DB33T 978-2015 電子商務(wù)平臺安全管理規(guī)范　

DB33Securitymanagementspecificationsforelectronic浙江省質(zhì)量技術(shù)監(jiān)督局發(fā)布I V 1 1 1 3 3 3 4 5 5 5 5 5 6 7 7 7 7 7 8 8 8 8 8 8 9 本標(biāo)準(zhǔn)主要起草人：謝俊軍、顏鷹、沈錫鏞、李寧、孫艷、劉洛丹、方強引言電子商務(wù)平臺建設(shè)實際，浙江省商務(wù)廳組織制定了1電子商務(wù)平臺安全管理規(guī)范本標(biāo)準(zhǔn)適用于全省各地提供互聯(lián)網(wǎng)電子商務(wù)平臺服務(wù)的安全2主要指為信息系統(tǒng)安全運營管理制定的行動方用注冊的ID與用戶信息來判斷的使用電子商務(wù)交易平臺租用電子商務(wù)平臺進(jìn)行經(jīng)營活動的法人、法人委派的行為主體、其它組織機構(gòu)或自3從公開可用的資源中，如極端分子的網(wǎng)站，4基本要求4.1應(yīng)遵守國家有關(guān)法律、行政法規(guī)及規(guī)章等相關(guān)規(guī)定。4.2應(yīng)遵守國家制定的相關(guān)的網(wǎng)絡(luò)技術(shù)規(guī)范和安全規(guī)范。4.4應(yīng)遵循國家有關(guān)知識產(chǎn)權(quán)的法律法規(guī)，不應(yīng)侵害他人的專利權(quán)、商標(biāo)權(quán)、著作權(quán)等，并有權(quán)利和4.5應(yīng)禁止通過網(wǎng)絡(luò)從事法律法規(guī)和國家其他相關(guān)規(guī)定禁止的違法犯罪行為，如賭博、洗錢、傳銷以及販賣槍支、毒品、禁藥、盜版軟件、淫穢商品和服務(wù)5.1安全運營管理機構(gòu)最高管理層中應(yīng)有一人b)應(yīng)協(xié)調(diào)單位內(nèi)部其它機構(gòu)在平臺安全工作中的職責(zé)，領(lǐng)導(dǎo)安全工作的實施；c)應(yīng)監(jiān)督安全措施的執(zhí)行，并對重要安全事件的處理進(jìn)行決策；d)指導(dǎo)和檢查應(yīng)急處理小組等下設(shè)機構(gòu)的各項工作；e)建設(shè)和完善平臺安全的集中控管的組織體系和管理機制;f)收集、分析、預(yù)警最新的電子商務(wù)平臺安全事件和應(yīng)對方案。根據(jù)業(yè)務(wù)的安全風(fēng)險，在安全事件管理策略和方案中，應(yīng)詳細(xì)說明安全運營管理機構(gòu)在相應(yīng)45.2人員管理5.2.2應(yīng)登記安全運營管理機構(gòu)成員及其備用人員的姓名和聯(lián)系方式，一些必要的細(xì)節(jié)應(yīng)清晰記入相5.2.3應(yīng)統(tǒng)一管理關(guān)鍵崗位的安全操作人員。關(guān)鍵崗位的安全操作人員要求如下：a)允許一人多崗，但安全操作人員不宜由其他關(guān)鍵崗位人員兼任；b)關(guān)鍵崗位人員應(yīng)定期接受安全培訓(xùn)，加強安全意識和風(fēng)險防范意識。5.2.5定期對各個崗位的人員進(jìn)行不同側(cè)重的安全認(rèn)知和安全技能的考核，可作為人員是否適合當(dāng)前5.2.6對咨詢?nèi)藛T、臨時性的短期職位人員，以及輔助人員和外部服務(wù)人員等第三方人員的管理要求a)簽署包括不同安全責(zé)任的合同書或保密協(xié)議；b)規(guī)定各類人員的業(yè)務(wù)操作權(quán)限，離崗前必須及時轉(zhuǎn)移或關(guān)閉相關(guān)權(quán)限；c)第三方人員必須進(jìn)行邏輯訪問時，應(yīng)劃定范圍并經(jīng)過負(fù)責(zé)人批準(zhǔn)。5.2.7安全運營管理人員的退出與離職規(guī)定如下：單位將秘密信息復(fù)制到本單位享有所有權(quán)的其他載體上，并把原載體上的秘密信息消5d)離職人員離職時，應(yīng)將工作時使用的電腦、U盤及其5.3教育和培訓(xùn)5.3.1應(yīng)讓電子商務(wù)平臺相關(guān)員工了解電子商務(wù)平臺安全的重要性，應(yīng)掌握的平臺安全基本知識和技5.3.2應(yīng)制定并實施安全教育和培訓(xùn)計劃，培養(yǎng)電子商務(wù)平臺各類人員安全意識，并提供對安全政策a)積極宣傳安全運營管理的作用，作為總體信息安全意識和培訓(xùn)計劃的一部分；根據(jù)GB/Z20986的相關(guān)規(guī)定，在電子商務(wù)平臺運營安全上出現(xiàn)的常見安全事件主要是網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件，包括但6.3.2電子商務(wù)平臺信息系統(tǒng)的重要程a)特別重要系統(tǒng):影響平臺交易與支付的信息系統(tǒng)；b)重要信息系統(tǒng)：用戶信息記錄與操作相關(guān)系統(tǒng)；6受破壞且持續(xù)造成用戶資金損失或因行動遲緩或沒有行動造成網(wǎng)絡(luò)欺詐導(dǎo)致大量用戶網(wǎng)上資金損失；特別重要系統(tǒng)不可用或遭受破壞造成大面積長時間中斷壞且造成用戶資金損失，因行動遲緩或沒有行動造成網(wǎng)絡(luò)欺詐導(dǎo)致用戶網(wǎng)上資金損失；重要系統(tǒng)不可用或遭受破壞造成局部中斷平臺的c)較大系統(tǒng)損失：信息或系統(tǒng)故障，明顯影響系統(tǒng)效率，使重要信息系統(tǒng)或一般信息系統(tǒng)業(yè)務(wù)處理能力受到影響，或系統(tǒng)重要數(shù)據(jù)的保密性、完整性、可用性遭到破壞，但系統(tǒng)是可恢復(fù)被授權(quán)采集和使用個人信息，明確個人信息使用c)法律法規(guī)義務(wù)。平臺持有和處理的信息應(yīng)遵從國家相關(guān)法律法規(guī)規(guī)定的義務(wù)，可能涉及違禁、d)平臺商業(yè)規(guī)則。信息如果泄露的話，可能會引起公眾反參見GB/Z20986，結(jié)合電子商務(wù)安全事件及價值判斷尺度，電子商務(wù)安全事件分級見6.4.2、6.4.特別重大事件是指能夠?qū)е绿貏e嚴(yán)重影響或破壞的安全事件，包括但a)會使特別重要信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失；b)產(chǎn)生重大的社會影響。重大事件是指能夠?qū)е聡?yán)重影響或破壞的安全事件，包括a)會使特別重要信息系統(tǒng)遭受嚴(yán)重的系統(tǒng)損失、或使重要信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失；7a)會使特別重要信息系統(tǒng)遭受較大的系統(tǒng)損失、或使重要信息系統(tǒng)遭受嚴(yán)重的系統(tǒng)損失、一般或使重要信息系統(tǒng)遭受較大的系統(tǒng)損失，一般信息a)一般事件：應(yīng)急響應(yīng)行動首先是對業(yè)務(wù)系統(tǒng)的監(jiān)控加強。應(yīng)在適當(dāng)?shù)腷)較大事件：應(yīng)啟動相關(guān)業(yè)務(wù)連續(xù)性計劃中特定的響應(yīng)。這樣的應(yīng)急響應(yīng)涉及系統(tǒng)的所有方面，生社會影響情況下，當(dāng)突發(fā)事件被確定屬實時，需要同時通知部門人員(不在安全運營管理機況迅速通報給新聞界和/或其他媒體。任何有關(guān)安全事件的消息在發(fā)布紿新聞界時，應(yīng)遵照組做出決定，并為了對事件做出進(jìn)一步評估以確定需要采取什么——收集有關(guān)風(fēng)險及安全信息，制訂相對應(yīng)標(biāo)準(zhǔn)、流——安全運營管理機構(gòu)下設(shè)分支團隊，執(zhí)行安全運營管理方案規(guī)定的內(nèi)容，并承擔(dān)安全系統(tǒng)運行8——如果安全事件不在控制下，啟動應(yīng)急響應(yīng)——對安全事件根據(jù)事件等級的應(yīng)急響應(yīng)流程，組建虛擬小組解——安全運營管理機構(gòu)下設(shè)分支團隊，承擔(dān)安全檢查評估職能；——與其它部門協(xié)同，對系統(tǒng)安全事件進(jìn)行評估，以確定安全策略的主叫號碼、賬號、互聯(lián)網(wǎng)地址或域名、系統(tǒng)——對安全風(fēng)險進(jìn)行分析，以確保安全系統(tǒng)覆蓋所有的風(fēng)險點?！鶕?jù)所得的經(jīng)驗教訓(xùn)，審核和確定信息安全的改——審核相關(guān)過程和規(guī)程在響應(yīng)、評估和恢復(fù)每個安全事件時的效確定電子商務(wù)安全運營管理方案在總體上需要改進(jìn)的9——發(fā)現(xiàn)和報告安全事件，可以是組織內(nèi)任何員工,包括正式員工——評估、響應(yīng)以及安全事件解決后必要的經(jīng)驗教訓(xùn)以及總結(jié)、改進(jìn)、修訂安全運營管理方案的——應(yīng)該考慮任何平臺用戶，以及第三方組織、政府和合作安全運營人員需經(jīng)過安全培訓(xùn)方能上崗。審核人員分工重要信息系統(tǒng)與特別重要信息系統(tǒng)，需保留供審計日志，b)保留用戶登錄（登錄時間、登錄IP）、信息發(fā)布等日志信息；c)保留交易列表、交互信息及交互對象用戶列表；d)用戶注冊信息、登錄長期保存，其他所有日志信息（包括已刪除的信息）應(yīng)保留一年以上。對平臺上所發(fā)布信息落實7×24小時信息巡查制度，不得制作、復(fù)制、發(fā)布、傳播法律法規(guī)禁止的8.4.4信息加密、傳輸、存儲安全運營在電子商務(wù)安全運營管理方案執(zhí)行過程中，必須形成正式文件并經(jīng)過檢查的規(guī)程可供使用。每個規(guī)程文件應(yīng)指明其使用和管理的負(fù)責(zé)人員。操作規(guī)程的內(nèi)容取決于許多準(zhǔn)則，可能與某一特定事件類型或?qū)嶋H上與某一類型安全產(chǎn)品相每個操作規(guī)程都應(yīng)清楚注明8.5.1使用電子安全事件數(shù)據(jù)庫和技術(shù)手段快速建立和更新數(shù)據(jù)庫，分析其中的信息，以便于對事件8.5.3對已評估的風(fēng)險采取適當(dāng)?shù)念A(yù)防措施，以確保系統(tǒng)、服務(wù)和網(wǎng)絡(luò)遭受攻擊時仍然可用。8.5.4根據(jù)已得到評估的風(fēng)險采取措施，利用加密來確保數(shù)據(jù)的完整性和防泄8.5.5便于對已收集信息的歸檔和安全保8.5.6所有技術(shù)手段都應(yīng)認(rèn)真挑選、正確實施和定期測短期和長期影響。此外，對完全不可預(yù)見的安全事件作出某些響9.2策略制訂原則——策略應(yīng)要求建立適當(dāng)?shù)膶徟鷻C制，特別是會造成較大影響的處罰9.3安全事件管理策略制訂內(nèi)容9.3.1按照制訂的安全運營管理方案，監(jiān)控平臺上重點安全事件，如平臺上賬戶安全、商品與信息發(fā)9.3.2安全事件管理策略是根據(jù)電子商務(wù)平臺實際出現(xiàn)的問題有針對性的制訂；并隨時跟蹤新的安全9.4.1在網(wǎng)絡(luò)空間內(nèi)收集情報包括開源情報、傳統(tǒng)9.4.2情報系統(tǒng)的建設(shè)包含人工智能及識別技術(shù)，通過一個基于知識庫的主動式專題搜索引擎完成專9.5應(yīng)急響應(yīng)如果確定安全事件不在策略規(guī)定范圍內(nèi)，應(yīng)啟動應(yīng)急響應(yīng)機制全運營管理機構(gòu)根據(jù)安全運行管理方案，啟動下列檢查系統(tǒng)的開發(fā)與上線，觸發(fā)安全事件，發(fā)現(xiàn)的安全人員要負(fù)責(zé)啟動下列a)如果確定該系統(tǒng)暫時不需要優(yōu)化安全措施，或者優(yōu)化安全措施理由不充分，可暫時只監(jiān)控系統(tǒng)b)如果確定系統(tǒng)存在安全隱患，標(biāo)準(zhǔn)來源于安全事件分級劃分以及以前類似系統(tǒng)已經(jīng)出現(xiàn)的安全a)進(jìn)行再度評估以及對是否調(diào)整安全策略是安全運營管理機構(gòu)次誤報。如果安全事件被確定為誤報，應(yīng)完成填寫安全事件報告——評估完成，根據(jù)事件等級做出響應(yīng)，并調(diào)整相應(yīng)安全策10.6.1所有參與安全評估、安全事件報告和管理的人員應(yīng)完整地記錄下事件數(shù)據(jù)庫的過程中所做的任何變更，應(yīng)遵照已得到正式批準(zhǔn)的變更控制方案進(jìn)行。根據(jù)檢查評審結(jié)果，確定有哪些經(jīng)驗教訓(xùn)需要汲取，并采取措施，優(yōu)——對安全事件做出分析總結(jié)，并呈遞到組織管理層的重，應(yīng)在事件解決后盡快安排所有相關(guān)方召開會議。這樣的會議應(yīng)該考慮以下——電子商務(wù)安全運營管理方案規(guī)定的規(guī)程是否發(fā)揮了預(yù)期作——在事件發(fā)現(xiàn)、報告和響應(yīng)的整個過程中向所有相關(guān)方的事件通報是否有A.1用戶實名制——要求注冊用戶提供真實身份信息，并進(jìn)行A.2個人用戶注冊A.3平臺商戶注冊要求——以單位名義開店的商戶，需提供國家規(guī)定的相關(guān)證照及聯(lián)系方——登錄過程需要使用https安全通道；——不在常用地區(qū)登錄等類似異常