DB2101T 0080-2023 企業(yè)商業(yè)秘密信息化安全防護(hù)規(guī)范

企業(yè)商業(yè)秘密信息化安全防護(hù)規(guī)范2023-08-28發(fā)布2023-09-28實施IDB2101/T0080—2023前言 II 12規(guī)范性引用文件 3術(shù)語和定義 4機(jī)構(gòu)與職責(zé) 24.1安全防護(hù)管理機(jī)構(gòu) 24.2信息安全保密管理人員 35策略與制度 46技術(shù)要求 46.1物理環(huán)境安全 46.2網(wǎng)絡(luò)及邊界安全 56.3主機(jī)、應(yīng)用、數(shù)據(jù)安全 67建設(shè)管理 87.1安全方案設(shè)計 87.2產(chǎn)品或服務(wù)的選擇 87.3軟件開發(fā) 87.4工程實施 87.5系統(tǒng)交付與驗收 88運(yùn)維管理 98.1環(huán)境管理 98.2資產(chǎn)管理 98.3存儲載體管理 98.4維護(hù)管理 98.5漏洞與隱患管理 98.6升級管理 8.7配置管理 8.8變更管理 8.9備份與恢復(fù)管理 8.10外包運(yùn)維管理 9風(fēng)險監(jiān)測與評估 9.1風(fēng)險監(jiān)測 9.2風(fēng)險評估 10安全事件處置與應(yīng)急管理 10.1安全事件處置 10.2應(yīng)急預(yù)案管理 參考文獻(xiàn) DB2101/T0080—2023本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利，本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由沈陽市市場監(jiān)督管理局（沈陽市知識產(chǎn)權(quán)局）提出并歸口，同時負(fù)責(zé)標(biāo)準(zhǔn)的宣貫、監(jiān)督實施等工作。本文件起草單位：沈鼓集團(tuán)股份有限公司、沈陽市市場監(jiān)督管理局、沈陽市鐵西區(qū)市場監(jiān)督管理局、沈陽市市場監(jiān)管事務(wù)服務(wù)中心。本文件主要起草人：郝玉明、邊作晰、于佳、田寧、趙永輝、張功、丁凱、靳川、劉爽、薛曉穎、勾穎、王磊、孫潔。本文件發(fā)布實施后，任何單位和個人如有問題和意見建議，均可以通過來電、來函等方式進(jìn)行反饋，我們將及時答復(fù)并認(rèn)真處理，根據(jù)實施情況依法進(jìn)行評估及復(fù)審。本文件歸口部門通訊地址：沈陽市市場監(jiān)督管理局（沈陽市沈河區(qū)南關(guān)路118號）；聯(lián)系電話本文件起草單位通訊地址：沈鼓集團(tuán)股份有限公司(沈陽經(jīng)濟(jì)技術(shù)開發(fā)區(qū)開發(fā)大路16號甲)；聯(lián)系電話1DB2101/T0080—2023企業(yè)商業(yè)秘密信息化安全防護(hù)規(guī)范本文件規(guī)定了企業(yè)商業(yè)秘密信息化安全防護(hù)體系的機(jī)構(gòu)職責(zé)、策略與制度、技術(shù)要求、建設(shè)管理、運(yùn)維管理、安全事件處置與應(yīng)急管理。本文件適用于企業(yè)商業(yè)秘密信息化安全防護(hù)體系的規(guī)劃、建設(shè)、運(yùn)維與改進(jìn)管理，同時也可為機(jī)構(gòu)、協(xié)會、科研院所等組織的商業(yè)秘密技術(shù)防護(hù)措施提供參考。主要用于有下列需求的企業(yè)：a）建立商業(yè)秘密信息化安全防護(hù)體系；b）運(yùn)行并持續(xù)改進(jìn)商業(yè)秘密信息化安全防護(hù)體系；c）尋求外部組織對其商業(yè)秘密技術(shù)防護(hù)體系進(jìn)行評價。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T2887-2011計算機(jī)場地通用規(guī)范GB/T9361-2011計算機(jī)場地安全要求DB21/T3659-2022商業(yè)秘密保護(hù)管理規(guī)范3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1商業(yè)秘密tradesecret不為公眾所知悉，具有商業(yè)價值，并經(jīng)權(quán)利人采取相應(yīng)保密措施的技術(shù)信息、經(jīng)營信息等商業(yè)信息。3.2涉密設(shè)備confidentialdevice釆集、存儲、處理、傳輸涉及企業(yè)商業(yè)秘密信息的各類設(shè)備。3.3涉密信息系統(tǒng)confidentialinformationsystem由計算機(jī)及其相關(guān)和配套設(shè)施、設(shè)備構(gòu)成的，按照一定應(yīng)用目標(biāo)和規(guī)則存儲、處理、傳輸企業(yè)商業(yè)秘密信息的系統(tǒng)。2DB2101/T0080—20233.4涉密載體confidentialcarrier以文字、數(shù)據(jù)、符號、圖形、圖像、視頻和音頻等方式記錄或存儲企業(yè)商業(yè)秘密信息的紙介質(zhì)、磁介質(zhì)、光介質(zhì)以及半導(dǎo)體介質(zhì)等各類物品。3.5安全域securitydomain由一組具有相同安全保護(hù)需求、并相互信任的信息系統(tǒng)、網(wǎng)絡(luò)及設(shè)備組成的邏輯區(qū)域。3.6涉密區(qū)域confidentialarea企業(yè)內(nèi)產(chǎn)生、存儲、處理、傳輸涉及商業(yè)秘密信息的場所。3.7信息安全產(chǎn)品informationsecurityproducts專門用于保障信息安全的軟件、硬件或其組合體。4機(jī)構(gòu)與職責(zé)4.1安全防護(hù)管理機(jī)構(gòu)4.1.1組織設(shè)置與職責(zé)4.1.1.1企業(yè)應(yīng)成立商業(yè)秘密信息化安全防護(hù)委員會，負(fù)責(zé)本單位商業(yè)秘密信息化安全防護(hù)體系規(guī)劃指導(dǎo)與總體管理，其最高領(lǐng)導(dǎo)由單位主管信息安全的領(lǐng)導(dǎo)擔(dān)任或授權(quán)。4.1.1.2企業(yè)應(yīng)設(shè)立商業(yè)秘密信息化安全防護(hù)管理工作的職能部門，負(fù)責(zé)本單位商業(yè)秘密信息化安全防護(hù)體系建設(shè)實施和日常管理。4.1.2崗位配置與職責(zé)4.1.2.1企業(yè)應(yīng)設(shè)置專職或兼職信息安全與保密技術(shù)防護(hù)管理負(fù)責(zé)人崗位，并確定其職責(zé)。4.1.2.2企業(yè)應(yīng)為各類涉密信息系統(tǒng)、信息安全產(chǎn)品設(shè)立信息安全保密管理崗位，包括：系統(tǒng)管理員、安全保密員和安全審計員等崗位，并確定各個工作崗位的職責(zé)。4.1.2.3對于涉及核心商業(yè)秘密（根據(jù)DB21/T3659商業(yè)秘密保護(hù)管理規(guī)范5.1.2條款確定密級，以下相同）的涉密信息系統(tǒng)、信息安全產(chǎn)品，應(yīng)配備專職安全管理員，不可兼任。4.1.3授權(quán)與審批4.1.3.1企業(yè)應(yīng)對涉密信息系統(tǒng)和網(wǎng)絡(luò)的規(guī)劃、建設(shè)、變更等建立逐級審批程序，所有審批流程應(yīng)經(jīng)過所在部門、商業(yè)秘密保護(hù)職能部門、商業(yè)秘密信息化安全防護(hù)委員會審批，明確各審批節(jié)點的審批人員及審批權(quán)限，按照規(guī)定履行審批程序，并保存審批記錄。4.1.3.2企業(yè)應(yīng)根據(jù)各個部門業(yè)務(wù)內(nèi)容和崗位職責(zé)確定具有的涉密信息系統(tǒng)、信息安全產(chǎn)品和網(wǎng)絡(luò)權(quán)限，建立審批流程，所有審批流程應(yīng)經(jīng)過所在部門、商業(yè)秘密保護(hù)職能部門審批，明確各審批節(jié)點的審批人員及審批權(quán)限，所有權(quán)限的賦予應(yīng)履行審批程序，并保存審批記錄。3DB2101/T0080—20234.1.3.3企業(yè)應(yīng)定期審查審批人員審批事項及審批權(quán)限使用情況，并在人員及權(quán)限變更時及時更新授權(quán)，以確保審批過程的有效性和安全性。4.1.3.4企業(yè)應(yīng)定期審查上述各類審批事項，保證各類審批程序按照要求執(zhí)行，對不符合要求的情況予4.1.4內(nèi)外部溝通和合作4.1.4.1企業(yè)應(yīng)加強(qiáng)內(nèi)部與外部的溝通合作，按照國家政策法規(guī)、標(biāo)準(zhǔn)規(guī)范、行業(yè)發(fā)展趨勢和企業(yè)業(yè)務(wù)發(fā)展情況，及時調(diào)整、改進(jìn)、完善商業(yè)秘密信息化安全防護(hù)體系，保障企業(yè)商業(yè)秘密安全。4.1.4.2企業(yè)應(yīng)建立有效的內(nèi)部溝通機(jī)制，定期通過現(xiàn)場調(diào)研、問卷調(diào)查、座談、會議等方式，實現(xiàn)安全管理部門與業(yè)務(wù)部門間的有效溝通。4.1.4.3企業(yè)應(yīng)建立有效的外部交流與溝通機(jī)制，與政府部門、機(jī)構(gòu)、協(xié)會、科研院所、安全廠商等建立指導(dǎo)、合作、產(chǎn)學(xué)研等工作模式，有效提升企業(yè)安全防護(hù)能力。4.1.5檢查、考核與整改4.1.5.1企業(yè)應(yīng)定期組織各類涉密信息系統(tǒng)、信息安全產(chǎn)品及網(wǎng)絡(luò)的安全保密檢查，檢查內(nèi)容包括各類系統(tǒng)及網(wǎng)絡(luò)運(yùn)行情況、系統(tǒng)安全配置、系統(tǒng)及網(wǎng)絡(luò)權(quán)限、數(shù)據(jù)備份與恢復(fù)、系統(tǒng)漏洞發(fā)現(xiàn)與修復(fù)等。4.1.5.2企業(yè)組織安全保密檢查應(yīng)制定并使用規(guī)范的檢查表，對檢查內(nèi)容、檢查時間、檢查人等進(jìn)行記錄，匯總并形成檢查報告。4.1.5.3企業(yè)應(yīng)對安全保密檢查中發(fā)現(xiàn)的問題和漏洞進(jìn)行閉環(huán)管理和控制，并由組織責(zé)任單位進(jìn)行問題與漏洞的整改，形成整改結(jié)論與報告。4.2信息安全保密管理人員4.2.1人員錄用4.2.1.1企業(yè)應(yīng)對信息安全保密管理人員（包括系統(tǒng)管理員、安全保密員、安全審計員及相關(guān)人員）的錄用進(jìn)行必要的背景調(diào)查與專業(yè)素質(zhì)測評，包括對被錄用人員的教育背景、專業(yè)資格或資質(zhì)、從業(yè)經(jīng)歷、與原單位簽訂保密協(xié)議及競業(yè)限制協(xié)議的情況、掌握原單位知識產(chǎn)權(quán)的情況等進(jìn)行審查，對其所具有的專業(yè)技能進(jìn)行測評。4.2.1.2企業(yè)應(yīng)與信息安全保密管理人員簽訂保密協(xié)議，保密協(xié)議應(yīng)明確保密內(nèi)容、保密權(quán)利和義務(wù)、違約責(zé)任等。4.2.2人員崗位變更與離職4.2.2.1企業(yè)應(yīng)及時按照信息安全保密管理人員崗位職責(zé)權(quán)限的變更，及時調(diào)整信息安全保密管理人員系統(tǒng)、網(wǎng)絡(luò)、硬件設(shè)備權(quán)限。4.2.2.2信息安全保密管理人員離職時，企業(yè)應(yīng)與離職人員簽署競業(yè)限制協(xié)議后，及時收回離職信息安全保密管理人員的系統(tǒng)、網(wǎng)絡(luò)權(quán)限，組織離職人員完成硬件設(shè)備與工作交接。4.2.3安全意識教育和培訓(xùn)企業(yè)應(yīng)定期制定信息安全保密管理人員的培訓(xùn)計劃，內(nèi)容包括安全保密技術(shù)知識、崗位技能、系統(tǒng)和設(shè)備操作規(guī)程等培訓(xùn)項目，根據(jù)培訓(xùn)計劃定期對信息安全保密管理人員進(jìn)行安全保密意識教育和培訓(xùn)，進(jìn)行培訓(xùn)效果評價以及考核；企業(yè)應(yīng)定期評估培訓(xùn)需求并更新培訓(xùn)計劃，以確保培訓(xùn)內(nèi)容與現(xiàn)行法律法規(guī)、當(dāng)前安全技術(shù)和企業(yè)安全需求保持一致。4DB2101/T0080—20234.2.4外部人員管理4.2.4.1企業(yè)應(yīng)建立外部人員訪問涉密區(qū)域、涉密信息系統(tǒng)、信息安全產(chǎn)品及網(wǎng)絡(luò)的審批流程，所有外部人員訪問應(yīng)履行審批程序，對外部人員的物理訪問或網(wǎng)絡(luò)訪問進(jìn)行登記備案。4.2.4.2對于涉及訪問涉密區(qū)域、涉密信息系統(tǒng)、信息安全產(chǎn)品及網(wǎng)絡(luò)的外部來訪人員，企業(yè)應(yīng)明確告知其保密要求及義務(wù)。4.2.4.3外部人員訪問涉密區(qū)域經(jīng)審核批準(zhǔn)后，應(yīng)由接待部門安排專人全程陪同，并應(yīng)對外部人員手機(jī)、照相機(jī)、攝像機(jī)等攝錄像設(shè)備的使用進(jìn)行管理，保證其訪問行為的合規(guī)性。4.2.4.4外部人員訪問涉密信息系統(tǒng)、信息安全產(chǎn)品或網(wǎng)絡(luò)經(jīng)審核批準(zhǔn)后，應(yīng)按照批復(fù)文件開通對應(yīng)賬戶并設(shè)定權(quán)限，并通過技術(shù)手段記錄和監(jiān)督其訪問行為，訪問結(jié)束后應(yīng)及時注銷外部人員賬戶和權(quán)限。4.2.4.5對于涉及核心商業(yè)秘密的涉密信息系統(tǒng)、信息安全產(chǎn)品或網(wǎng)絡(luò)，除國家政府部門監(jiān)督檢查、系統(tǒng)運(yùn)維管理等情況外，應(yīng)拒絕參觀類訪問行為。5策略與制度5.1安全策略企業(yè)應(yīng)根據(jù)商業(yè)秘密信息化安全防護(hù)體系建設(shè)需要，并充分考慮與企業(yè)戰(zhàn)略目標(biāo)的協(xié)同發(fā)展，制定總體安全規(guī)劃及安全策略，確定商業(yè)秘密信息化安全防護(hù)體系建設(shè)的基本原則、管控范圍與安全框架。5.2管理制度5.2.1企業(yè)應(yīng)建立覆蓋商業(yè)秘密信息化安全防護(hù)各方面的安全管理制度、操作規(guī)程，形成完備的管理制度體系。5.2.2安全管理制度應(yīng)覆蓋組織建設(shè)及職責(zé)分工、安全人員管理、物理環(huán)境安全管理、網(wǎng)絡(luò)安全管理、主機(jī)安全管理、應(yīng)用安全管理、數(shù)據(jù)安全管理、應(yīng)急事件管理與處置等事項。5.2.3安全操作規(guī)程應(yīng)覆蓋涉密信息系統(tǒng)、信息安全產(chǎn)品、網(wǎng)絡(luò)以及相關(guān)設(shè)備的操作規(guī)范、操作方法、操作說明等事項。5.3制定和發(fā)布企業(yè)商業(yè)秘密信息化安全防護(hù)管理職能部門負(fù)責(zé)安全管理制度的制定，上報商業(yè)秘密信息化安全防護(hù)委員會審批后予以發(fā)布執(zhí)行，并對安全管理制度的版本進(jìn)行記錄與控制。5.4評審和修訂企業(yè)商業(yè)秘密信息化安全防護(hù)管理職能部門應(yīng)定期對安全管理制度的全面性、合理性、適用性進(jìn)行評估，充分征求企業(yè)內(nèi)部和外部利益相關(guān)方的意見和建議，組織進(jìn)行安全管理制度的制定、完善與修訂，以適應(yīng)企業(yè)商業(yè)秘密信息化安全防護(hù)和業(yè)務(wù)實施的需要。6技術(shù)要求6.1物理環(huán)境安全6.1.1物理位置及防護(hù)5DB2101/T0080—2023企業(yè)對數(shù)據(jù)中心或機(jī)房的物理位置選擇和防震、防雷、防火、防水、防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護(hù)等技術(shù)防護(hù)措施應(yīng)符合GB/T2887-2011計算機(jī)場地通用規(guī)范、GB/T9361-2011計算機(jī)場地安全要求標(biāo)準(zhǔn)中C級場地的要求，推薦企業(yè)按照該標(biāo)準(zhǔn)中B級場地要求執(zhí)行。6.1.2物理空間訪問控制6.1.2.1企業(yè)應(yīng)對數(shù)據(jù)中心或機(jī)房的出入口應(yīng)配置電子門禁系統(tǒng)或采用專人值守的方式，對出入數(shù)據(jù)中心或機(jī)房的企業(yè)內(nèi)部授權(quán)人員進(jìn)行驗證、登記，并對人員出入記錄進(jìn)行存檔備查。6.1.2.2企業(yè)應(yīng)建立數(shù)據(jù)中心或機(jī)房設(shè)備進(jìn)出審批程序，所有設(shè)備的進(jìn)出應(yīng)嚴(yán)格履行審批流程，應(yīng)對設(shè)備的進(jìn)出情況進(jìn)行登記，并應(yīng)將設(shè)備出入記錄進(jìn)行存檔備查。6.1.2.3企業(yè)應(yīng)在數(shù)據(jù)中心或機(jī)房的出入口及內(nèi)部安裝視頻監(jiān)控系統(tǒng)，對所有出入和內(nèi)部活動進(jìn)行不間斷地視頻錄制，歷史視頻保存期限應(yīng)不少于3個月。6.1.2.4企業(yè)內(nèi)部臨時授權(quán)人員、外來人員進(jìn)入數(shù)據(jù)中心或機(jī)房，應(yīng)安排值守人員進(jìn)行全程陪同。6.2網(wǎng)絡(luò)及邊界安全6.2.1網(wǎng)絡(luò)架構(gòu)6.2.1.1企業(yè)應(yīng)按照業(yè)務(wù)系統(tǒng)及技術(shù)防護(hù)軟硬件系統(tǒng)需要建設(shè)內(nèi)部網(wǎng)絡(luò)，并設(shè)置有合理的設(shè)備冗余，保證網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備處理及吞吐能力可滿足業(yè)務(wù)和安全需要。6.2.1.2企業(yè)應(yīng)按照業(yè)務(wù)、安全等方面劃分不同的網(wǎng)絡(luò)區(qū)域，可將企業(yè)內(nèi)部網(wǎng)絡(luò)劃分為業(yè)務(wù)系統(tǒng)區(qū)、安全管理區(qū)、工控區(qū)、辦公區(qū)、外聯(lián)區(qū)、無線網(wǎng)絡(luò)區(qū)、其他區(qū)域等不同的安全域，并按照便于管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址。6.2.1.3企業(yè)應(yīng)重點保障網(wǎng)絡(luò)區(qū)域的安全，不應(yīng)將網(wǎng)絡(luò)區(qū)域部署在網(wǎng)絡(luò)邊界處，企業(yè)內(nèi)網(wǎng)與外部網(wǎng)絡(luò)、網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)隔離和防護(hù)手段。6.2.1.4企業(yè)應(yīng)對涉及核心商業(yè)秘密的區(qū)域設(shè)置單獨的網(wǎng)絡(luò)區(qū)域，并采取可靠的技術(shù)隔離和防護(hù)手段。6.2.2通信傳輸企業(yè)應(yīng)采用符合國家標(biāo)準(zhǔn)要求的密碼技術(shù)，保證網(wǎng)絡(luò)通信過程中數(shù)據(jù)的完整性和保密性。6.2.3邊界防護(hù)與訪問控制6.2.3.1企業(yè)應(yīng)根據(jù)安全域劃分情況，明確各網(wǎng)絡(luò)區(qū)域邊界和訪問控制策略，采用技術(shù)手段進(jìn)行防護(hù)，根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，對跨網(wǎng)絡(luò)邊界的訪問和數(shù)據(jù)流進(jìn)行控制和驗證。6.2.3.2企業(yè)應(yīng)采用必要的技術(shù)手段對接入內(nèi)網(wǎng)的設(shè)備進(jìn)行可信驗證，可采用InternetProtocol（簡稱“IP”）和MediaAccessControlAddress（簡稱“MAC地址”）綁定、用戶賬號密碼認(rèn)證等方式進(jìn)行驗證。6.2.3.3企業(yè)應(yīng)采用必要的技術(shù)手段對內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)的行為進(jìn)行可信驗證，可采用IP認(rèn)證、用戶賬號密碼認(rèn)證等方式進(jìn)行驗證。6.2.3.4企業(yè)應(yīng)限制無線網(wǎng)絡(luò)的使用，無線網(wǎng)絡(luò)應(yīng)通過受控的邊界設(shè)備且經(jīng)過可信驗證后接入內(nèi)部網(wǎng)絡(luò)。6.2.3.5企業(yè)應(yīng)采用必要的技術(shù)手段對外網(wǎng)訪問內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行可信驗證，通過VirtualPrivateNetwork（簡稱“VPN”）、零信任等遠(yuǎn)程訪問系統(tǒng)對該類行為進(jìn)行管理和控制。6.2.3.6企業(yè)應(yīng)采用必要的技術(shù)手段對非授權(quán)設(shè)備私自接入內(nèi)部網(wǎng)絡(luò)或內(nèi)部非授權(quán)用戶聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢測與監(jiān)控，可以定位出具體位置，并對該類行為進(jìn)行有效阻斷。6DB2101/T0080—20236.2.3.7對于涉及核心商業(yè)秘密的網(wǎng)絡(luò)區(qū)域，企業(yè)應(yīng)采用物理或邏輯隔離的方式實現(xiàn)網(wǎng)絡(luò)區(qū)域與其它區(qū)域之間的網(wǎng)絡(luò)隔離，對于網(wǎng)絡(luò)邊界和網(wǎng)絡(luò)區(qū)域間訪問采取加強(qiáng)型技術(shù)防護(hù)措施。6.2.4入侵和惡意代碼防范6.2.4.1企業(yè)應(yīng)采用必要的技術(shù)手段對內(nèi)網(wǎng)與外網(wǎng)相鄰邊界網(wǎng)絡(luò)節(jié)點進(jìn)行檢測與監(jiān)控，防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊、惡意代碼注入、垃圾郵件等行為。6.2.4.2企業(yè)應(yīng)采用必要的技術(shù)手段對內(nèi)網(wǎng)各安全域邊界網(wǎng)絡(luò)節(jié)點進(jìn)行檢測與監(jiān)控，防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為網(wǎng)絡(luò)攻擊、惡意代碼注入、垃圾郵件等行為。6.2.4.3企業(yè)應(yīng)采取技術(shù)措施對入侵、惡意代碼、垃圾郵件等網(wǎng)絡(luò)行為進(jìn)行記錄與分析，對網(wǎng)絡(luò)攻擊行為進(jìn)行報警與處置。6.2.5安全審計6.2.5.1企業(yè)應(yīng)對各類網(wǎng)絡(luò)訪問和網(wǎng)絡(luò)設(shè)備日志進(jìn)行存檔，保存時限不低于6個月。6.2.5.2企業(yè)應(yīng)制定對網(wǎng)絡(luò)的安全審計規(guī)則，定期對各類網(wǎng)絡(luò)進(jìn)行安全審計，包括內(nèi)網(wǎng)訪問行為、外網(wǎng)遠(yuǎn)程訪問內(nèi)網(wǎng)行為、內(nèi)網(wǎng)訪問互聯(lián)網(wǎng)行為等，并形成審計記錄，審計記錄應(yīng)進(jìn)行存檔備查。6.3主機(jī)、應(yīng)用、數(shù)據(jù)安全6.3.1身份鑒別6.3.1.1企業(yè)應(yīng)建立身份鑒別機(jī)制，包括身份鑒別信息、復(fù)雜度要求、定期更換要求等，對登錄涉密主機(jī)、涉密信息系統(tǒng)及數(shù)據(jù)庫的用戶進(jìn)行身份鑒別，至少采用口令方式進(jìn)行身份鑒別。6.3.1.2企業(yè)應(yīng)設(shè)置涉密信息系統(tǒng)及安全防護(hù)軟硬件系統(tǒng)口令規(guī)則，口令長度應(yīng)至少8位以上，采用數(shù)字、大小寫英文字母、特殊字符中兩種或兩種以上組合方式設(shè)置口令，口令中不得包含賬號、生日等特殊信息。用戶應(yīng)對默認(rèn)口令進(jìn)行及時變更，口令應(yīng)定期進(jìn)行更換，普通用戶口令更換時限不得長于6個月，管理用戶口令更換時限不得長于3個月，對于未更換的用戶應(yīng)采用技術(shù)手段強(qiáng)制更換口令。6.3.1.3涉密信息系統(tǒng)及安全防護(hù)類軟硬件系統(tǒng)應(yīng)開啟登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時自動退出、鎖定賬戶等相關(guān)措施。6.3.1.4對于涉及核心商業(yè)秘密的主機(jī)、涉密信息系統(tǒng)應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實現(xiàn)。6.3.2訪問控制6.3.2.1企業(yè)應(yīng)根據(jù)部門業(yè)務(wù)范圍及員工崗位職責(zé)，對員工分配賬戶和權(quán)限，賬戶應(yīng)保證唯一性，避免共享賬戶的存在。6.3.2.2涉密信息系統(tǒng)用戶賬號和權(quán)限的申請應(yīng)建立審批程序，經(jīng)批準(zhǔn)后賦予用戶對應(yīng)的權(quán)限，權(quán)限應(yīng)滿足最小化原則。6.3.2.3企業(yè)應(yīng)定期對賬戶信息進(jìn)行清查，及時禁用、注銷或刪除離職人員賬戶、測試賬戶、臨時賬戶等無用賬戶。6.3.2.4企業(yè)應(yīng)根據(jù)服務(wù)器、涉密信息系統(tǒng)、安全防護(hù)軟硬件系統(tǒng)的管理用戶按照角色分配權(quán)限，管理用戶授權(quán)應(yīng)經(jīng)過商業(yè)秘密信息化安全防護(hù)管理工作的職能部門批準(zhǔn)，應(yīng)授予管理用戶所需的最小權(quán)限，實現(xiàn)管理用戶的權(quán)限分離。6.3.2.5企業(yè)應(yīng)建立主機(jī)端軟件白名單或黑名單，采取必要的技術(shù)手段對主機(jī)的軟件安裝和使用進(jìn)行控制。7DB2101/T0080—20236.3.2.6企業(yè)應(yīng)采用必要技術(shù)手段對主機(jī)端用戶行為進(jìn)行監(jiān)控，對用戶操作行為進(jìn)行監(jiān)控，對違規(guī)行為進(jìn)行阻斷。6.3.2.7對于涉及核心商業(yè)秘密的主機(jī)、涉密信息系統(tǒng)應(yīng)采用加強(qiáng)訪問控制，不可直接接入外部網(wǎng)絡(luò)或由外部網(wǎng)絡(luò)遠(yuǎn)程進(jìn)行訪問。6.3.3安全審計6.3.3.1企業(yè)應(yīng)對各類涉密信息系統(tǒng)、安全防護(hù)軟硬件系統(tǒng)日志和用戶操作日志進(jìn)行存檔，保存時限不低于6個月。6.3.3.2企業(yè)應(yīng)建立對于主機(jī)、應(yīng)用、數(shù)據(jù)的安全審計規(guī)則，由審計管理員根據(jù)系統(tǒng)日志、用戶操作日志對系統(tǒng)管理員、安全管理員及用戶的操作行為等進(jìn)行全面的審計，并形成審計記錄，審計記錄應(yīng)進(jìn)行存檔備查。6.3.4入侵和惡意代碼防范6.3.4.1企業(yè)應(yīng)加強(qiáng)主機(jī)的管理，遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口。6.3.4.2企業(yè)應(yīng)加強(qiáng)涉密信息系統(tǒng)、安全防護(hù)軟硬件系統(tǒng)的管理，按照應(yīng)用需要設(shè)置系統(tǒng)參數(shù)和策略，關(guān)閉不需要的功能組件、高危端口。6.3.4.3企業(yè)應(yīng)在主機(jī)上安裝必要的防病毒及防入侵軟件，識別、記錄、告警并處置各類入侵和病毒行為，有效的阻斷病毒或惡意代碼入侵。6.3.4.4企業(yè)應(yīng)采用必要的技術(shù)防護(hù)手段定期對主機(jī)、各類涉密信息系統(tǒng)、安全防護(hù)軟硬件系統(tǒng)進(jìn)行漏洞掃描，對發(fā)現(xiàn)的漏洞進(jìn)行評估后，采用合理的方式修復(fù)或防護(hù)漏洞。6.3.5數(shù)據(jù)完整性與保密性6.3.5.1企業(yè)應(yīng)按照國家數(shù)據(jù)安全法律法規(guī)及標(biāo)準(zhǔn)規(guī)范要求，對各類數(shù)據(jù)進(jìn)行分類分級，明確涉及商業(yè)秘密的數(shù)據(jù)的管控規(guī)則，對不同數(shù)據(jù)設(shè)定不同的授權(quán)訪問機(jī)制，對于涉密數(shù)據(jù)的知悉范圍和訪問權(quán)限應(yīng)滿足最小化原則。6.3.5.2企業(yè)應(yīng)采用符合國家標(biāo)準(zhǔn)要求的密碼技術(shù)進(jìn)行加密，保證涉及商業(yè)秘密的數(shù)據(jù)在產(chǎn)生、傳輸、存儲等全生命周期的完整性與保密性，包括但不限于鑒別數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、審計數(shù)據(jù)、配置數(shù)據(jù)、視頻數(shù)據(jù)和個人信息等。6.3.5.3企業(yè)應(yīng)采用必要的防泄漏技術(shù)手段進(jìn)行管控，并應(yīng)用數(shù)據(jù)脫敏技術(shù)將對外傳遞數(shù)據(jù)進(jìn)行脫密處6.3.6數(shù)據(jù)備份恢復(fù)6.3.6.1企業(yè)應(yīng)建立數(shù)據(jù)備份與恢復(fù)機(jī)制，包括備份方式、備份周期、存儲介質(zhì)、保存期限等。6.3.6.2企業(yè)應(yīng)對所有商業(yè)秘密數(shù)據(jù)進(jìn)行定期本地備份，并定期進(jìn)行備份恢復(fù)測試，保證備份數(shù)據(jù)的及時性、可靠性、可用性，在異常情況下可有效恢復(fù)數(shù)據(jù)。6.3.6.3企業(yè)應(yīng)根據(jù)數(shù)據(jù)的重要性和敏感性進(jìn)行分類備份，并對備份數(shù)據(jù)進(jìn)行分類管理。6.3.6.4對于涉及核心商業(yè)秘密的數(shù)據(jù)，企業(yè)應(yīng)實行異地實時備份機(jī)制，利用網(wǎng)絡(luò)將重要數(shù)據(jù)實時備份至備份場地。6.3.7剩余信息保護(hù)8DB2101/T0080—2023企業(yè)應(yīng)采用必要的技術(shù)手段或策略對鑒別信息及商業(yè)秘密數(shù)據(jù)所在的臨時緩沖存儲空間進(jìn)行完全清除。6.3.8個人信息保護(hù)企業(yè)對個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等活動，應(yīng)按照《中華人民共和國個人信息保護(hù)法》等國家法律法規(guī)要求執(zhí)行。7建設(shè)管理7.1安全方案設(shè)計企業(yè)應(yīng)制定商業(yè)秘密信息化安全防護(hù)體系規(guī)劃和方案，組織內(nèi)部或外部安全專家對規(guī)劃和方案的合理性、適用性、合規(guī)性、經(jīng)濟(jì)型等進(jìn)行論證和評審，最后經(jīng)企業(yè)商業(yè)秘密信息化安全防護(hù)委員會批準(zhǔn)后正式實施。7.2產(chǎn)品或服務(wù)的選擇7.2.1企業(yè)應(yīng)選擇具備資質(zhì)及技術(shù)能力的軟硬件產(chǎn)品或服務(wù)供應(yīng)商。7.2.2企業(yè)應(yīng)按照國家法律法規(guī)、標(biāo)準(zhǔn)規(guī)范要求和行業(yè)發(fā)展趨勢，結(jié)合企業(yè)實際業(yè)務(wù)需求，制定安全產(chǎn)品及服務(wù)供應(yīng)商評價標(biāo)準(zhǔn)，建立軟硬件產(chǎn)品或服務(wù)供應(yīng)商目錄，并定期對供應(yīng)商進(jìn)行評價。7.2.3企業(yè)所選擇的軟硬件產(chǎn)品或服務(wù)應(yīng)獲得國家許可或認(rèn)證，且滿足企業(yè)業(yè)務(wù)及安全基本要求。7.2.4企業(yè)采購軟硬件產(chǎn)品或服務(wù)應(yīng)進(jìn)行必要的測試，可自行測試或委托集成單位進(jìn)行專項測試，確定其符合企業(yè)業(yè)務(wù)及安全實際需求。7.2.5企業(yè)應(yīng)與軟硬件產(chǎn)品或服務(wù)供應(yīng)商簽訂保密協(xié)議，明確雙方的保密權(quán)利及義務(wù)。7.3軟件開發(fā)7.3.1企業(yè)應(yīng)建立軟件開發(fā)管理制度，明確軟件開發(fā)的立項、開發(fā)過程、測試、驗收、上線等各環(huán)節(jié)的管理。7.3.2企業(yè)應(yīng)采用安全開發(fā)生命周期等方法，對軟件開發(fā)全過程實施安全管理。7.3.3企業(yè)應(yīng)在軟件上線前，對軟件進(jìn)行功能和安全性測試，功能應(yīng)滿足業(yè)務(wù)需求，并對可能存在的惡意代碼進(jìn)行必要的檢測。7.3.4企業(yè)應(yīng)對軟件程序的修改、更新、發(fā)布進(jìn)行審批，并對軟件版本進(jìn)行控制。7.3.5對于外包軟件開發(fā)，應(yīng)由開發(fā)單位提供軟件源代碼，企業(yè)應(yīng)從安全保密角度對軟件中可能存在的后門和隱蔽信道等方面進(jìn)行審查，識別可能存在的問題或潛在風(fēng)險。7.3.6企業(yè)應(yīng)對已完成開發(fā)的軟件的業(yè)務(wù)符合性和安全性進(jìn)行測試和驗收，并形成測試和驗收報告。7.4工程實施企業(yè)應(yīng)由專門的部門或人員負(fù)責(zé)工程實施過程的管理，也可委托第三方工程監(jiān)理對項目的實施過程進(jìn)行管理。7.5系統(tǒng)交付與驗收7.5.1企業(yè)應(yīng)按合同及技術(shù)協(xié)議對系統(tǒng)進(jìn)行驗收，包括對合同及技術(shù)協(xié)議內(nèi)約定的設(shè)備、軟件、文檔、服務(wù)等進(jìn)行清點，并對軟件功能及安全性進(jìn)行測試，軟件驗收應(yīng)形成驗收報告。9DB2101/T0080—20237.5.2企業(yè)應(yīng)組織供應(yīng)商對負(fù)責(zé)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)。7.5.3企業(yè)在系統(tǒng)交付和驗收完成后，應(yīng)組織對技術(shù)防護(hù)體系進(jìn)行重新評估。8運(yùn)維管理8.1環(huán)境管理企業(yè)應(yīng)指定專門的部門或人員定期對數(shù)據(jù)中心或機(jī)房的供配電、空調(diào)、溫濕度控制、消防等設(shè)施進(jìn)行運(yùn)行與維護(hù)管理。8.2資產(chǎn)管理8.2.1企業(yè)應(yīng)建立資產(chǎn)清單，包括資產(chǎn)基本信息、責(zé)任部門、責(zé)任人、重要程度、涉密等級和所處位置等內(nèi)容，并及時進(jìn)行更新。8.2.2企業(yè)應(yīng)根據(jù)資產(chǎn)的重要程度對資產(chǎn)進(jìn)行標(biāo)識管理，并采取合理的管理措施，對于涉密設(shè)備及涉密載體應(yīng)加強(qiáng)管理。8.2.3涉密設(shè)備的銷毀應(yīng)履行審批程序，銷毀應(yīng)采用合理的技術(shù)手段清除涉及商業(yè)秘密的數(shù)據(jù)。8.3存儲載體管理8.3.1企業(yè)應(yīng)建立存儲載體清單，包括載體基本信息、責(zé)任部門、責(zé)任人、重要程度、涉密等級和所處位置、保存期限等內(nèi)容，并進(jìn)行定期盤點與更新。8.3.2企業(yè)應(yīng)將涉密載體存放在安全的環(huán)境中，采用合理技術(shù)或物理加密方式對涉密載體進(jìn)行加密，由專人進(jìn)行管理，對各類涉密載體使用、傳遞應(yīng)進(jìn)行登記記錄。8.3.3涉密載體的銷毀應(yīng)履行審批程序，銷毀應(yīng)采用合理的技術(shù)手段清除涉及商業(yè)秘密的數(shù)據(jù)。8.4維護(hù)管理8.4.1企業(yè)應(yīng)建立系統(tǒng)、設(shè)備、網(wǎng)絡(luò)維護(hù)的管理制度和操作規(guī)程，明確維護(hù)管理部門、人員、職責(zé)權(quán)限、維護(hù)流程、操作方法等。8.4.2企業(yè)維護(hù)管理部門應(yīng)指定專門人員按照管理制度和操作規(guī)程要求對各種設(shè)備、線路等進(jìn)行檢查與維護(hù)管理，并對維護(hù)過程和結(jié)果進(jìn)行監(jiān)督。8.4.3企業(yè)應(yīng)詳細(xì)記錄運(yùn)維操作日志，包括日常巡檢工作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容。8.4.4企業(yè)應(yīng)規(guī)范運(yùn)維工具的使用，指定運(yùn)維工具的具體類別，遠(yuǎn)程運(yùn)維應(yīng)經(jīng)過審批并使用指定遠(yuǎn)程工具軟件進(jìn)行運(yùn)維。8.4.5企業(yè)如需將設(shè)備外送維修，應(yīng)履行審批程序，并由專人送至具備相關(guān)安全資質(zhì)的維修廠商或機(jī)構(gòu)進(jìn)行修復(fù)。8.4.6企業(yè)對于帶有存儲介質(zhì)的設(shè)備，在該設(shè)備報廢或重用前，應(yīng)采用合理的技術(shù)手段清除涉及商業(yè)秘密的數(shù)據(jù)。8.5漏洞與隱患管理8.5.1企業(yè)應(yīng)建立漏洞與隱患管理機(jī)制，對漏洞與隱患的發(fā)現(xiàn)、評估、處置、記錄和跟蹤等進(jìn)行全過程進(jìn)行規(guī)范、有效的管理。8.5.2企業(yè)應(yīng)采取必要的技術(shù)措施識別各類安全漏洞和隱患，定期進(jìn)行安全漏洞掃描，對發(fā)現(xiàn)的安全漏洞和隱患經(jīng)評估后，進(jìn)行合理的修補(bǔ)或處置。DB2101/T0080—20238.6升級管理企業(yè)應(yīng)定期或不定期對入侵、惡意代碼、垃圾郵件、防病毒等技術(shù)防護(hù)軟硬件系統(tǒng)進(jìn)行升級，保證病毒、木馬、惡意代碼及垃圾郵件特征庫的實時更新，以及對漏洞進(jìn)行及時進(jìn)行補(bǔ)丁升級。8.7配置管理8.7.1企業(yè)應(yīng)建立網(wǎng)絡(luò)及系統(tǒng)配置信息檔案，記錄和保存基本配置信息，包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、系統(tǒng)版本及補(bǔ)丁信息、系統(tǒng)參數(shù)配置信息、設(shè)備配置信息、系統(tǒng)安全策略等。8.7.2網(wǎng)絡(luò)及系統(tǒng)配置信息變更應(yīng)按照變更管理要求，履行相關(guān)程序后進(jìn)行變更，并及時更新網(wǎng)絡(luò)及系統(tǒng)配置信