DB33T 978-2015 電子商務平臺安全管理規(guī)范　

DB33Securitymanagementspecificationsforelectronic浙江省質(zhì)量技術監(jiān)督局發(fā)布I V 1 1 1 3 3 3 4 5 5 5 5 5 6 7 7 7 7 7 8 8 8 8 8 8 9 本標準主要起草人：謝俊軍、顏鷹、沈錫鏞、李寧、孫艷、劉洛丹、方強引言電子商務平臺建設實際，浙江省商務廳組織制定了1電子商務平臺安全管理規(guī)范本標準適用于全省各地提供互聯(lián)網(wǎng)電子商務平臺服務的安全2主要指為信息系統(tǒng)安全運營管理制定的行動方用注冊的ID與用戶信息來判斷的使用電子商務交易平臺租用電子商務平臺進行經(jīng)營活動的法人、法人委派的行為主體、其它組織機構或自3從公開可用的資源中，如極端分子的網(wǎng)站，4基本要求4.1應遵守國家有關法律、行政法規(guī)及規(guī)章等相關規(guī)定。4.2應遵守國家制定的相關的網(wǎng)絡技術規(guī)范和安全規(guī)范。4.4應遵循國家有關知識產(chǎn)權的法律法規(guī)，不應侵害他人的專利權、商標權、著作權等，并有權利和4.5應禁止通過網(wǎng)絡從事法律法規(guī)和國家其他相關規(guī)定禁止的違法犯罪行為，如賭博、洗錢、傳銷以及販賣槍支、毒品、禁藥、盜版軟件、淫穢商品和服務5.1安全運營管理機構最高管理層中應有一人b)應協(xié)調(diào)單位內(nèi)部其它機構在平臺安全工作中的職責，領導安全工作的實施；c)應監(jiān)督安全措施的執(zhí)行，并對重要安全事件的處理進行決策；d)指導和檢查應急處理小組等下設機構的各項工作；e)建設和完善平臺安全的集中控管的組織體系和管理機制;f)收集、分析、預警最新的電子商務平臺安全事件和應對方案。根據(jù)業(yè)務的安全風險，在安全事件管理策略和方案中，應詳細說明安全運營管理機構在相應45.2人員管理5.2.2應登記安全運營管理機構成員及其備用人員的姓名和聯(lián)系方式，一些必要的細節(jié)應清晰記入相5.2.3應統(tǒng)一管理關鍵崗位的安全操作人員。關鍵崗位的安全操作人員要求如下：a)允許一人多崗，但安全操作人員不宜由其他關鍵崗位人員兼任；b)關鍵崗位人員應定期接受安全培訓，加強安全意識和風險防范意識。5.2.5定期對各個崗位的人員進行不同側重的安全認知和安全技能的考核，可作為人員是否適合當前5.2.6對咨詢?nèi)藛T、臨時性的短期職位人員，以及輔助人員和外部服務人員等第三方人員的管理要求a)簽署包括不同安全責任的合同書或保密協(xié)議；b)規(guī)定各類人員的業(yè)務操作權限，離崗前必須及時轉移或關閉相關權限；c)第三方人員必須進行邏輯訪問時，應劃定范圍并經(jīng)過負責人批準。5.2.7安全運營管理人員的退出與離職規(guī)定如下：單位將秘密信息復制到本單位享有所有權的其他載體上，并把原載體上的秘密信息消5d)離職人員離職時，應將工作時使用的電腦、U盤及其5.3教育和培訓5.3.1應讓電子商務平臺相關員工了解電子商務平臺安全的重要性，應掌握的平臺安全基本知識和技5.3.2應制定并實施安全教育和培訓計劃，培養(yǎng)電子商務平臺各類人員安全意識，并提供對安全政策a)積極宣傳安全運營管理的作用，作為總體信息安全意識和培訓計劃的一部分；根據(jù)GB/Z20986的相關規(guī)定，在電子商務平臺運營安全上出現(xiàn)的常見安全事件主要是網(wǎng)絡攻擊事件、信息破壞事件、信息內(nèi)容安全事件，包括但6.3.2電子商務平臺信息系統(tǒng)的重要程a)特別重要系統(tǒng):影響平臺交易與支付的信息系統(tǒng)；b)重要信息系統(tǒng)：用戶信息記錄與操作相關系統(tǒng)；6受破壞且持續(xù)造成用戶資金損失或因行動遲緩或沒有行動造成網(wǎng)絡欺詐導致大量用戶網(wǎng)上資金損失；特別重要系統(tǒng)不可用或遭受破壞造成大面積長時間中斷壞且造成用戶資金損失，因行動遲緩或沒有行動造成網(wǎng)絡欺詐導致用戶網(wǎng)上資金損失；重要系統(tǒng)不可用或遭受破壞造成局部中斷平臺的c)較大系統(tǒng)損失：信息或系統(tǒng)故障，明顯影響系統(tǒng)效率，使重要信息系統(tǒng)或一般信息系統(tǒng)業(yè)務處理能力受到影響，或系統(tǒng)重要數(shù)據(jù)的保密性、完整性、可用性遭到破壞，但系統(tǒng)是可恢復被授權采集和使用個人信息，明確個人信息使用c)法律法規(guī)義務。平臺持有和處理的信息應遵從國家相關法律法規(guī)規(guī)定的義務，可能涉及違禁、d)平臺商業(yè)規(guī)則。信息如果泄露的話，可能會引起公眾反參見GB/Z20986，結合電子商務安全事件及價值判斷尺度，電子商務安全事件分級見6.4.2、6.4.特別重大事件是指能夠導致特別嚴重影響或破壞的安全事件，包括但a)會使特別重要信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失；b)產(chǎn)生重大的社會影響。重大事件是指能夠導致嚴重影響或破壞的安全事件，包括a)會使特別重要信息系統(tǒng)遭受嚴重的系統(tǒng)損失、或使重要信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失；7a)會使特別重要信息系統(tǒng)遭受較大的系統(tǒng)損失、或使重要信息系統(tǒng)遭受嚴重的系統(tǒng)損失、一般或使重要信息系統(tǒng)遭受較大的系統(tǒng)損失，一般信息a)一般事件：應急響應行動首先是對業(yè)務系統(tǒng)的監(jiān)控加強。應在適當?shù)腷)較大事件：應啟動相關業(yè)務連續(xù)性計劃中特定的響應。這樣的應急響應涉及系統(tǒng)的所有方面，生社會影響情況下，當突發(fā)事件被確定屬實時，需要同時通知部門人員(不在安全運營管理機況迅速通報給新聞界和/或其他媒體。任何有關安全事件的消息在發(fā)布紿新聞界時，應遵照組做出決定，并為了對事件做出進一步評估以確定需要采取什么——收集有關風險及安全信息，制訂相對應標準、流——安全運營管理機構下設分支團隊，執(zhí)行安全運營管理方案規(guī)定的內(nèi)容，并承擔安全系統(tǒng)運行8——如果安全事件不在控制下，啟動應急響應——對安全事件根據(jù)事件等級的應急響應流程，組建虛擬小組解——安全運營管理機構下設分支團隊，承擔安全檢查評估職能；——與其它部門協(xié)同，對系統(tǒng)安全事件進行評估，以確定安全策略的主叫號碼、賬號、互聯(lián)網(wǎng)地址或域名、系統(tǒng)——對安全風險進行分析，以確保安全系統(tǒng)覆蓋所有的風險點?！鶕?jù)所得的經(jīng)驗教訓，審核和確定信息安全的改——審核相關過程和規(guī)程在響應、評估和恢復每個安全事件時的效確定電子商務安全運營管理方案在總體上需要改進的9——發(fā)現(xiàn)和報告安全事件，可以是組織內(nèi)任何員工,包括正式員工——評估、響應以及安全事件解決后必要的經(jīng)驗教訓以及總結、改進、修訂安全運營管理方案的——應該考慮任何平臺用戶，以及第三方組織、政府和合作安全運營人員需經(jīng)過安全培訓方能上崗。審核人員分工重要信息系統(tǒng)與特別重要信息系統(tǒng)，需保留供審計日志，b)保留用戶登錄（登錄時間、登錄IP）、信息發(fā)布等日志信息；c)保留交易列表、交互信息及交互對象用戶列表；d)用戶注冊信息、登錄長期保存，其他所有日志信息（包括已刪除的信息）應保留一年以上。對平臺上所發(fā)布信息落實7×24小時信息巡查制度，不得制作、復制、發(fā)布、傳播法律法規(guī)禁止的8.4.4信息加密、傳輸、存儲安全運營在電子商務安全運營管理方案執(zhí)行過程中，必須形成正式文件并經(jīng)過檢查的規(guī)程可供使用。每個規(guī)程文件應指明其使用和管理的負責人員。操作規(guī)程的內(nèi)容取決于許多準則，可能與某一特定事件類型或實際上與某一類型安全產(chǎn)品相每個操作規(guī)程都應清楚注明8.5.1使用電子安全事件數(shù)據(jù)庫和技術手段快速建立和更新數(shù)據(jù)庫，分析其中的信息，以便于對事件8.5.3對已評估的風險采取適當?shù)念A防措施，以確保系統(tǒng)、服務和網(wǎng)絡遭受攻擊時仍然可用。8.5.4根據(jù)已得到評估的風險采取措施，利用加密來確保數(shù)據(jù)的完整性和防泄8.5.5便于對已收集信息的歸檔和安全保8.5.6所有技術手段都應認真挑選、正確實施和定期測短期和長期影響。此外，對完全不可預見的安全事件作出某些響9.2策略制訂原則——策略應要求建立適當?shù)膶徟鷻C制，特別是會造成較大影響的處罰9.3安全事件管理策略制訂內(nèi)容9.3.1按照制訂的安全運營管理方案，監(jiān)控平臺上重點安全事件，如平臺上賬戶安全、商品與信息發(fā)9.3.2安全事件管理策略是根據(jù)電子商務平臺實際出現(xiàn)的問題有針對性的制訂；并隨時跟蹤新的安全9.4.1在網(wǎng)絡空間內(nèi)收集情報包括開源情報、傳統(tǒng)9.4.2情報系統(tǒng)的建設包含人工智能及識別技術，通過一個基于知識庫的主動式專題搜索引擎完成專9.5應急響應如果確定安全事件不在策略規(guī)定范圍內(nèi)，應啟動應急響應機制全運營管理機構根據(jù)安全運行管理方案，啟動下列檢查系統(tǒng)的開發(fā)與上線，觸發(fā)安全事件，發(fā)現(xiàn)的安全人員要負責啟動下列a)如果確定該系統(tǒng)暫時不需要優(yōu)化安全措施，或者優(yōu)化安全措施理由不充分，可暫時只監(jiān)控系統(tǒng)b)如果確定系統(tǒng)存在安全隱患，標準來源于安全事件分級劃分以及以前類似系統(tǒng)已經(jīng)出現(xiàn)的安全a)進行再度評估以及對是否調(diào)整安全策略是安全運營管理機構次誤報。如果安全事件被確定為誤報，應完成填寫安全事件報告——評估完成，根據(jù)事件等級做出響應，并調(diào)整相應安全策10.6.1所有參與安全評估、安全事件報告和管理的人員應完整地記錄下事件數(shù)據(jù)庫的過程中所做的任何變更，應遵照已得到正式批準的變更控制方案進行。根據(jù)檢查評審結果，確定有哪些經(jīng)驗教訓需要汲取，并采取措施，優(yōu)——對安全事件做出分析總結，并呈遞到組織管理層的重，應在事件解決后盡快安排所有相關方召開會議。這樣的會議應該考慮以下——電子商務安全運營管理方案規(guī)定的規(guī)程是否發(fā)揮了預期作——在事件發(fā)現(xiàn)、報告和響應的整個過程中向所有相關方的事件通報是否有A.1用戶實名制——要求注冊用戶提供真實身份信息，并進行A.2個人用戶注冊A.3平臺商戶注冊要求——以單位名義開店的商戶，需提供國家規(guī)定的相關證照及聯(lián)系方——登錄過程需要使用https安全通道；——不在常用地區(qū)登錄等類似異常