GB/T 42971-2023 第三方電子合同服務(wù)平臺(tái)信息安全技術(shù)要求（正式版）

ICS35.240.60第三方電子合同服務(wù)平臺(tái)信息安全國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)IGB/T42971—2023 12規(guī)范性引用文件 13術(shù)語和定義 1 24.1資質(zhì)要求 24.2真實(shí)身份標(biāo)識(shí) 24.3業(yè)務(wù)持續(xù)性保障 24.4通信安全 24.5安全評(píng)估與監(jiān)管 34.6數(shù)據(jù)安全 34.7電子簽名 34.8記錄留存 35訂立過程安全 35.1基本要求 35.2實(shí)名核驗(yàn) 45.3數(shù)字證書申請(qǐng) 45.4密碼算法及密碼產(chǎn)品 5 55.6存證可靠性 5 56存儲(chǔ)與應(yīng)用安全 56.1存儲(chǔ)安全 56.2隱私保護(hù)安全 66.3司法舉證 6 77.1日志管理 77.2漏洞管理 77.3備份管理 77.4安全事件管理 7參考文獻(xiàn) 9ⅢGB/T42971—2023本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由全國(guó)電子業(yè)務(wù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC83)提出并歸口。本文件起草單位：杭州天谷信息科技有限公司、深圳惠農(nóng)智光科技有限公司、廣州執(zhí)友信息科技有西金虎保險(xiǎn)設(shè)備集團(tuán)有限公司、中移系統(tǒng)集成有限公司、杭州市消費(fèi)者權(quán)益保護(hù)委員會(huì)秘書處(杭州國(guó)家電子商務(wù)產(chǎn)品質(zhì)量監(jiān)測(cè)處置中心)、杭州尚尚簽網(wǎng)絡(luò)科技有限公司、中國(guó)信息安全研究院有限公司、南京壹證通信息科技有限公司、北京中普至信標(biāo)準(zhǔn)化咨詢事務(wù)所、山西科泰航天防務(wù)技術(shù)股份有限公司、關(guān)村新興科技服務(wù)業(yè)產(chǎn)業(yè)聯(lián)盟、中關(guān)村空間信息產(chǎn)業(yè)技術(shù)聯(lián)盟、河南省信息咨詢?cè)O(shè)計(jì)研究有限公司、福建省標(biāo)準(zhǔn)化研究院、中國(guó)輕工業(yè)信息中心、長(zhǎng)城計(jì)算機(jī)軟件與系統(tǒng)有限公司、中科標(biāo)準(zhǔn)(寧德)科技有限州市寶尚信息科技有限公司、山東融托科技有限公司、江西金格科技股份有限公司、北京中科標(biāo)準(zhǔn)科技集團(tuán)有限公司。1GB/T42971—2023第三方電子合同服務(wù)平臺(tái)信息安全技術(shù)要求要求。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文本文件。GB/T20520信息安全技術(shù)公鑰基礎(chǔ)設(shè)施時(shí)間戳規(guī)范GB/T20988信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T28448信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求GB/T32918.2信息安全技術(shù)SM2橢圓曲線公鑰密碼算法第2部分：數(shù)字簽名算法GB/T35273信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T37988信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型GB50174數(shù)據(jù)中心設(shè)計(jì)規(guī)范JR/T0118金融電子認(rèn)證規(guī)范3.1務(wù)關(guān)系的協(xié)議。數(shù)據(jù)電文中以電子形式所含、所附用于識(shí)別簽名人3.3基于PKI的數(shù)字簽名認(rèn)證技術(shù)。3.42GB/T42971—20233.5在線訂立及處理的信息系統(tǒng)。3.6數(shù)字證書digitalcertificate由國(guó)家認(rèn)可的，具有權(quán)威性、可信性和公正性的第三方電子認(rèn)證服務(wù)機(jī)構(gòu)(CA,CertificateAuthority)進(jìn)行數(shù)字簽名的一個(gè)可信的數(shù)字化文件。3.7憑證。注1:可信時(shí)間戳由權(quán)威時(shí)間戳服務(wù)中心機(jī)構(gòu)簽發(fā)。注2:可信時(shí)間戳主要用于電子文件防篡改和事后抵賴，確定電子文件產(chǎn)生的準(zhǔn)確時(shí)間。4基本要求第三方電子合同服務(wù)平臺(tái)資質(zhì)應(yīng)符合但不限于以下要求之一：a)網(wǎng)絡(luò)安全等級(jí)保護(hù)應(yīng)為GB/T22239中第三級(jí)要求或更高級(jí)別；c)云服務(wù)通過通信主管部門的可信云服務(wù)認(rèn)證；第三方電子合同服務(wù)平臺(tái)應(yīng)使用組織驗(yàn)證(OV,OrganizationValidation)或擴(kuò)展驗(yàn)證(EV,ExtendedValidation)的傳輸層安全(SSL,SecureSocketsLayer)網(wǎng)站認(rèn)證證書等手段標(biāo)識(shí)網(wǎng)站的真實(shí)業(yè)務(wù)持續(xù)性保障應(yīng)符合但不限于以下要求：a)部署在符合GB50174要求的A級(jí)數(shù)據(jù)中心機(jī)房；b)建立或使用與其業(yè)務(wù)規(guī)模相匹配的災(zāi)備系統(tǒng)設(shè)施，系統(tǒng)的災(zāi)難恢復(fù)能力滿足GB/T20988的c)提供7×24h服務(wù)，并提供7×24h3GB/T42971—20234.5安全評(píng)估與監(jiān)管第三方電子合同服務(wù)平臺(tái)應(yīng)依據(jù)GB/T28448定期開展等級(jí)保護(hù)測(cè)評(píng)，測(cè)評(píng)應(yīng)由具備等級(jí)保護(hù)測(cè)評(píng)資質(zhì)的信息安全測(cè)評(píng)認(rèn)證機(jī)構(gòu)進(jìn)行。第三方電子合同服務(wù)平臺(tái)應(yīng)向監(jiān)管部門或行業(yè)自律組織完成報(bào)備等合規(guī)工作。4.6數(shù)據(jù)安全第三方電子合同服務(wù)平臺(tái)數(shù)據(jù)安全主要包括身份認(rèn)證、授權(quán)訪問控制、可審計(jì)、存儲(chǔ)保護(hù)和隱私保a)采取身份認(rèn)證，確保具備訪問權(quán)限；b)具有授權(quán)訪問控制功能，用戶通過實(shí)名核驗(yàn)后，才可查看、下載本人已訂立或被授予權(quán)限的電子合同；c)完整記錄用戶操作日志以備審計(jì)；d)具有安全措施，確保電子合同不泄露，對(duì)電子合同進(jìn)行加密存儲(chǔ)；e)具有隱私保護(hù)措施，確保用戶隱私安全，符合GB/T35273要求。4.7電子簽名電子簽名應(yīng)符合但不限于以下要求：a)在可靠電子簽名體系中，標(biāo)識(shí)電子簽名人真實(shí)身份的數(shù)字證書由電子認(rèn)證服務(wù)機(jī)構(gòu)頒發(fā)；b)第三方電子合同服務(wù)平臺(tái)所合作的電子認(rèn)證服務(wù)機(jī)構(gòu)要取得主管部門頒發(fā)的“電子認(rèn)證服務(wù)許可證”,并符合主管部門的各項(xiàng)管理要求和在主管部門備案的電子認(rèn)證業(yè)務(wù)規(guī)則。第三方電子合同服務(wù)平臺(tái)應(yīng)對(duì)電子簽名人提交的電子簽名進(jìn)行驗(yàn)證，以保證電子合同的完整性和抗抵賴性，電子簽名驗(yàn)證應(yīng)符合但不限于以下要求：a)驗(yàn)證簽訂人數(shù)字證書的有效性；b)驗(yàn)證電子簽名的有效性以及時(shí)間戳信息；c)驗(yàn)證電子簽名所使用的電子簽名算法符合GB/T32918.2要求；d)驗(yàn)證電子簽名所使用的數(shù)據(jù)摘要算法符合GB/T32918.2要求；e)驗(yàn)證電子簽名攻擊，防止通用簽名偽造(USF,UniversalSignature(ISA,IncrementalSavingAttack)和特征包裹攻擊(SWA,SignatureWrappingAttack)攻擊。4.8記錄留存第三方電子合同服務(wù)平臺(tái)應(yīng)記錄并保存簽訂人的合同記錄，客戶有要求時(shí)，按客戶要求對(duì)相關(guān)信息進(jìn)行保留，無特殊要求時(shí)留存期限應(yīng)至少為當(dāng)事人數(shù)字證書失效后5年。5訂立過程安全5.1基本要求簽訂人應(yīng)先通過實(shí)名核驗(yàn)，由電子認(rèn)證服務(wù)機(jī)構(gòu)為其簽發(fā)數(shù)字證書，簽訂人使用數(shù)字證書對(duì)電子合同進(jìn)行電子簽名，第三方電子合同服務(wù)平臺(tái)使用電子簽名驗(yàn)證數(shù)據(jù)進(jìn)行電子合同完整性驗(yàn)證，并且確認(rèn)4GB/T42971—2023簽訂人的真實(shí)身份。5.2實(shí)名核驗(yàn)實(shí)名核驗(yàn)基本要求包括但不限于以下要求。a)實(shí)名核驗(yàn)應(yīng)包含對(duì)簽訂人提供的有效證件真實(shí)性、一致性、意愿真實(shí)性三方面進(jìn)行核驗(yàn)。第三方電子合同服務(wù)平臺(tái)可根據(jù)平臺(tái)自身的風(fēng)控制度自主選擇實(shí)名核驗(yàn)的方式。b)實(shí)名核驗(yàn)方式應(yīng)不少于兩種，不應(yīng)規(guī)定單一校驗(yàn)方式。c)簽訂人登錄第三方電子合同服務(wù)平臺(tái)，應(yīng)提交真實(shí)、完整和準(zhǔn)確的個(gè)人或企業(yè)身份信息，第三方電子合同服務(wù)平臺(tái)應(yīng)對(duì)簽訂人的身份信息進(jìn)行審核，只有實(shí)名核驗(yàn)通過的個(gè)人或企業(yè)，才能簽訂合同。d)實(shí)名核驗(yàn)需明示個(gè)人信息數(shù)據(jù)流向，個(gè)人信息處理方式應(yīng)符合相關(guān)法律法規(guī)要求。e)應(yīng)準(zhǔn)確記錄簽訂人實(shí)名核驗(yàn)操作時(shí)間、操作內(nèi)容、操作結(jié)果、操作來源互聯(lián)網(wǎng)協(xié)議(IP,InternetProtocol)便于審計(jì)。第三方電子合同服務(wù)平臺(tái)在對(duì)自然人進(jìn)行實(shí)名核驗(yàn)時(shí)可采用以下方式。a)線下核驗(yàn)：包括對(duì)自然人有效證件的現(xiàn)場(chǎng)審核、自然人生物特征信息的采集和比對(duì)核驗(yàn)以及人證合一的確認(rèn)。b)線上核驗(yàn)：核驗(yàn)信息包括姓名、身份證號(hào)碼、手機(jī)號(hào)碼或銀行卡號(hào)。核驗(yàn)信息應(yīng)利用政府權(quán)威部門的數(shù)據(jù)庫或取得政府權(quán)威部門授權(quán)或認(rèn)可的數(shù)據(jù)庫等，并采用生物特征識(shí)別技術(shù)或其他安全有效的技術(shù)手段進(jìn)行人證合一的確認(rèn)，也可通過電子認(rèn)證服務(wù)機(jī)構(gòu)頒發(fā)的數(shù)字證書進(jìn)行實(shí)名核驗(yàn)。5.2.3法人或其他組織實(shí)名核驗(yàn)第三方電子合同服務(wù)平臺(tái)在對(duì)法人或其他組織進(jìn)行實(shí)名核驗(yàn)時(shí)可采用以下方式：a)線下核驗(yàn)：包括對(duì)法人或其他組織有效證件和經(jīng)辦人的合法授權(quán)文件的現(xiàn)場(chǎng)審核，以及經(jīng)辦人的個(gè)人實(shí)名核驗(yàn)；b)線上核驗(yàn)：核驗(yàn)信息包括名稱、工商登記號(hào)或統(tǒng)一社會(huì)信用代碼、法定代表人或負(fù)責(zé)人姓名和指定金額發(fā)票等核驗(yàn)方式，也可通過電子認(rèn)證服務(wù)機(jī)構(gòu)頒發(fā)的數(shù)字證書進(jìn)行實(shí)名核驗(yàn)；5.2.4核驗(yàn)隱私數(shù)據(jù)保護(hù)第三方電子合同服務(wù)平臺(tái)對(duì)核驗(yàn)信息的保護(hù)，應(yīng)符合GB/T35273以及相關(guān)法律法規(guī)中對(duì)敏感信息要求。5.3數(shù)字證書申請(qǐng)簽訂人應(yīng)在第三方電子合同服務(wù)平臺(tái)上通過實(shí)名核驗(yàn)后才能申請(qǐng)數(shù)字證書。5GB/T42971—20235.3.2個(gè)人數(shù)字證書申請(qǐng)的有效身份證件在個(gè)人數(shù)字證書申請(qǐng)時(shí)對(duì)個(gè)人身份進(jìn)行鑒別時(shí)，應(yīng)符合JR/T0118中有關(guān)個(gè)人有效身份證件的要求。5.3.3企業(yè)數(shù)字證書申請(qǐng)的有效證件在企業(yè)數(shù)字證書申請(qǐng)時(shí)對(duì)機(jī)構(gòu)身份進(jìn)行鑒別時(shí)，應(yīng)符合JR/T0118中有關(guān)企業(yè)有效身份證件的要求。在使用數(shù)字證書簽名時(shí)，應(yīng)符合GB/T32918.2中的密碼算法安全要求。5.4密碼算法及密碼產(chǎn)品第三方電子合同服務(wù)平臺(tái)所使用的密碼算法可包括但不限于：雜湊算法、非對(duì)稱密碼算法和對(duì)稱密碼算法，所有算法應(yīng)是國(guó)家密碼主管部門認(rèn)可的算法。第三方電子合同服務(wù)平臺(tái)采用的密碼產(chǎn)品(模塊)應(yīng)取得國(guó)家密碼主管部門頒發(fā)的商用密碼產(chǎn)品認(rèn)證證書。5.5時(shí)間戳電子合同采用的可信時(shí)間戳應(yīng)符合以下要求：a)第三方電子合同服務(wù)平臺(tái)確保合同具備可信時(shí)間戳要素，滿足防篡改要求；b)權(quán)威時(shí)間戳服務(wù)機(jī)構(gòu)應(yīng)與國(guó)家授時(shí)中心保持時(shí)間同步；c)時(shí)間戳應(yīng)符合GB/T20520的要求。5.6存證可靠性第三方電子合同服務(wù)平臺(tái)將簽名數(shù)據(jù)固化后，形成證據(jù)鏈條應(yīng)符合以下要求。a)能夠可靠地保證自最終形成時(shí)起，內(nèi)容保持完整、未被更改。但是在數(shù)據(jù)電文上增加背書以及數(shù)據(jù)交換、儲(chǔ)存和顯示過程中發(fā)生的形式變化不影響數(shù)據(jù)電文的完整性。b)能夠有效地表現(xiàn)所載內(nèi)容并能夠隨時(shí)調(diào)取查用。5.7數(shù)據(jù)安全技術(shù)第三方電子合同服務(wù)平臺(tái)系統(tǒng)數(shù)據(jù)安全，應(yīng)符合GB/T37988的要求，包括：a)數(shù)據(jù)采集安全；b)數(shù)據(jù)傳輸安全；c)數(shù)據(jù)存儲(chǔ)安全；d)數(shù)據(jù)交換安全；e)數(shù)據(jù)銷毀安全。6存儲(chǔ)與應(yīng)用安全6.1存儲(chǔ)安全第三方電子合同服務(wù)平臺(tái)數(shù)據(jù)存儲(chǔ)安全應(yīng)符合但不限于以下要求。6GB/T42971—2023a)制定數(shù)據(jù)存儲(chǔ)安全規(guī)則，包括但不限于：1)數(shù)據(jù)存儲(chǔ)設(shè)備運(yùn)行維護(hù)操作規(guī)則；2)數(shù)據(jù)存儲(chǔ)系統(tǒng)安全管理規(guī)則；3)數(shù)據(jù)復(fù)制、備份與恢復(fù)的操作規(guī)則及定期檢查或更新工作程序；4)數(shù)據(jù)歸檔存儲(chǔ)制度及相應(yīng)的安全審計(jì)與恢復(fù)制度；5)數(shù)據(jù)存儲(chǔ)時(shí)效性管理規(guī)則。b)建立開放可伸縮的數(shù)據(jù)存儲(chǔ)架構(gòu)，以滿足數(shù)據(jù)量持續(xù)增長(zhǎng)、數(shù)據(jù)分類分級(jí)存儲(chǔ)等需求。c)建立具備跨地域容錯(cuò)、容災(zāi)能力的數(shù)據(jù)存儲(chǔ)架構(gòu)。d)數(shù)據(jù)邏輯存儲(chǔ)多租戶隔離，分層分級(jí)保護(hù)，并授權(quán)管理。e)采用中間件/安全加密技術(shù)/安全設(shè)備實(shí)施實(shí)現(xiàn)數(shù)據(jù)資源的保護(hù)。f)數(shù)據(jù)訪問審計(jì)的存儲(chǔ)保護(hù)和管控。g)數(shù)據(jù)存儲(chǔ)完整性、多副本一致性檢測(cè)與恢復(fù)。h)在安全等級(jí)可接受的環(huán)境中再次使用存儲(chǔ)介質(zhì)之前應(yīng)清除存儲(chǔ)介質(zhì)上已有的內(nèi)部存儲(chǔ)、緩存或其他可用的數(shù)據(jù)，以防對(duì)先前數(shù)據(jù)的訪問。i)對(duì)存儲(chǔ)介質(zhì)進(jìn)行標(biāo)記，明確存儲(chǔ)介質(zhì)存儲(chǔ)的數(shù)據(jù)對(duì)象，并對(duì)存儲(chǔ)介質(zhì)訪問和使用行為進(jìn)行記錄6.2隱私保護(hù)安全第三方電子合同服務(wù)平臺(tái)數(shù)據(jù)隱私保護(hù)安全應(yīng)符合但不限于以下要求：a)構(gòu)建數(shù)據(jù)脫敏規(guī)范，數(shù)據(jù)使用正當(dāng)性的內(nèi)部責(zé)任制度，數(shù)據(jù)溯源策略和管理制度以及不同類型、級(jí)別數(shù)據(jù)的加密規(guī)則和保存期限；b)建立分布式處理節(jié)點(diǎn)間可信連接策略和規(guī)范，采用節(jié)點(diǎn)認(rèn)證等機(jī)制確保節(jié)點(diǎn)接入的真實(shí)性；c)建立分布式處理節(jié)點(diǎn)和用戶安全屬性的周期性確認(rèn)機(jī)制，確保預(yù)定義分布式安全策略一致性；d)建立分布式處理過程中數(shù)據(jù)文件鑒別和訪問用戶身份認(rèn)證的策略和規(guī)范，確保分布式處理數(shù)據(jù)文件的可訪問性；e)分析利用所掌握的信息資源，不應(yīng)影響國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定，不應(yīng)損害他人合法權(quán)益；g)因業(yè)務(wù)需求，需擴(kuò)大個(gè)人信息使用范圍的，征得個(gè)人信息主體同意，不應(yīng)違反收集使用規(guī)則使用個(gè)人信息；h)制定可公開的隱私政策。6.3司法舉證第三方電子合同服務(wù)平臺(tái)具有協(xié)助舉證方進(jìn)行舉證的義務(wù)。證據(jù)證明包括但不限于：a)第三方電子合同服務(wù)平臺(tái)提供訂立的電子合同原文、簽訂人在平臺(tái)的實(shí)名核驗(yàn)等證據(jù)，第三方民個(gè)人信息安全進(jìn)行保護(hù)并告知義務(wù)的履行證明文件；b)第三方電子合同服務(wù)平臺(tái)可與存證機(jī)構(gòu)對(duì)接，有司法舉證需求時(shí)，存證機(jī)構(gòu)應(yīng)出具存證證明c)電子認(rèn)證服務(wù)機(jī)構(gòu)出具數(shù)字證書及電子簽名的驗(yàn)證報(bào)告，證明證書及電子簽名的有效性；d)電子簽名人委托他人代為實(shí)施簽名行為時(shí)，電子簽名的制作數(shù)據(jù)應(yīng)由簽名人控制，第三方電子7GB/T42971—2023合同服務(wù)平臺(tái)提供調(diào)用電子簽名制作數(shù)據(jù)的時(shí)間和方式、IP地址、授權(quán)及認(rèn)證方式、授權(quán)及認(rèn)證記錄等證明；e)有司法舉證要求時(shí)使用解密密鑰解密原文；f)司法機(jī)構(gòu)要求配合提供的其他相關(guān)證據(jù)。7安全運(yùn)維日志管理滿足以下要求。a)應(yīng)全面收集第三方電子合同服務(wù)平臺(tái)系統(tǒng)的運(yùn)行日志，并進(jìn)行歸一化預(yù)處理，以便后續(xù)存儲(chǔ)和處理。b)原始日志信息和歸一化處理后的日志信息應(yīng)分別進(jìn)行存儲(chǔ)。原始日志信息應(yīng)防篡改，以便可作為司法證據(jù)；已歸一化的日志應(yīng)進(jìn)行結(jié)構(gòu)化存儲(chǔ)，以便檢索和深度處理。c)對(duì)日志信息應(yīng)進(jìn)行多種分析，包括：1)攻擊線索查找分析：在第三方電子合同服務(wù)平臺(tái)系統(tǒng)受到攻擊后，通過日志分析找到攻擊2)日志交叉深度分析：通過定期的交叉分析，發(fā)現(xiàn)并阻斷潛在攻擊；3)對(duì)攻擊日志進(jìn)行歷史分析，發(fā)現(xiàn)攻擊趨勢(shì)，以實(shí)現(xiàn)早期防御。7.2漏洞管理應(yīng)建立漏洞應(yīng)急機(jī)制，可通過以下兩種方式獲取第三方電子合同服務(wù)平臺(tái)系統(tǒng)及其支撐軟硬件系統(tǒng)存在的脆弱性或漏洞。a)借助漏洞掃描工具對(duì)第三方電子合同服務(wù)平臺(tái)系統(tǒng)及其軟硬件系統(tǒng)存在的漏洞進(jìn)行掃描，以發(fā)現(xiàn)存在的脆弱性。b)通過多種渠道及時(shí)了解第三方電子合同服務(wù)平臺(tái)系統(tǒng)及其支撐軟硬件系統(tǒng)存在的脆弱性。及時(shí)更新第三方電子合同服務(wù)平臺(tái)系統(tǒng)和相應(yīng)的支撐軟硬件設(shè)備，以保持系統(tǒng)處于安全狀態(tài)。7.3備份管理可根據(jù)業(yè)務(wù)數(shù)據(jù)的重要程度設(shè)定相應(yīng)的備份策略。可選擇的備份方式包括完全備份、差異備份或增量備份；可選擇的備份地點(diǎn)包括同城備份或異地備份等。對(duì)已備份的數(shù)據(jù)的恢復(fù)演練頻次不應(yīng)低于每季度一次，以保證備份的可用性和災(zāi)難恢復(fù)系統(tǒng)的可靠性。7.4安全事件管理第三方電子合同服務(wù)平臺(tái)系統(tǒng)安全事件管理責(zé)任和規(guī)程應(yīng)符合以下要求。a)建立管理責(zé)任以確保以下規(guī)程被制定并在組織內(nèi)得到充分的交流：1)規(guī)劃