DB2101T+0080-2023企業(yè)商業(yè)秘密信息化安全防護規(guī)范

03.100.01A01ICSCCS03.100.01A01沈 陽 市 地 方 標 準DB2101/T0080—2023企業(yè)商業(yè)秘密信息化安全防護規(guī)范SpecificationforInformationSecurityProtectionofEnterpriseTradeSecrets20232023-08-282023-09-28沈陽市市場監(jiān)督管理局發(fā)布DB2101/T0080DB2101/T0080—2023DB2101/T0080DB2101/T0080—2023目 次前言 II范圍 1規(guī)范性引用文件 1術(shù)語和定義 1機構(gòu)與職責(zé) 2安全防護管理機構(gòu) 2信息安全保密管理人員 3策略與制度 4技術(shù)要求 4物理環(huán)境安全 4網(wǎng)絡(luò)及邊界安全 5主機、應(yīng)用、數(shù)據(jù)安全 6建設(shè)管理 8安全方案設(shè)計 8產(chǎn)品或服務(wù)的選擇 8軟件開發(fā) 8工程實施 8系統(tǒng)交付與驗收 8運維管理 9環(huán)境管理 9資產(chǎn)管理 9存儲載體管理 9維護管理 9漏洞與隱患管理 9升級管理 10配置管理 10變更管理 10備份與恢復(fù)管理 10外包運維管理 10風(fēng)險監(jiān)測與評估 10風(fēng)險監(jiān)測 10風(fēng)險評估 10安全事件處置與應(yīng)急管理 10安全事件處置 10應(yīng)急預(yù)案管理 11參考文獻 12I前 言GB/T1.1—20201部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利，本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。（沈陽市知識產(chǎn)權(quán)局本文件主要起草人：郝玉明、邊作晰、于佳、田寧、趙永輝、張功、丁凱、靳川、劉爽、薛曉穎、勾穎、王磊、孫潔。本文件歸口部門通訊地址：沈陽市市場監(jiān)督管理局（沈陽市沈河區(qū)南關(guān)路118號）；聯(lián)系電話本文件起草單位通訊地址：沈鼓集團股份有限公司(沈陽經(jīng)濟技術(shù)開發(fā)區(qū)開發(fā)大路16號甲)；聯(lián)系電話IIII企業(yè)商業(yè)秘密信息化安全防護規(guī)范范圍本文件規(guī)定了企業(yè)商業(yè)秘密信息化安全防護體系的機構(gòu)職責(zé)、策略與制度、技術(shù)要求、建設(shè)管理、運維管理、安全事件處置與應(yīng)急管理。建立商業(yè)秘密信息化安全防護體系；運行并持續(xù)改進商業(yè)秘密信息化安全防護體系；尋求外部組織對其商業(yè)秘密技術(shù)防護體系進行評價。規(guī)范性引用文件GB/T2887-2011GB/T9361-2011GB/T2887-2011GB/T9361-2011DB21/T3659-2022商業(yè)秘密保護管理規(guī)范3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1商業(yè)秘密tradesecret注：“不為公眾所知悉”“具有商業(yè)價值”“相應(yīng)保密措施”的具體內(nèi)容詳見《最高人民法院關(guān)于審理侵犯商業(yè)秘密民事案件適用法律若干問題的規(guī)定》。3.2涉密設(shè)備confidentialdevice釆集、存儲、處理、傳輸涉及企業(yè)商業(yè)秘密信息的各類設(shè)備。3.3涉密信息系統(tǒng)confidentialinformationsystem13.4涉密載體confidentialcarrier3.5安全域securitydomain由一組具有相同安全保護需求、并相互信任的信息系統(tǒng)、網(wǎng)絡(luò)及設(shè)備組成的邏輯區(qū)域。3.6涉密區(qū)域confidentialarea企業(yè)內(nèi)產(chǎn)生、存儲、處理、傳輸涉及商業(yè)秘密信息的場所。3.7信息安全產(chǎn)品informationsecurityproducts專門用于保障信息安全的軟件、硬件或其組合體。機構(gòu)與職責(zé)安全防護管理機構(gòu)組織設(shè)置與職責(zé)企業(yè)應(yīng)設(shè)立商業(yè)秘密信息化安全防護管理工作的職能部門，負責(zé)本單位商業(yè)秘密信息化安全防護體系建設(shè)實施和日常管理。崗位配置與職責(zé)企業(yè)應(yīng)設(shè)置專職或兼職信息安全與保密技術(shù)防護管理負責(zé)人崗位，并確定其職責(zé)。對于涉及核心商業(yè)秘密（根據(jù)DB21/T36595.1.2條款確定密級，以下相同）的涉密信息系統(tǒng)、信息安全產(chǎn)品，應(yīng)配備專職安全管理員，不可兼任。授權(quán)與審批企業(yè)應(yīng)對涉密信息系統(tǒng)和網(wǎng)絡(luò)的規(guī)劃、建設(shè)、變更等建立逐級審批程序，所有審批流程應(yīng)經(jīng)企業(yè)應(yīng)根據(jù)各個部門業(yè)務(wù)內(nèi)容和崗位職責(zé)確定具有的涉密信息系統(tǒng)、信息安全產(chǎn)品和網(wǎng)絡(luò)權(quán)2內(nèi)外部溝通和合作檢查、考核與整改企業(yè)應(yīng)定期組織各類涉密信息系統(tǒng)、信息安全產(chǎn)品及網(wǎng)絡(luò)的安全保密檢查，檢查內(nèi)容包括各類系統(tǒng)及網(wǎng)絡(luò)運行情況、系統(tǒng)安全配置、系統(tǒng)及網(wǎng)絡(luò)權(quán)限、數(shù)據(jù)備份與恢復(fù)、系統(tǒng)漏洞發(fā)現(xiàn)與修復(fù)等。企業(yè)組織安全保密檢查應(yīng)制定并使用規(guī)范的檢查表，對檢查內(nèi)容、檢查時間、檢查人等進行記錄，匯總并形成檢查報告。企業(yè)應(yīng)對安全保密檢查中發(fā)現(xiàn)的問題和漏洞進行閉環(huán)管理和控制，并由組織責(zé)任單位進行問題與漏洞的整改，形成整改結(jié)論與報告。信息安全保密管理人員人員錄用（的人員崗位變更與離職企業(yè)應(yīng)及時按照信息安全保密管理人員崗位職責(zé)權(quán)限的變更，及時調(diào)整信息安全保密管理人員系統(tǒng)、網(wǎng)絡(luò)、硬件設(shè)備權(quán)限。安全意識教育和培訓(xùn)3外部人員管理企業(yè)應(yīng)建立外部人員訪問涉密區(qū)域、涉密信息系統(tǒng)、信息安全產(chǎn)品及網(wǎng)絡(luò)的審批流程，所有外部人員訪問應(yīng)履行審批程序，對外部人員的物理訪問或網(wǎng)絡(luò)訪問進行登記備案。外部人員訪問涉密區(qū)域經(jīng)審核批準后，應(yīng)由接待部門安排專人全程陪同，并應(yīng)對外部人員手機、照相機、攝像機等攝錄像設(shè)備的使用進行管理，保證其訪問行為的合規(guī)性。對于涉及核心商業(yè)秘密的涉密信息系統(tǒng)、信息安全產(chǎn)品或網(wǎng)絡(luò)，除國家政府部門監(jiān)督檢查、系統(tǒng)運維管理等情況外，應(yīng)拒絕參觀類訪問行為。策略與制度安全策略企業(yè)應(yīng)根據(jù)商業(yè)秘密信息化安全防護體系建設(shè)需要，并充分考慮與企業(yè)戰(zhàn)略目標的協(xié)同發(fā)展，制定總體安全規(guī)劃及安全策略，確定商業(yè)秘密信息化安全防護體系建設(shè)的基本原則、管控范圍與安全框架。管理制度安全管理制度應(yīng)覆蓋組織建設(shè)及職責(zé)分工、安全人員管理、物理環(huán)境安全管理、網(wǎng)絡(luò)安全管理、主機安全管理、應(yīng)用安全管理、數(shù)據(jù)安全管理、應(yīng)急事件管理與處置等事項。安全操作規(guī)程應(yīng)覆蓋涉密信息系統(tǒng)、信息安全產(chǎn)品、網(wǎng)絡(luò)以及相關(guān)設(shè)備的操作規(guī)范、操作方法、操作說明等事項。制定和發(fā)布評審和修訂技術(shù)要求物理環(huán)境安全物理位置及防護4企業(yè)對數(shù)據(jù)中心或機房的物理位置選擇和防震、防雷、防火、防水、防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護等技術(shù)防護措施應(yīng)符合GB/T2887-2011計算機場地通用規(guī)范、GB/T9361-2011計算機場地安全要求標準中C級場地的要求，推薦企業(yè)按照該標準中B級場地要求執(zhí)行。物理空間訪問控制企業(yè)應(yīng)對數(shù)據(jù)中心或機房的出入口應(yīng)配置電子門禁系統(tǒng)或采用專人值守的方式，對出入數(shù)據(jù)中心或機房的企業(yè)內(nèi)部授權(quán)人員進行驗證、登記，并對人員出入記錄進行存檔備查。企業(yè)應(yīng)建立數(shù)據(jù)中心或機房設(shè)備進出審批程序，所有設(shè)備的進出應(yīng)嚴格履行審批流程，應(yīng)對設(shè)備的進出情況進行登記，并應(yīng)將設(shè)備出入記錄進行存檔備查。企業(yè)應(yīng)在數(shù)據(jù)中心或機房的出入口及內(nèi)部安裝視頻監(jiān)控系統(tǒng)，對所有出入和內(nèi)部活動進行不間斷地視頻錄制，歷史視頻保存期限應(yīng)不少于3個月。企業(yè)內(nèi)部臨時授權(quán)人員、外來人員進入數(shù)據(jù)中心或機房，應(yīng)安排值守人員進行全程陪同。網(wǎng)絡(luò)及邊界安全網(wǎng)絡(luò)架構(gòu)企業(yè)應(yīng)按照業(yè)務(wù)系統(tǒng)及技術(shù)防護軟硬件系統(tǒng)需要建設(shè)內(nèi)部網(wǎng)絡(luò)，并設(shè)置有合理的設(shè)備冗余，保證網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備處理及吞吐能力可滿足業(yè)務(wù)和安全需要。企業(yè)應(yīng)按照業(yè)務(wù)、安全等方面劃分不同的網(wǎng)絡(luò)區(qū)域，可將企業(yè)內(nèi)部網(wǎng)絡(luò)劃分為業(yè)務(wù)系統(tǒng)區(qū)、通信傳輸企業(yè)應(yīng)采用符合國家標準要求的密碼技術(shù)，保證網(wǎng)絡(luò)通信過程中數(shù)據(jù)的完整性和保密性。邊界防護與訪問控制企業(yè)應(yīng)采用必要的技術(shù)手段對接入內(nèi)網(wǎng)的設(shè)備進行可信驗證，可采用InternetProtocol（簡稱“IP”）和MediaAccessControlAddress（簡稱“MAC地址”）企業(yè)應(yīng)采用必要的技術(shù)手段對內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)的行為進行可信驗證，可采用IP認證、用戶賬號密碼認證等方式進行驗證。企業(yè)應(yīng)采用必要的技術(shù)手段對外網(wǎng)訪問內(nèi)部網(wǎng)絡(luò)的行為進行可信驗證，通過VirtualPrivateNetwork（簡稱“VPN”）、零信任等遠程訪問系統(tǒng)對該類行為進行管理和控制。企業(yè)應(yīng)采用必要的技術(shù)手段對非授權(quán)設(shè)備私自接入內(nèi)部網(wǎng)絡(luò)或內(nèi)部非授權(quán)用戶聯(lián)到外部網(wǎng)絡(luò)的行為進行檢測與監(jiān)控，可以定位出具體位置，并對該類行為進行有效阻斷。5對于涉及核心商業(yè)秘密的網(wǎng)絡(luò)區(qū)域，企業(yè)應(yīng)采用物理或邏輯隔離的方式實現(xiàn)網(wǎng)絡(luò)區(qū)域與其它區(qū)域之間的網(wǎng)絡(luò)隔離，對于網(wǎng)絡(luò)邊界和網(wǎng)絡(luò)區(qū)域間訪問采取加強型技術(shù)防護措施。入侵和惡意代碼防范企業(yè)應(yīng)采用必要的技術(shù)手段對內(nèi)網(wǎng)與外網(wǎng)相鄰邊界網(wǎng)絡(luò)節(jié)點進行檢測與監(jiān)控，防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊、惡意代碼注入、垃圾郵件等行為。企業(yè)應(yīng)采用必要的技術(shù)手段對內(nèi)網(wǎng)各安全域邊界網(wǎng)絡(luò)節(jié)點進行檢測與監(jiān)控，防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為網(wǎng)絡(luò)攻擊、惡意代碼注入、垃圾郵件等行為。企業(yè)應(yīng)采取技術(shù)措施對入侵、惡意代碼、垃圾郵件等網(wǎng)絡(luò)行為進行記錄與分析，對網(wǎng)絡(luò)攻擊行為進行報警與處置。安全審計企業(yè)應(yīng)對各類網(wǎng)絡(luò)訪問和網(wǎng)絡(luò)設(shè)備日志進行存檔，保存時限不低于6個月。企業(yè)應(yīng)制定對網(wǎng)絡(luò)的安全審計規(guī)則，定期對各類網(wǎng)絡(luò)進行安全審計，包括內(nèi)網(wǎng)訪問行為、外網(wǎng)遠程訪問內(nèi)網(wǎng)行為、內(nèi)網(wǎng)訪問互聯(lián)網(wǎng)行為等，并形成審計記錄，審計記錄應(yīng)進行存檔備查。主機、應(yīng)用、數(shù)據(jù)安全身份鑒別企業(yè)應(yīng)建立身份鑒別機制，包括身份鑒別信息、復(fù)雜度要求、定期更換要求等，對登錄涉密主機、涉密信息系統(tǒng)及數(shù)據(jù)庫的用戶進行身份鑒別，至少采用口令方式進行身份鑒別。8訪問控制企業(yè)應(yīng)根據(jù)部門業(yè)務(wù)范圍及員工崗位職責(zé)，對員工分配賬戶和權(quán)限，賬戶應(yīng)保證唯一性，避免共享賬戶的存在。涉密信息系統(tǒng)用戶賬號和權(quán)限的申請應(yīng)建立審批程序，經(jīng)批準后賦予用戶對應(yīng)的權(quán)限，權(quán)限應(yīng)滿足最小化原則。企業(yè)應(yīng)定期對賬戶信息進行清查，及時禁用、注銷或刪除離職人員賬戶、測試賬戶、臨時賬戶等無用賬戶。企業(yè)應(yīng)根據(jù)服務(wù)器、涉密信息系統(tǒng)、安全防護軟硬件系統(tǒng)的管理用戶按照角色分配權(quán)限，管6企業(yè)應(yīng)采用必要技術(shù)手段對主機端用戶行為進行監(jiān)控，對用戶操作行為進行監(jiān)控，對違規(guī)行為進行阻斷。對于涉及核心商業(yè)秘密的主機、涉密信息系統(tǒng)應(yīng)采用加強訪問控制，不可直接接入外部網(wǎng)絡(luò)或由外部網(wǎng)絡(luò)遠程進行訪問。安全審計入侵和惡意代碼防范企業(yè)應(yīng)在主機上安裝必要的防病毒及防入侵軟件，識別、記錄、告警并處置各類入侵和病毒行為，有效的阻斷病毒或惡意代碼入侵。企業(yè)應(yīng)采用必要的技術(shù)防護手段定期對主機、各類涉密信息系統(tǒng)、安全防護軟硬件系統(tǒng)進行漏洞掃描，對發(fā)現(xiàn)的漏洞進行評估后，采用合理的方式修復(fù)或防護漏洞。數(shù)據(jù)完整性與保密性企業(yè)應(yīng)按照國家數(shù)據(jù)安全法律法規(guī)及標準規(guī)范要求，對各類數(shù)據(jù)進行分類分級，明確涉及商數(shù)據(jù)備份恢復(fù)企業(yè)應(yīng)建立數(shù)據(jù)備份與恢復(fù)機制，包括備份方式、備份周期、存儲介質(zhì)、保存期限等。企業(yè)應(yīng)根據(jù)數(shù)據(jù)的重要性和敏感性進行分類備份，并對備份數(shù)據(jù)進行分類管理。剩余信息保護7企業(yè)應(yīng)采用必要的技術(shù)手段或策略對鑒別信息及商業(yè)秘密數(shù)據(jù)所在的臨時緩沖存儲空間進行完全清除。個人信息保護建設(shè)管理安全方案設(shè)計產(chǎn)品或服務(wù)的選擇企業(yè)應(yīng)選擇具備資質(zhì)及技術(shù)能力的軟硬件產(chǎn)品或服務(wù)供應(yīng)商。企業(yè)應(yīng)按照國家法律法規(guī)、標準規(guī)范要求和行業(yè)發(fā)展趨勢，結(jié)合企業(yè)實際業(yè)務(wù)需求，制定安全產(chǎn)品及服務(wù)供應(yīng)商評價標準，建立軟硬件產(chǎn)品或服務(wù)供應(yīng)商目錄，并定期對供應(yīng)商進行評價。企業(yè)所選擇的軟硬件產(chǎn)品或服務(wù)應(yīng)獲得國家許可或認證，且滿足企業(yè)業(yè)務(wù)及安全基本要求。企業(yè)應(yīng)與軟硬件產(chǎn)品或服務(wù)供應(yīng)商簽訂保密協(xié)議，明確雙方的保密權(quán)利及義務(wù)。軟件開發(fā)企業(yè)應(yīng)采用安全開發(fā)生命周期等方法，對軟件開發(fā)全過程實施安全管理。企業(yè)應(yīng)在軟件上線前，對軟件進行功能和安全性測試，功能應(yīng)滿足業(yè)務(wù)需求，并對可能存在的惡意代碼進行必要的檢測。企業(yè)應(yīng)對軟件程序的修改、更新、發(fā)布進行審批，并對軟件版本進行控制。對于外包軟件開發(fā)，應(yīng)由開發(fā)單位提供軟件源代碼，企業(yè)應(yīng)從安全保密角度對軟件中可能存在的后門和隱蔽信道等方面進行審查，識別可能存在的問題或潛在風(fēng)險。企業(yè)應(yīng)對已完成開發(fā)的軟件的業(yè)務(wù)符合性和安全性進行測試和驗收，并形成測試和驗收報告。工程實施系統(tǒng)交付與驗收企業(yè)應(yīng)按合同及技術(shù)協(xié)議對系統(tǒng)進行驗收，包括對合同及技術(shù)協(xié)議內(nèi)約定的設(shè)備、軟件、文檔、服務(wù)等進行清點，并對軟件功能及安全性進行測試，軟件驗收應(yīng)形成驗收報告。8企業(yè)應(yīng)組織供應(yīng)商對負責(zé)運行維護的技術(shù)人員進行相應(yīng)的技能培訓(xùn)。企業(yè)在系統(tǒng)交付和驗收完成后，應(yīng)組織對技術(shù)防護體系進行重新評估。運維管理環(huán)境管理資產(chǎn)管理企業(yè)應(yīng)建立資產(chǎn)清單，包括資產(chǎn)基本信息、責(zé)任部門、責(zé)任人、重要程度、涉密等級和所處位置等內(nèi)容，并及時進行更新。企業(yè)應(yīng)根據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標識管理，并采取合理的管理措施，對于涉密設(shè)備及涉密載體應(yīng)加強管理。涉密設(shè)備的銷毀應(yīng)履行審批程序，銷毀應(yīng)采用合理的技術(shù)手段清除涉及商業(yè)秘密的數(shù)據(jù)。存儲載體管理涉密載體的銷毀應(yīng)履行審批程序，銷毀應(yīng)采用合理的技術(shù)手段清除涉及商業(yè)秘密的數(shù)據(jù)。維護管理企業(yè)應(yīng)詳細記錄運維操作日志，包括日常巡檢工作、運行維護記錄、參數(shù)的設(shè)置和修改等內(nèi)容。漏洞與隱患管理9升級管理配置管理變更管理備份與恢復(fù)管理證等處理。外包運維管理企業(yè)應(yīng)選擇具備資質(zhì)和技術(shù)能力的外包運維服務(wù)商。證等處理。外包運維管理企業(yè)應(yīng)選擇具備資質(zhì)和技術(shù)能力的外包運維服務(wù)商。企業(yè)應(yīng)建立外包服務(wù)商評價機制，定期對外包服務(wù)商的技術(shù)能力、資質(zhì)等進行評價。企業(yè)應(yīng)與外包運維服務(wù)商簽訂保密協(xié)議，明確雙方的