




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
DB33Securitymanagementspecificationsforelectronic浙江省質(zhì)量技術(shù)監(jiān)督局發(fā)布I V 1 1 1 3 3 3 4 5 5 5 5 5 6 7 7 7 7 7 8 8 8 8 8 8 9 本標(biāo)準(zhǔn)主要起草人:謝俊軍、顏鷹、沈錫鏞、李寧、孫艷、劉洛丹、方強引言電子商務(wù)平臺建設(shè)實際,浙江省商務(wù)廳組織制定了1電子商務(wù)平臺安全管理規(guī)范本標(biāo)準(zhǔn)適用于全省各地提供互聯(lián)網(wǎng)電子商務(wù)平臺服務(wù)的安全2主要指為信息系統(tǒng)安全運營管理制定的行動方用注冊的ID與用戶信息來判斷的使用電子商務(wù)交易平臺租用電子商務(wù)平臺進(jìn)行經(jīng)營活動的法人、法人委派的行為主體、其它組織機構(gòu)或自3從公開可用的資源中,如極端分子的網(wǎng)站,4基本要求4.1應(yīng)遵守國家有關(guān)法律、行政法規(guī)及規(guī)章等相關(guān)規(guī)定。4.2應(yīng)遵守國家制定的相關(guān)的網(wǎng)絡(luò)技術(shù)規(guī)范和安全規(guī)范。4.4應(yīng)遵循國家有關(guān)知識產(chǎn)權(quán)的法律法規(guī),不應(yīng)侵害他人的專利權(quán)、商標(biāo)權(quán)、著作權(quán)等,并有權(quán)利和4.5應(yīng)禁止通過網(wǎng)絡(luò)從事法律法規(guī)和國家其他相關(guān)規(guī)定禁止的違法犯罪行為,如賭博、洗錢、傳銷以及販賣槍支、毒品、禁藥、盜版軟件、淫穢商品和服務(wù)5.1安全運營管理機構(gòu)最高管理層中應(yīng)有一人b)應(yīng)協(xié)調(diào)單位內(nèi)部其它機構(gòu)在平臺安全工作中的職責(zé),領(lǐng)導(dǎo)安全工作的實施;c)應(yīng)監(jiān)督安全措施的執(zhí)行,并對重要安全事件的處理進(jìn)行決策;d)指導(dǎo)和檢查應(yīng)急處理小組等下設(shè)機構(gòu)的各項工作;e)建設(shè)和完善平臺安全的集中控管的組織體系和管理機制;f)收集、分析、預(yù)警最新的電子商務(wù)平臺安全事件和應(yīng)對方案。根據(jù)業(yè)務(wù)的安全風(fēng)險,在安全事件管理策略和方案中,應(yīng)詳細(xì)說明安全運營管理機構(gòu)在相應(yīng)45.2人員管理5.2.2應(yīng)登記安全運營管理機構(gòu)成員及其備用人員的姓名和聯(lián)系方式,一些必要的細(xì)節(jié)應(yīng)清晰記入相5.2.3應(yīng)統(tǒng)一管理關(guān)鍵崗位的安全操作人員。關(guān)鍵崗位的安全操作人員要求如下:a)允許一人多崗,但安全操作人員不宜由其他關(guān)鍵崗位人員兼任;b)關(guān)鍵崗位人員應(yīng)定期接受安全培訓(xùn),加強安全意識和風(fēng)險防范意識。5.2.5定期對各個崗位的人員進(jìn)行不同側(cè)重的安全認(rèn)知和安全技能的考核,可作為人員是否適合當(dāng)前5.2.6對咨詢?nèi)藛T、臨時性的短期職位人員,以及輔助人員和外部服務(wù)人員等第三方人員的管理要求a)簽署包括不同安全責(zé)任的合同書或保密協(xié)議;b)規(guī)定各類人員的業(yè)務(wù)操作權(quán)限,離崗前必須及時轉(zhuǎn)移或關(guān)閉相關(guān)權(quán)限;c)第三方人員必須進(jìn)行邏輯訪問時,應(yīng)劃定范圍并經(jīng)過負(fù)責(zé)人批準(zhǔn)。5.2.7安全運營管理人員的退出與離職規(guī)定如下:單位將秘密信息復(fù)制到本單位享有所有權(quán)的其他載體上,并把原載體上的秘密信息消5d)離職人員離職時,應(yīng)將工作時使用的電腦、U盤及其5.3教育和培訓(xùn)5.3.1應(yīng)讓電子商務(wù)平臺相關(guān)員工了解電子商務(wù)平臺安全的重要性,應(yīng)掌握的平臺安全基本知識和技5.3.2應(yīng)制定并實施安全教育和培訓(xùn)計劃,培養(yǎng)電子商務(wù)平臺各類人員安全意識,并提供對安全政策a)積極宣傳安全運營管理的作用,作為總體信息安全意識和培訓(xùn)計劃的一部分;根據(jù)GB/Z20986的相關(guān)規(guī)定,在電子商務(wù)平臺運營安全上出現(xiàn)的常見安全事件主要是網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件,包括但6.3.2電子商務(wù)平臺信息系統(tǒng)的重要程a)特別重要系統(tǒng):影響平臺交易與支付的信息系統(tǒng);b)重要信息系統(tǒng):用戶信息記錄與操作相關(guān)系統(tǒng);6受破壞且持續(xù)造成用戶資金損失或因行動遲緩或沒有行動造成網(wǎng)絡(luò)欺詐導(dǎo)致大量用戶網(wǎng)上資金損失;特別重要系統(tǒng)不可用或遭受破壞造成大面積長時間中斷壞且造成用戶資金損失,因行動遲緩或沒有行動造成網(wǎng)絡(luò)欺詐導(dǎo)致用戶網(wǎng)上資金損失;重要系統(tǒng)不可用或遭受破壞造成局部中斷平臺的c)較大系統(tǒng)損失:信息或系統(tǒng)故障,明顯影響系統(tǒng)效率,使重要信息系統(tǒng)或一般信息系統(tǒng)業(yè)務(wù)處理能力受到影響,或系統(tǒng)重要數(shù)據(jù)的保密性、完整性、可用性遭到破壞,但系統(tǒng)是可恢復(fù)被授權(quán)采集和使用個人信息,明確個人信息使用c)法律法規(guī)義務(wù)。平臺持有和處理的信息應(yīng)遵從國家相關(guān)法律法規(guī)規(guī)定的義務(wù),可能涉及違禁、d)平臺商業(yè)規(guī)則。信息如果泄露的話,可能會引起公眾反參見GB/Z20986,結(jié)合電子商務(wù)安全事件及價值判斷尺度,電子商務(wù)安全事件分級見6.4.2、6.4.特別重大事件是指能夠?qū)е绿貏e嚴(yán)重影響或破壞的安全事件,包括但a)會使特別重要信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失;b)產(chǎn)生重大的社會影響。重大事件是指能夠?qū)е聡?yán)重影響或破壞的安全事件,包括a)會使特別重要信息系統(tǒng)遭受嚴(yán)重的系統(tǒng)損失、或使重要信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失;7a)會使特別重要信息系統(tǒng)遭受較大的系統(tǒng)損失、或使重要信息系統(tǒng)遭受嚴(yán)重的系統(tǒng)損失、一般或使重要信息系統(tǒng)遭受較大的系統(tǒng)損失,一般信息a)一般事件:應(yīng)急響應(yīng)行動首先是對業(yè)務(wù)系統(tǒng)的監(jiān)控加強。應(yīng)在適當(dāng)?shù)腷)較大事件:應(yīng)啟動相關(guān)業(yè)務(wù)連續(xù)性計劃中特定的響應(yīng)。這樣的應(yīng)急響應(yīng)涉及系統(tǒng)的所有方面,生社會影響情況下,當(dāng)突發(fā)事件被確定屬實時,需要同時通知部門人員(不在安全運營管理機況迅速通報給新聞界和/或其他媒體。任何有關(guān)安全事件的消息在發(fā)布紿新聞界時,應(yīng)遵照組做出決定,并為了對事件做出進(jìn)一步評估以確定需要采取什么——收集有關(guān)風(fēng)險及安全信息,制訂相對應(yīng)標(biāo)準(zhǔn)、流——安全運營管理機構(gòu)下設(shè)分支團隊,執(zhí)行安全運營管理方案規(guī)定的內(nèi)容,并承擔(dān)安全系統(tǒng)運行8——如果安全事件不在控制下,啟動應(yīng)急響應(yīng)——對安全事件根據(jù)事件等級的應(yīng)急響應(yīng)流程,組建虛擬小組解——安全運營管理機構(gòu)下設(shè)分支團隊,承擔(dān)安全檢查評估職能;——與其它部門協(xié)同,對系統(tǒng)安全事件進(jìn)行評估,以確定安全策略的主叫號碼、賬號、互聯(lián)網(wǎng)地址或域名、系統(tǒng)——對安全風(fēng)險進(jìn)行分析,以確保安全系統(tǒng)覆蓋所有的風(fēng)險點?!鶕?jù)所得的經(jīng)驗教訓(xùn),審核和確定信息安全的改——審核相關(guān)過程和規(guī)程在響應(yīng)、評估和恢復(fù)每個安全事件時的效確定電子商務(wù)安全運營管理方案在總體上需要改進(jìn)的9——發(fā)現(xiàn)和報告安全事件,可以是組織內(nèi)任何員工,包括正式員工——評估、響應(yīng)以及安全事件解決后必要的經(jīng)驗教訓(xùn)以及總結(jié)、改進(jìn)、修訂安全運營管理方案的——應(yīng)該考慮任何平臺用戶,以及第三方組織、政府和合作安全運營人員需經(jīng)過安全培訓(xùn)方能上崗。審核人員分工重要信息系統(tǒng)與特別重要信息系統(tǒng),需保留供審計日志,b)保留用戶登錄(登錄時間、登錄IP)、信息發(fā)布等日志信息;c)保留交易列表、交互信息及交互對象用戶列表;d)用戶注冊信息、登錄長期保存,其他所有日志信息(包括已刪除的信息)應(yīng)保留一年以上。對平臺上所發(fā)布信息落實7×24小時信息巡查制度,不得制作、復(fù)制、發(fā)布、傳播法律法規(guī)禁止的8.4.4信息加密、傳輸、存儲安全運營在電子商務(wù)安全運營管理方案執(zhí)行過程中,必須形成正式文件并經(jīng)過檢查的規(guī)程可供使用。每個規(guī)程文件應(yīng)指明其使用和管理的負(fù)責(zé)人員。操作規(guī)程的內(nèi)容取決于許多準(zhǔn)則,可能與某一特定事件類型或?qū)嶋H上與某一類型安全產(chǎn)品相每個操作規(guī)程都應(yīng)清楚注明8.5.1使用電子安全事件數(shù)據(jù)庫和技術(shù)手段快速建立和更新數(shù)據(jù)庫,分析其中的信息,以便于對事件8.5.3對已評估的風(fēng)險采取適當(dāng)?shù)念A(yù)防措施,以確保系統(tǒng)、服務(wù)和網(wǎng)絡(luò)遭受攻擊時仍然可用。8.5.4根據(jù)已得到評估的風(fēng)險采取措施,利用加密來確保數(shù)據(jù)的完整性和防泄8.5.5便于對已收集信息的歸檔和安全保8.5.6所有技術(shù)手段都應(yīng)認(rèn)真挑選、正確實施和定期測短期和長期影響。此外,對完全不可預(yù)見的安全事件作出某些響9.2策略制訂原則——策略應(yīng)要求建立適當(dāng)?shù)膶徟鷻C制,特別是會造成較大影響的處罰9.3安全事件管理策略制訂內(nèi)容9.3.1按照制訂的安全運營管理方案,監(jiān)控平臺上重點安全事件,如平臺上賬戶安全、商品與信息發(fā)9.3.2安全事件管理策略是根據(jù)電子商務(wù)平臺實際出現(xiàn)的問題有針對性的制訂;并隨時跟蹤新的安全9.4.1在網(wǎng)絡(luò)空間內(nèi)收集情報包括開源情報、傳統(tǒng)9.4.2情報系統(tǒng)的建設(shè)包含人工智能及識別技術(shù),通過一個基于知識庫的主動式專題搜索引擎完成專9.5應(yīng)急響應(yīng)如果確定安全事件不在策略規(guī)定范圍內(nèi),應(yīng)啟動應(yīng)急響應(yīng)機制全運營管理機構(gòu)根據(jù)安全運行管理方案,啟動下列檢查系統(tǒng)的開發(fā)與上線,觸發(fā)安全事件,發(fā)現(xiàn)的安全人員要負(fù)責(zé)啟動下列a)如果確定該系統(tǒng)暫時不需要優(yōu)化安全措施,或者優(yōu)化安全措施理由不充分,可暫時只監(jiān)控系統(tǒng)b)如果確定系統(tǒng)存在安全隱患,標(biāo)準(zhǔn)來源于安全事件分級劃分以及以前類似系統(tǒng)已經(jīng)出現(xiàn)的安全a)進(jìn)行再度評估以及對是否調(diào)整安全策略是安全運營管理機構(gòu)次誤報。如果安全事件被確定為誤報,應(yīng)完成填寫安全事件報告——評估完成,根據(jù)事件等級做出響應(yīng),并調(diào)整相應(yīng)安全策10.6.1所有參與安全評估、安全事件報告和管理的人員應(yīng)完整地記錄下事件數(shù)據(jù)庫的過程中所做的任何變更,應(yīng)遵照已得到正式批準(zhǔn)的變更控制方案進(jìn)行。根據(jù)檢查評審結(jié)果,確定有哪些經(jīng)驗教訓(xùn)需要汲取,并采取措施,優(yōu)——對安全事件做出分析總結(jié),并呈遞到組織管理層的重,應(yīng)在事件解決后盡快安排所有相關(guān)方召開會議。這樣的會議應(yīng)該考慮以下——電子商務(wù)安全運營管理方案規(guī)定的規(guī)程是否發(fā)揮了預(yù)期作——在事件發(fā)現(xiàn)、報告和響應(yīng)的整個過程中向所有相關(guān)方的事件通報是否有A.1用戶實名制——要求注冊用戶提供真實身份信息,并進(jìn)行A.2個人用戶注冊A.3平臺商戶注冊要求——以單位名義開店的商戶,需提供國家規(guī)定的相關(guān)證照及聯(lián)系方——登錄過程需要使用https安全通道;——不在常用地區(qū)登錄等類似異常
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024年國際物流師行業(yè)應(yīng)對策略試題及答案
- 答題技巧與CPSM試題及答案
- 保健醫(yī)培訓(xùn)防控課件
- CPSM考試數(shù)據(jù)分析試題及答案
- 湖北省部分高中協(xié)作體2025屆高三下學(xué)期3月一模聯(lián)考地理試題答案
- 2024年安全教育教材分析試題及答案
- 為什么要參加CPMM考試試題及答案
- 鎮(zhèn)江戶外塑膠跑道施工方案
- 廣西壯族自治區(qū)百色市廣西田陽高中2025屆高考仿真模擬化學(xué)試卷含解析
- 2024年CPMM語言能力與試題及答案
- 腦出血完整分
- 工程招標(biāo)代理服務(wù)投標(biāo)方案(技術(shù)方案)
- 馬后炮化工論壇-Aspen官方中文培訓(xùn)資料
- 人教版高中數(shù)學(xué)新教材詳細(xì)目錄
- 6MW光伏發(fā)電項目報價清單表(全項)
- 思想政治素質(zhì)和品德考核表
- 《糖尿病診療規(guī)范》
- 中國古代宗教課件
- 比亞迪f3維修手冊13.全車電路圖
- 復(fù)印病歷資料申請表
- GB/Z 41561-2022ISO 8124-1、EN 71-1和ASTM F963標(biāo)準(zhǔn)機械物理性能差異比對
評論
0/150
提交評論