DB33T 978-2015 電子商務(wù)平臺(tái)安全管理規(guī)范　

DB33Securitymanagementspecificationsforelectronic浙江省質(zhì)量技術(shù)監(jiān)督局發(fā)布I V 1 1 1 3 3 3 4 5 5 5 5 5 6 7 7 7 7 7 8 8 8 8 8 8 9 本標(biāo)準(zhǔn)主要起草人：謝俊軍、顏鷹、沈錫鏞、李寧、孫艷、劉洛丹、方強(qiáng)引言電子商務(wù)平臺(tái)建設(shè)實(shí)際，浙江省商務(wù)廳組織制定了1電子商務(wù)平臺(tái)安全管理規(guī)范本標(biāo)準(zhǔn)適用于全省各地提供互聯(lián)網(wǎng)電子商務(wù)平臺(tái)服務(wù)的安全2主要指為信息系統(tǒng)安全運(yùn)營(yíng)管理制定的行動(dòng)方用注冊(cè)的ID與用戶信息來(lái)判斷的使用電子商務(wù)交易平臺(tái)租用電子商務(wù)平臺(tái)進(jìn)行經(jīng)營(yíng)活動(dòng)的法人、法人委派的行為主體、其它組織機(jī)構(gòu)或自3從公開可用的資源中，如極端分子的網(wǎng)站，4基本要求4.1應(yīng)遵守國(guó)家有關(guān)法律、行政法規(guī)及規(guī)章等相關(guān)規(guī)定。4.2應(yīng)遵守國(guó)家制定的相關(guān)的網(wǎng)絡(luò)技術(shù)規(guī)范和安全規(guī)范。4.4應(yīng)遵循國(guó)家有關(guān)知識(shí)產(chǎn)權(quán)的法律法規(guī)，不應(yīng)侵害他人的專利權(quán)、商標(biāo)權(quán)、著作權(quán)等，并有權(quán)利和4.5應(yīng)禁止通過(guò)網(wǎng)絡(luò)從事法律法規(guī)和國(guó)家其他相關(guān)規(guī)定禁止的違法犯罪行為，如賭博、洗錢、傳銷以及販賣槍支、毒品、禁藥、盜版軟件、淫穢商品和服務(wù)5.1安全運(yùn)營(yíng)管理機(jī)構(gòu)最高管理層中應(yīng)有一人b)應(yīng)協(xié)調(diào)單位內(nèi)部其它機(jī)構(gòu)在平臺(tái)安全工作中的職責(zé)，領(lǐng)導(dǎo)安全工作的實(shí)施；c)應(yīng)監(jiān)督安全措施的執(zhí)行，并對(duì)重要安全事件的處理進(jìn)行決策；d)指導(dǎo)和檢查應(yīng)急處理小組等下設(shè)機(jī)構(gòu)的各項(xiàng)工作；e)建設(shè)和完善平臺(tái)安全的集中控管的組織體系和管理機(jī)制;f)收集、分析、預(yù)警最新的電子商務(wù)平臺(tái)安全事件和應(yīng)對(duì)方案。根據(jù)業(yè)務(wù)的安全風(fēng)險(xiǎn)，在安全事件管理策略和方案中，應(yīng)詳細(xì)說(shuō)明安全運(yùn)營(yíng)管理機(jī)構(gòu)在相應(yīng)45.2人員管理5.2.2應(yīng)登記安全運(yùn)營(yíng)管理機(jī)構(gòu)成員及其備用人員的姓名和聯(lián)系方式，一些必要的細(xì)節(jié)應(yīng)清晰記入相5.2.3應(yīng)統(tǒng)一管理關(guān)鍵崗位的安全操作人員。關(guān)鍵崗位的安全操作人員要求如下：a)允許一人多崗，但安全操作人員不宜由其他關(guān)鍵崗位人員兼任；b)關(guān)鍵崗位人員應(yīng)定期接受安全培訓(xùn)，加強(qiáng)安全意識(shí)和風(fēng)險(xiǎn)防范意識(shí)。5.2.5定期對(duì)各個(gè)崗位的人員進(jìn)行不同側(cè)重的安全認(rèn)知和安全技能的考核，可作為人員是否適合當(dāng)前5.2.6對(duì)咨詢?nèi)藛T、臨時(shí)性的短期職位人員，以及輔助人員和外部服務(wù)人員等第三方人員的管理要求a)簽署包括不同安全責(zé)任的合同書或保密協(xié)議；b)規(guī)定各類人員的業(yè)務(wù)操作權(quán)限，離崗前必須及時(shí)轉(zhuǎn)移或關(guān)閉相關(guān)權(quán)限；c)第三方人員必須進(jìn)行邏輯訪問(wèn)時(shí)，應(yīng)劃定范圍并經(jīng)過(guò)負(fù)責(zé)人批準(zhǔn)。5.2.7安全運(yùn)營(yíng)管理人員的退出與離職規(guī)定如下：?jiǎn)挝粚⒚孛苄畔?fù)制到本單位享有所有權(quán)的其他載體上，并把原載體上的秘密信息消5d)離職人員離職時(shí)，應(yīng)將工作時(shí)使用的電腦、U盤及其5.3教育和培訓(xùn)5.3.1應(yīng)讓電子商務(wù)平臺(tái)相關(guān)員工了解電子商務(wù)平臺(tái)安全的重要性，應(yīng)掌握的平臺(tái)安全基本知識(shí)和技5.3.2應(yīng)制定并實(shí)施安全教育和培訓(xùn)計(jì)劃，培養(yǎng)電子商務(wù)平臺(tái)各類人員安全意識(shí)，并提供對(duì)安全政策a)積極宣傳安全運(yùn)營(yíng)管理的作用，作為總體信息安全意識(shí)和培訓(xùn)計(jì)劃的一部分；根據(jù)GB/Z20986的相關(guān)規(guī)定，在電子商務(wù)平臺(tái)運(yùn)營(yíng)安全上出現(xiàn)的常見安全事件主要是網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件，包括但6.3.2電子商務(wù)平臺(tái)信息系統(tǒng)的重要程a)特別重要系統(tǒng):影響平臺(tái)交易與支付的信息系統(tǒng)；b)重要信息系統(tǒng)：用戶信息記錄與操作相關(guān)系統(tǒng)；6受破壞且持續(xù)造成用戶資金損失或因行動(dòng)遲緩或沒有行動(dòng)造成網(wǎng)絡(luò)欺詐導(dǎo)致大量用戶網(wǎng)上資金損失；特別重要系統(tǒng)不可用或遭受破壞造成大面積長(zhǎng)時(shí)間中斷壞且造成用戶資金損失，因行動(dòng)遲緩或沒有行動(dòng)造成網(wǎng)絡(luò)欺詐導(dǎo)致用戶網(wǎng)上資金損失；重要系統(tǒng)不可用或遭受破壞造成局部中斷平臺(tái)的c)較大系統(tǒng)損失：信息或系統(tǒng)故障，明顯影響系統(tǒng)效率，使重要信息系統(tǒng)或一般信息系統(tǒng)業(yè)務(wù)處理能力受到影響，或系統(tǒng)重要數(shù)據(jù)的保密性、完整性、可用性遭到破壞，但系統(tǒng)是可恢復(fù)被授權(quán)采集和使用個(gè)人信息，明確個(gè)人信息使用c)法律法規(guī)義務(wù)。平臺(tái)持有和處理的信息應(yīng)遵從國(guó)家相關(guān)法律法規(guī)規(guī)定的義務(wù)，可能涉及違禁、d)平臺(tái)商業(yè)規(guī)則。信息如果泄露的話，可能會(huì)引起公眾反參見GB/Z20986，結(jié)合電子商務(wù)安全事件及價(jià)值判斷尺度，電子商務(wù)安全事件分級(jí)見6.4.2、6.4.特別重大事件是指能夠?qū)е绿貏e嚴(yán)重影響或破壞的安全事件，包括但a)會(huì)使特別重要信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失；b)產(chǎn)生重大的社會(huì)影響。重大事件是指能夠?qū)е聡?yán)重影響或破壞的安全事件，包括a)會(huì)使特別重要信息系統(tǒng)遭受嚴(yán)重的系統(tǒng)損失、或使重要信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失；7a)會(huì)使特別重要信息系統(tǒng)遭受較大的系統(tǒng)損失、或使重要信息系統(tǒng)遭受嚴(yán)重的系統(tǒng)損失、一般或使重要信息系統(tǒng)遭受較大的系統(tǒng)損失，一般信息a)一般事件：應(yīng)急響應(yīng)行動(dòng)首先是對(duì)業(yè)務(wù)系統(tǒng)的監(jiān)控加強(qiáng)。應(yīng)在適當(dāng)?shù)腷)較大事件：應(yīng)啟動(dòng)相關(guān)業(yè)務(wù)連續(xù)性計(jì)劃中特定的響應(yīng)。這樣的應(yīng)急響應(yīng)涉及系統(tǒng)的所有方面，生社會(huì)影響情況下，當(dāng)突發(fā)事件被確定屬實(shí)時(shí)，需要同時(shí)通知部門人員(不在安全運(yùn)營(yíng)管理機(jī)況迅速通報(bào)給新聞界和/或其他媒體。任何有關(guān)安全事件的消息在發(fā)布紿新聞界時(shí)，應(yīng)遵照組做出決定，并為了對(duì)事件做出進(jìn)一步評(píng)估以確定需要采取什么——收集有關(guān)風(fēng)險(xiǎn)及安全信息，制訂相對(duì)應(yīng)標(biāo)準(zhǔn)、流——安全運(yùn)營(yíng)管理機(jī)構(gòu)下設(shè)分支團(tuán)隊(duì)，執(zhí)行安全運(yùn)營(yíng)管理方案規(guī)定的內(nèi)容，并承擔(dān)安全系統(tǒng)運(yùn)行8——如果安全事件不在控制下，啟動(dòng)應(yīng)急響應(yīng)——對(duì)安全事件根據(jù)事件等級(jí)的應(yīng)急響應(yīng)流程，組建虛擬小組解——安全運(yùn)營(yíng)管理機(jī)構(gòu)下設(shè)分支團(tuán)隊(duì)，承擔(dān)安全檢查評(píng)估職能；——與其它部門協(xié)同，對(duì)系統(tǒng)安全事件進(jìn)行評(píng)估，以確定安全策略的主叫號(hào)碼、賬號(hào)、互聯(lián)網(wǎng)地址或域名、系統(tǒng)——對(duì)安全風(fēng)險(xiǎn)進(jìn)行分析，以確保安全系統(tǒng)覆蓋所有的風(fēng)險(xiǎn)點(diǎn)?！鶕?jù)所得的經(jīng)驗(yàn)教訓(xùn)，審核和確定信息安全的改——審核相關(guān)過(guò)程和規(guī)程在響應(yīng)、評(píng)估和恢復(fù)每個(gè)安全事件時(shí)的效確定電子商務(wù)安全運(yùn)營(yíng)管理方案在總體上需要改進(jìn)的9——發(fā)現(xiàn)和報(bào)告安全事件，可以是組織內(nèi)任何員工,包括正式員工——評(píng)估、響應(yīng)以及安全事件解決后必要的經(jīng)驗(yàn)教訓(xùn)以及總結(jié)、改進(jìn)、修訂安全運(yùn)營(yíng)管理方案的——應(yīng)該考慮任何平臺(tái)用戶，以及第三方組織、政府和合作安全運(yùn)營(yíng)人員需經(jīng)過(guò)安全培訓(xùn)方能上崗。審核人員分工重要信息系統(tǒng)與特別重要信息系統(tǒng)，需保留供審計(jì)日志，b)保留用戶登錄（登錄時(shí)間、登錄IP）、信息發(fā)布等日志信息；c)保留交易列表、交互信息及交互對(duì)象用戶列表；d)用戶注冊(cè)信息、登錄長(zhǎng)期保存，其他所有日志信息（包括已刪除的信息）應(yīng)保留一年以上。對(duì)平臺(tái)上所發(fā)布信息落實(shí)7×24小時(shí)信息巡查制度，不得制作、復(fù)制、發(fā)布、傳播法律法規(guī)禁止的8.4.4信息加密、傳輸、存儲(chǔ)安全運(yùn)營(yíng)在電子商務(wù)安全運(yùn)營(yíng)管理方案執(zhí)行過(guò)程中，必須形成正式文件并經(jīng)過(guò)檢查的規(guī)程可供使用。每個(gè)規(guī)程文件應(yīng)指明其使用和管理的負(fù)責(zé)人員。操作規(guī)程的內(nèi)容取決于許多準(zhǔn)則，可能與某一特定事件類型或?qū)嶋H上與某一類型安全產(chǎn)品相每個(gè)操作規(guī)程都應(yīng)清楚注明8.5.1使用電子安全事件數(shù)據(jù)庫(kù)和技術(shù)手段快速建立和更新數(shù)據(jù)庫(kù)，分析其中的信息，以便于對(duì)事件8.5.3對(duì)已評(píng)估的風(fēng)險(xiǎn)采取適當(dāng)?shù)念A(yù)防措施，以確保系統(tǒng)、服務(wù)和網(wǎng)絡(luò)遭受攻擊時(shí)仍然可用。8.5.4根據(jù)已得到評(píng)估的風(fēng)險(xiǎn)采取措施，利用加密來(lái)確保數(shù)據(jù)的完整性和防泄8.5.5便于對(duì)已收集信息的歸檔和安全保8.5.6所有技術(shù)手段都應(yīng)認(rèn)真挑選、正確實(shí)施和定期測(cè)短期和長(zhǎng)期影響。此外，對(duì)完全不可預(yù)見的安全事件作出某些響9.2策略制訂原則——策略應(yīng)要求建立適當(dāng)?shù)膶徟鷻C(jī)制，特別是會(huì)造成較大影響的處罰9.3安全事件管理策略制訂內(nèi)容9.3.1按照制訂的安全運(yùn)營(yíng)管理方案，監(jiān)控平臺(tái)上重點(diǎn)安全事件，如平臺(tái)上賬戶安全、商品與信息發(fā)9.3.2安全事件管理策略是根據(jù)電子商務(wù)平臺(tái)實(shí)際出現(xiàn)的問(wèn)題有針對(duì)性的制訂；并隨時(shí)跟蹤新的安全9.4.1在網(wǎng)絡(luò)空間內(nèi)收集情報(bào)包括開源情報(bào)、傳統(tǒng)9.4.2情報(bào)系統(tǒng)的建設(shè)包含人工智能及識(shí)別技術(shù)，通過(guò)一個(gè)基于知識(shí)庫(kù)的主動(dòng)式專題搜索引擎完成專9.5應(yīng)急響應(yīng)如果確定安全事件不在策略規(guī)定范圍內(nèi)，應(yīng)啟動(dòng)應(yīng)急響應(yīng)機(jī)制全運(yùn)營(yíng)管理機(jī)構(gòu)根據(jù)安全運(yùn)行管理方案，啟動(dòng)下列檢查系統(tǒng)的開發(fā)與上線，觸發(fā)安全事件，發(fā)現(xiàn)的安全人員要負(fù)責(zé)啟動(dòng)下列a)如果確定該系統(tǒng)暫時(shí)不需要優(yōu)化安全措施，或者優(yōu)化安全措施理由不充分，可暫時(shí)只監(jiān)控系統(tǒng)b)如果確定系統(tǒng)存在安全隱患，標(biāo)準(zhǔn)來(lái)源于安全事件分級(jí)劃分以及以前類似系統(tǒng)已經(jīng)出現(xiàn)的安全a)進(jìn)行再度評(píng)估以及對(duì)是否調(diào)整安全策略是安全運(yùn)營(yíng)管理機(jī)構(gòu)次誤報(bào)。如果安全事件被確定為誤報(bào)，應(yīng)完成填寫安全事件報(bào)告——評(píng)估完成，根據(jù)事件等級(jí)做出響應(yīng)，并調(diào)整相應(yīng)安全策10.6.1所有參與安全評(píng)估、安全事件報(bào)告和管理的人員應(yīng)完整地記錄下事件數(shù)據(jù)庫(kù)的過(guò)程中所做的任何變更，應(yīng)遵照已得到正式批準(zhǔn)的變更控制方案進(jìn)行。根據(jù)檢查評(píng)審結(jié)果，確定有哪些經(jīng)驗(yàn)教訓(xùn)需要汲取，并采取措施，優(yōu)——對(duì)安全事件做出分析總結(jié)，并呈遞到組織管理層的重，應(yīng)在事件解決后盡快安排所有相關(guān)方召開會(huì)議。這樣的會(huì)議應(yīng)該考慮以下——電子商務(wù)安全運(yùn)營(yíng)管理方案規(guī)定的規(guī)程是否發(fā)揮了預(yù)期作——在事件發(fā)現(xiàn)、報(bào)告和響應(yīng)的整個(gè)過(guò)程中向所有相關(guān)方的事件通報(bào)是否有A.1用戶實(shí)名制——要求注冊(cè)用戶提供真實(shí)身份信息，并進(jìn)行A.2個(gè)人用戶注冊(cè)A.3平臺(tái)商戶注冊(cè)要求——以單位名義開店的商戶，需提供國(guó)家規(guī)定的相關(guān)證照及聯(lián)系方——登錄過(guò)程需要使用https安全通道；——不在常用地區(qū)登錄等類似異常