)定起草。本文件是SN/T5562《海關實驗室數(shù)字化管理規(guī)范》的第8部分。SN/T5562已經(jīng)發(fā)布了以下部分:———第1部分:總則;———第2部分:組織管理;———第3部分:數(shù)據(jù)管理;———第4部分:架構管理;———第5部分:數(shù)據(jù)控制和信息管理;———第6部分:數(shù)據(jù)分析管理;———第7部分:服務方管理;———第8部分:安全管理。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由中華人民共和國海關總署提出并歸口。本文件起草單位:廣州海關技術中心、漳州海關綜合技術服務中心、番禺職業(yè)技術學院、北京三維天地科技股份有限公司、中國電子口岸數(shù)據(jù)中心廣州分中心、深圳海關信息中心、廣州海成電子科技有限公司。本文件主要起草人:張彥彬、陳泳、劉世明、蘇楊、李靜、周錦順、李志勇、劉丹、席靜、林子旭、林俊偉、朱亞豐、熊猛杰、包先雨、陳炳穎、何王福、鄭俊超、梁茵茵。學兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ標準下載8SN/T5562.—2023學兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ標準下載8引 言為規(guī)范海關實驗室數(shù)字化管理,提高實驗室的數(shù)字化管理水平,擬制定SN/T5562《海關實驗室數(shù)字化管理規(guī)范》推動海關實驗室數(shù)字化管理的規(guī)范化,確立適用于海關實驗室數(shù)字化建設和管理的原則和要求,擬由八個部分構成。———第1部分:總則。目的在于確立適用于海關實驗室數(shù)字化建設和管理的總體原則和要求。———第2部分:組織管理。目的在于確立適用于海關實驗室數(shù)字化建設和管理過程中的組織建設、組織結構管理、人員管理的組織管理要求?！?部分:數(shù)據(jù)管理。目的在于確立適用于海關實驗室數(shù)字化建設和管理過程中的數(shù)據(jù)編碼、數(shù)據(jù)分類、數(shù)據(jù)交換、數(shù)據(jù)存儲及維護的數(shù)據(jù)管理要求?！?部分:架構管理。目的在于確立適用于海關實驗室數(shù)字化建設和管理過程中的可為未來一定時期內各種資源和信息系統(tǒng)建設提供整體性、長期性的發(fā)展規(guī)劃建議和指導的架構管理要求。———第5部分:數(shù)據(jù)控制和信息管理。目的在于確立適用于海關實驗室數(shù)字化建設和管理過程中的數(shù)據(jù)控制、信息管理、持續(xù)改進的數(shù)據(jù)控制和信息管理要求?！?部分:數(shù)據(jù)分析管理。目的在于確立適用于海關實驗室數(shù)字化建設和管理過程中的數(shù)據(jù)分析基本要求、數(shù)據(jù)分析指標管理、數(shù)據(jù)分析過程、數(shù)據(jù)分析技術與方法、數(shù)據(jù)分析結果應用的數(shù)據(jù)分析管理要求?！?部分:服務方管理。目的在于確立適用于海關實驗室數(shù)字化建設和管理過程中的服務方選擇、服務過程管理、服務評價與持續(xù)改進、關鍵點控制、服務方管理數(shù)字化的服務方管理要求?！?部分:安全管理。目的在于確立適用于海關實驗室數(shù)字化建設和管理過程中的實驗室常規(guī)安全、網(wǎng)絡安全、系統(tǒng)安全和數(shù)據(jù)安全管理的安全管理要求。學兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ標準下載8SN/T5562.—2023學兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ標準下載8海關實驗室數(shù)字化管理規(guī)范第8部分:安全管理1

范圍本文件規(guī)定了海關實驗室數(shù)字化過程中的安全管理要求。本文件適用于海關實驗室數(shù)字化建設和管理過程中的實驗室常規(guī)安全、網(wǎng)絡安全、系統(tǒng)安全和數(shù)據(jù)安全管理。2

規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對應的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB19489

實驗室生物安全通用要求1GB/T27476.—2014

檢測實驗室安全 第1部分:總則1HS/T22—2018

海關信息化術語1SN/T5562. 海關實驗室數(shù)字化管理規(guī)范 第1部分:總則13

術語和定義1GB19489、GB/T27476.、HS/T22—2018和SN/T5562.界定的術語和定義適用于本文件。14

總體原則海關實驗室宜建立安全體系,保障“生產(chǎn)安全、生物安全、質量安全和數(shù)據(jù)安全”。海關實驗室數(shù)字化過程中的安全管理,可包括實驗室常規(guī)安全、網(wǎng)絡安全、系統(tǒng)安全和數(shù)據(jù)安全管理。5

安全管理15. 實驗室常規(guī)安全1 1115.. 實驗室的設備、設施、環(huán)境、人員和生產(chǎn)過程安全應遵守

GB/T27476.—2014中第5章的 111求,涉及實驗室生物安全通用要求應遵守

GB19489的規(guī)定。125.. 實驗室宜使用安全管理相關信息系統(tǒng),保障實驗室管理的相關安全管理規(guī)定的規(guī)范有效實施和12落地,從人員、設備設施、樣品、試劑耗材、檢驗過程等方面實現(xiàn)實驗室日常安全管理、應急處置管理、生產(chǎn)安全管理和質量安全管理。135.. 實驗室應保持常態(tài)化關注實驗室安全相關的法律、法規(guī)、規(guī)章和政府部門規(guī)定,及時更新管理制13度并嚴格執(zhí)行。1學兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ標準下載8SN/T5562.—2023學兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ標準下載825. 網(wǎng)絡安全221225.. 實驗室應遵守海關網(wǎng)絡安全相關管理規(guī)定,明確網(wǎng)絡安全工作領導機構和部門職責分工。21225.. 實驗室應利用技術手段監(jiān)測、記錄網(wǎng)絡運行狀態(tài)和網(wǎng)絡安全事件,定期開展安全檢測,防范計算機病毒和網(wǎng)絡攻擊、網(wǎng)絡侵入等危害海關網(wǎng)絡安全的行為。235.. 實驗室應建立網(wǎng)絡安全應急管理工作機制并發(fā)布應急預案,明確網(wǎng)絡安全事件處理流程、職責23和人員,加強網(wǎng)絡安全應急力量建設和應急資源儲備,應定期組織應急演練。245.. 實驗室宜定期開展實驗室人員的網(wǎng)絡安全教育培訓,并對網(wǎng)絡安全相關崗位人員加強網(wǎng)絡安全24技能培訓。255.. 實驗室應在內網(wǎng)、對外接入局域網(wǎng)、互聯(lián)網(wǎng)間進行隔離和訪問控制,不同等級網(wǎng)絡安全域間應當25采取嚴格的訪問控制措施和邊界防護手段。265.. 實驗室信息系統(tǒng)用戶應當簽訂網(wǎng)絡安全承諾書,承諾遵守網(wǎng)絡安全管理制度及相關安全規(guī)26范,不得破壞實驗室信息系統(tǒng)的安全穩(wěn)定運行,不得發(fā)布或者傳播法律、行政法規(guī)、海關及本實驗室規(guī)定禁止發(fā)布或者傳播的信息,不得盜取數(shù)據(jù)、破壞系統(tǒng),不得非法出售或者非法向他人提供關鍵敏感信息或數(shù)據(jù)。275.. 實驗室采購重要網(wǎng)絡產(chǎn)品或者服務時,應要求服務方簽訂安全保密協(xié)議,明確要求不得設置惡27意程序或者后門,不得泄露、擴散、轉讓建設服務過程中獲知的海關相關信息,承擔漏洞修復等安全保密責任義務,并對責任義務履行情況進行監(jiān)督。35. 系統(tǒng)安全3315.. 信息系統(tǒng)建設應遵守海關安全開發(fā)規(guī)范。3132335.. 信息系統(tǒng)開發(fā)測試環(huán)境與實際運行環(huán)境應物理分離,加強信息系統(tǒng)開發(fā)環(huán)境安全管理。32335.. 應根據(jù)信息系統(tǒng)安全等級要求,建立信息系統(tǒng)身份認證和權限控制機制,根據(jù)權限或保密的級別選擇合適的身份認證手段,并做好范圍、期限權限的授權管理,授權人員變更管理,海關單位外部人員授權管理。定期對信息系統(tǒng)賬號的管理及使用情況進行檢查。345.. 信息系統(tǒng)上線運行前應通過代碼安全審查、漏洞掃描及惡意代碼檢測,并要求系統(tǒng)建設服務方34提供安全檢測報告、軟件源代碼、測試或者維護接口清單等內容。應定期進行信息系統(tǒng)的漏洞掃描和配置核查,及時處置存在的高風險漏洞和嚴重配置問題,嚴格限制存在高風險漏洞和嚴重配置問題的信息系統(tǒng)和信息化設備上線運行。45. 數(shù)據(jù)安全4415.. 實驗室應建立覆蓋數(shù)據(jù)采集、存儲、傳輸、使用、處理和銷毀等實驗室數(shù)據(jù)全生命周期的數(shù)據(jù)安4142全管理體系,防范和控制數(shù)據(jù)安全風險,采取科學有效的技術手段和組織措施保障數(shù)據(jù)安全。425.. 應對信息系統(tǒng)使用、產(chǎn)生的介質或數(shù)據(jù)進行安全存儲管理,注意防火、防高溫、防震、防磁、防靜電及防盜。435..應按海關數(shù)據(jù)安全相關管理規(guī)定,對數(shù)據(jù)進行分級分類,并根據(jù)實際情況的變化及時對數(shù)據(jù)級43別進行調整,并建立嚴格的保密保管制度。445.. 應定義數(shù)據(jù)備份策略,實施數(shù)據(jù)備份管理,適宜時定期進行備份恢復測試,以確保系統(tǒng)出現(xiàn)數(shù)據(jù)44誤刪除、病毒感染、自然災害等故障后能夠及時恢復數(shù)據(jù),保證系統(tǒng)運行。45465.. 應對檢測報告等系統(tǒng)中的敏感數(shù)據(jù)、關鍵信息,進行數(shù)據(jù)加密管理。例如,采用電子簽名技術確4546保數(shù)據(jù)的合法性和完整性。應當對互聯(lián)網(wǎng)傳入的文件進行安全檢測與控制,并進行日志記錄,防范惡意代碼攻擊。對已發(fā)生信息安全問題的信息系統(tǒng),應重新評估對應系統(tǒng)的實驗室