1、ICS 35.240.60 L 67 DB33 浙江省地方标准 DB33/T 9782015 电子商务 平台安全 管理规范 Security management specifications for electronic commerce platform 2015 - 07 - 16 发布 2015 - 08 - 16 实施 浙江省质量技术监督局 发布DB33/T 9782015 I 目 次 前言 IV 引言 . V 1 范围 1 2 规范性 引用 文件 1 3 术语和 定义 1 4 基本要 求 3 5 机构和 人员 管理 3 5.1 安全 运营 管理 机构 3 5.2 人员 管理 4 5
2、.3 教育 和培 训 5 6 应急预 案和 应急 响应 5 6.1 概述 5 6.2 电子 商务 平台 安全 事件 5 6.3 安全 事件 评估 价值 判断与衡 量尺 度 5 6.4 事件 分级 6 6.5 应急 响应 预案 7 7 安全运 营管 理工 作流 程 7 7.1 工作 流程 四个 阶段 7 7.2 规划 7 7.3 运行 7 7.4 检查 8 7.5 改进 8 8 规划 8 8.1 总则 8 8.2 安全 运营 管理 机构 8 8.3 安全 运营 管理 方案 8 8.4 安全 管理 审计 要求 9 8.5 安全 技术 支持 . 10 8.6 安全 培训 . 10 9 实施 . 10
3、 9.1 总则 . 10 9.2 策略 制订 原则 . 10 9.3 安全 事件 管理 策略 制 订内容 . 11 9.4 安全 情报 收集 . 11DB33/T 9782015 II 9.5 应急 响应 . 11 10 检查 11 10.1 概述 11 10.2 关键 过程 11 10.3 发现 和报 告 11 10.4 首次 检查 评估 和安 全运营 策略 优化 决策 11 10.5 再度 评估 和安 全策 略优化 调整 12 10.6 安全 日志 和变 更控 制 12 11 改进 12 11.1 概述 12 11.2 进一 步的 数据 分析 13 11.3 事件 分析 13 11.4 确
4、定 改进 计划 13 11.5 确定方案 改进 13 11.6 安全 风险 分析 和管 理改进 13 附录A (资 料性 附录 ) 用 户账户 安全 管理 规定 . 14 附录B (资 料性 附录 ) 商品与信 息发 布安 全管 理规 定 . 16DB33/T 9782015 III 前 言 本标准 按照GB/T 1.1-2009 给出的 规则 起草 。 本标准 由浙 江省 商务 厅提 出并归 口。 本标准 主要 起草 单位: 淘宝(中国)软件有 限公 司 、 阿里巴 巴 (中国 ) 有限公 司 、 浙江省 标准 化研究 院、中国计 量学 院 。 本标准 主要 起草 人: 谢俊 军、颜 鹰、
5、沈锡 镛 、 李宁 、孙艳 、刘洛丹 、方 强、 杨 军。 DB33/T 9782015 IV 引 言 电子商 务平 台是 电子 商务 发展的 载体 , 其 信息 的安 全性是 电子 商务 健康 发展 的基础 。 电子商 务发展 越来越 快, 今后 一段 时期 , 其发 展趋 势, 仍将 以超 越传统 产业 的速 度发 展, 而作为 电子 商务 的重要支撑 平台, 其安 全保 障水 平已 日益成 为妨 碍电 子商 务发 展的最 大障 碍。 鉴于目 前国 家还 没有 这方 面的标 准, 根据 商务 部 “十二 五” 电 子商 务发 展 指导意 见 的精 神, 参 考SB/T 10519-2009
6、 网 络交易服 务规 范 、GB/T 18769-2003大宗 商品 电子 交易规 范 ,结 合 浙江省 电子商 务平 台建 设实 际, 浙江省 商务 厅组 织制 定了 本标准 。 DB33/T 9782015 1 电 子商务 平台安全 管理规 范 1 范围 本标准 规定 了电 子商 务 平台在安 全运 营管 理中 应满 足 的基本要 求、 人员 和机 构管理 、 应急预 案和应 急响应 、安 全运 营管 理的 工作流 程方 面的 要求 。 本标准 适用 于 全省各 地 提供互联 网电 子商 务 平台 服务的 安全运 营管 理 。 2 规范性 引用 文件 下列文 件对 于本 文件 的应 用是必
7、 不可 少的 。 凡是注 日期的 引用 文件 , 仅所注 日期的 版本 适用 于本文 件。凡 是不 注日 期的 引用 文件, 其最 新版 本( 包括 所有的 修改 单) 适用 于本 文件。 GB/T 18811 电子商 务基 本术语 GB/Z 20986 信息安 全事 件分类分 级指 南 3 术语和 定义 下列术 语和 定义 适用 于本 文件。 3.1 电子商 务 以电子 形式 进行 的商 务活 动。 它在 供应 商 、 消 费者 、 政府机 构和 其他 业务 伙伴 之间通 过任 一电 子方 式实现 标准化的 非结 构化 或结构 化的 业务 信息 的共 享,以 管理 和执 行商 业、 行政和
8、消费 活动 中的交易。 3.2 电子商 务 平台 即是一 个为 企业 或个 人提 供网上 交易 洽谈 的平 台。 是 建立在Internet 进行 网上 商务活 动的 虚拟 网络 空间和 保障 商务 运营 的管 理环境 ; 是 协调、 整合 信 息流、 物质 流、 资 金流 的 重要场 所。 企业、 商家 可 利 用电子 商务 平台 提供 的网 络基础 设施 、 支付平 台、 安全平台 、 管理平 台等 共享 资源开展 自己 的商 业活 动。 3.3 信息安 全 数据处 理系 统而 采取 的技 术和管 理的 安全 保护 , 保 护计算 机硬 件、 软件、 数据不因偶 然的 或恶 意的 原因而
9、遭到 破坏 、更 改、 泄露。 3.4 安全策 略 DB33/T 9782015 2 主要指 为信 息系 统安 全运 营管理 制定 的行 动方 针、 路线、 工作 方式 、指 导原 则或程 序。 3.5 用 户 用注册 的ID 与用 户信 息来 判断的 使用 电子 商务 交易 平台的 机构 或自 然人 。 3.6 商户 租用电 子商 务平 台进 行经 营活动 的法 人、 法人 委派 的行为 主体 、其 它组 织机 构或自 然人 。 3.7 网络交 易 发生在 企业 (或 其他 组织 机构) 之间、 企业 ( 或其 他组织 机构 ) 与 消费 者之 间、 消 费者 之间 通过 网 络手段 缔结
10、的商 品或 服务 交易。 3.8 二次验 证 在用户 注册 或 登录后 进行 一些 重要或 敏感 业 务 操作 时, 通过 除密 码之 外的 如验证码 、 手机 短信 、 安 全问题 、数 字证 书等 对用 户进行 第二次校 验 的方式 。 3.9 数字证 书 由证书 认证 机构 签名 的包 含公开 密钥 拥有 者信 息 、 公开密 钥 、 签 发者 信息 、 有 效期以 及一 些扩 展信 息的数 字文 件。 3.10 加密 通过密 码系 统把 明文 变换 为不可 懂的 形式 。 3.11 电子商 务安 全事 件 电子商 务平 台因 故意 、 过失或非 人为 原因 引起 的 信息 和服务 遭到
11、破 坏, 所造成的事 件, 也包括 电子 商务业 务应 用中 出现 的欺 诈、盗 号、 违禁 等恶 意行 为。 3.12 电子商 务安 全运 营管 理部 门 在组织 机构 中根 据业 务的 规模、 结构 建立 的独 立 负 责电子 商务 安全 运营 管理 的小组 或部 门, 以下简 称安全 运营 管理 机构 。 DB33/T 9782015 3 3.13 开源情 报 从公开 可用 的资 源中 ,如 极端分 子的 网站 ,收 集信 息,对 这些 信息 加以 分析 生成情 报。 3.14 计算机 网络 嗅探 秘密潜 入一 套网 络或 信息 系统, 并获 取私 人信 息。 4 基本要 求 4.1 应
12、遵守 国家 有关 法律 、行 政法规 及规 章等 相关 规定 。 4.2 应遵守 国家 制定 的相 关的 网络技 术规 范和 安全 规范 。 4.3 应遵循 诚信 自律 的原 则。 4.4 应遵循 国家 有关 知识 产权 的法律 法规 ,不 应侵 害他 人的专 利权 、商 标权 、著 作权等 ,并 有权 利和 义务保 护有 关知 识产 权。 4.5 应禁止 通过 网络 从事 法律 法规和 国家 其他 相关 规定 禁止的 违法 犯罪 行为 ,如 赌博、 洗钱 、传 销以 及贩卖 枪支 、毒 品、 禁药 、盗版 软件 、淫 秽商 品和 服务等 。 4.6 网络交 易不 应提 供和 买卖 未经审 批
13、的 需要 相应 资质 的商品 或服 务, 应遵 循国 家 规定开 展经 营 活 动 。 5 机构和 人员 管理 5.1 安全运 营管 理机 构 5.1.1 基本要求 5.1.1.1 在组织 机构 中应 根据 实际 的规模 、 结构建 立一 个独 立的负责 电子 商务 平台 安全 运营管 理机构。 5.1.1.2 最高管 理层 中应 有一 人分 管安全 运营 管理 机构 的工 作。 5.1.2 安全运 营管 理机 构的 职责 安全运 营管 理机 构的 职责 包括但 不限 于: a) 应根据 国家 和行 业有 关电 子商务 平台 安全 的政 策、 法律和 法规 , 批 准平 台业 务的安 全策 略
14、 和 规 则规划 ; b) 应协调 单位 内部 其它 机构 在平台 安全 工作 中的 职责 ,领导 安全 工作 的实 施; c) 应监督 安全 措施 的执 行, 并对重 要安 全事 件的 处理 进行决 策; d) 指导和 检查 应急 处理 小组 等下设 机构 的各 项工 作; e) 建设和 完善 平台 安全 的集 中控管 的组 织体 系和 管理 机制; f) 收集、 分析 、预 警最 新的 电子商 务平 台安 全事 件和 应对方 案。 5.1.3 与组织 内其他部 门的 关系 5.1.3.1 安全运 营管 理机 构的 管理 者及成 员应 具有 某种 等级 授权。 5.1.3.2 根据业 务的
15、安全 风险 ,在 安全事 件管 理策 略和 方案 中,应 详细 说明 安全 运营 管理机 构在 相应 风险点 部署 的安 全措 施。 DB33/T 9782015 4 5.1.4 与外部 机构 的关 系 安全运 营管 理机 构应 与公 司外部 机构 建立 沟通 渠道 , 完善 沟通 机制 , 公司外 部机构 可能包 括 但不限 于以下 : a) 签订合 同的 外部 支持 人员 ; b) 外部组 织的 相关 安全 运营 管理机 构或 小组 ; c) 执法机 关; d) 其他应 急处 理机 构; e) 相关的 政府 部门 ; f) 公共关 系官 员和/或媒体 记者; g) 安全业 务伙 伴; h)
16、 用户。 5.2 人员管 理 5.2.1 应配备 专职 安全 运营 管理 人员。 5.2.2 应登记 安全 运营 管理 机构 成员及 其备 用人 员的 姓名 和联系 方式 ,一 些必 要的 细节应 清晰 记入 相 关文件 中, 包括 规程 文件 和报告 单。 5.2.3 应统一 管理 关键 岗位 的安 全操作 人员 。关 键岗 位的 安全操 作人 员要 求如下 : a) 允许一 人多 岗, 但安 全操 作人员 不宜 由其 他关 键岗 位人员 兼任 ; b) 关键岗 位人 员应 定期 接受 安全培 训, 加强 安全 意识 和风险 防范 意识 。 5.2.4 人员录 用的 基本 要求 如下 : a
17、) 对应聘 者进 行审 查 , 确 认 其具有 基本 的专 业技 术水 平, 接受 过安 全意 识教 育 和培训 , 能够 掌握 安全运 营管 理基 本知 识; b) 除劳动 合同 外, 应签 订安 全保密 协议 。 5.2.5 定期对 各个 岗位 的人 员进 行不同 侧重 的安 全认 知和 安全技 能的 考核 ,可 作为 人员是 否适 合当 前 岗位的 参考 。 5.2.6 对咨询 人员 、临 时性 的短 期职位 人员 ,以 及辅 助人 员和外 部服 务人 员等 第三 方人员 的管 理要 求 如下: a) 签署包 括不 同安 全责 任的 合同书 或保 密协 议; b) 规定各 类人 员的 业
18、务 操作 权限, 离岗 前必 须及 时转 移 或关 闭相 关权 限; c) 第三方 人员 必须 进行 逻辑 访问时 ,应 划定 范围 并经 过负责 人批 准。 5.2.7 安全运营管 理人 员的 退出 与离职 规定 如下 : a) 人员离 职之 后仍 对其 在任 职期间 接触 、 知 悉的 属于 本 单位或 者虽 属于 第三 方但 本单位 承诺 或 负 有保密 义务 的秘 密信 息, 承担如 同任 职期 间一 样的 保密义 务和 不擅 自使 用的 义务, 直到 该秘密 信息成 为公 开信 息, 而无 论离职 人员 因何 种原 因离 职; b) 离职人 员因 职务 上的 需要 持有或 保管 的一
19、 切记 录着 本单位 秘密 信息 的文 件、 资 料、 图 表、 笔记 、 报告、 信件、 传真、 磁带 、 磁盘、 仪器 以及 其他 任 何形式 的载 体, 均归 本单 位所有 , 而 无论 这 些秘密 信息 有无 商业 上的 价值; c) 离职人 员应 当于 离职 时, 或者于 本单 位提 出请 求时 , 返还全 都属 于本 单位 的财物 , 包括记 载着 本单位 秘密 信息 的一 切载 体。 若 记录 着秘 密信 息载 体是由 离职 人员 自备 的, 则视为 离职 人 员 已 同意将 这些 载体 物的 所有 权转让 给本 单位 , 本单位 应当在 离职 人员 返还 这些 载体时 , 给予
20、离职 人员相 当于 载体 本身 价值 的经验 补偿 ; 但秘密 信息 可以从 载体 上消 除或 复制 出来时 , 可以由本 单位将 秘密 信息 复制 到本 单位享 有所 有权 的其 他载 体上, 并把 原载 体上 的秘 密信息 消除 ; DB33/T 9782015 5 d) 离职人 员离 职时 , 应 将工 作时使 用的 电脑 、U 盘及 其他一切 存储 设备 中关 于工 作相关 或与 本单 位有利 益关 系的 信息 、 文件等内 容交 接给 本单 位相 关人员 , 不得在 离职 后以 任何形 式带 走相关 信息。 5.3 教育和 培训 5.3.1 应让电 子商 务平 台相 关员 工了解 电
21、子 商务 平台 安全 的重要 性, 应掌 握的 平台 安全基 本知 识和 技 能等。 5.3.2 应制定 并实 施安 全教 育和 培训计 划, 培养 电子 商务 平台各 类人 员安 全意 识, 并提供 对安 全政 策 和操作 规程 的认 知教 育和 训练等 。 5.3.3 安全意 识培 训, 包括 但不 限于: a) 积极宣 传安 全运 营管 理的 作用, 作为 总体 信息 安全 意识和 培训 计划 的一 部分 ; b) 安全意 识计 划及 相关 材料 应该对 所有 人员 可用 , 包括新员工 , 以及相 关第 三方 用户和合 作伙 伴; c) 根据安 全事 件类 型、 频率 及其与安全 运营
22、 管理 方案 交互的 重要 程度 的不 同, 直接参 与事 件管理 的各组 成员 需要 不同 类型 不同级 别的 培训 ; d) 在有些 情况 下, 可将 有关 安全事 件管 理的 安全 意识 教育细 节包 括在 其他 培训 计划, 如面 向 员 工 的培训 计划 或一 般性 的总 体安全 意识 计划 。 6 应急预 案和 应急 响应 6.1 概述 当发生 安全 事件 时, 需要根据安 全事 件的 严重 程度 , 按照相 应的 处理 规程 及 时响应 , 并随 时跟 踪新 的安全 事件 的发 生。 6.2 电子商务平 台 安全事 件 根据GB/Z 20986的相关 规定 , 在电子商务 平台运
23、营安全上 出现的 常 见安全事件 主要是网络攻 击事 件、信息破 坏事 件 、 信息 内容安 全事 件, 包括 但不限 于: 钓鱼木 马; 账户被 盗; 欺诈; 垃圾账 户注 册与 垃圾 信息 传播; 违反知 识产 权商 品发布 ; 用户隐 私信 息的 窃取 和篡 改; 恶意信 息传 播。 6.3 安全事 件评 估价 值判 断与 衡量尺 度 6.3.1 根据 GB/Z 20986 相关 的规定 ,信 息安 全事 件的 分级 主要考 虑三 个要 素: 信息 系统的 重要 程度 、 系统损 失和 社会 影响 。 6.3.2 电子商 务平台信 息系 统的 重要程度划 分标 准 : a) 特别重要 系
24、统: 影响 平台 交 易与支 付的 信息 系统 ; b) 重要信 息系统: 用户 信息 记录与操作 相关系统 ; c) 一般信 息系 统: 其它 辅助 管理系 统。 6.3.3 系统损失划 分 要求如 下 : DB33/T 9782015 6 a) 特别严重系 统损 失: 信息或 系统 涉及 资金 损失 , 信息未授 权泄 露和 修改 、 抵赖以及 不可 用或 遭 受破坏且 持续 造成用 户资金 损失或 因行动 迟缓 或没有 行动造 成网络 欺诈 导致大 量用户 网上资 金损失 ;特别 重要系 统不 可用或 遭受 破坏 造成 大 面积长时 间 中断平 台的 服务 运行 ; b) 严重系 统损
25、失: 信息或 系统 涉及 资金 损失 , 信息 未授权泄 露和 修改 、 抵赖 以及不可 用或 遭受 破 坏且造成 用户 资金损 失,因 行动迟 缓或没 有行 动造成 网络欺 诈导致 用户 网上资 金损失 ;重要 系统不 可用 或遭 受破 坏造 成局部 中断 平台 的服 务运 行; c) 较 大系统损失 :信息 或 系统 故障,明显 影响系统 效率 ,使重要信 息系统或 一般 信息系统业 务 处 理 能力受到影响,或系统重要数据的保密性、完整性、可用性遭到破坏,但系统是可恢 复 的; d) 较小系统损 失: 信息 或系 统故障 , 影 响系 统效 率, 使一般信息 系统 受到 影响 , 但系统
26、是 可恢复 的。 6.3.4 社会影 响划分 要求如 下 : a) 主要根 据 个人信 息保 护、 法律法 规义 务、 平台商 业规则等 三 方面 影响 到的用 户群体 数, 划分 为 重大社 会影 响、 较大 社会 影响、 一般 社会 影响 , 用 户群体 的数 值范 围可 根据 平台规模 制定, 一 般如影 响到 平台 10% 的用 户, 则为 重大 社会 影响 ; 影响到 平台 5% 的用 户则 为较大社 会影 响; 影 响到平 台 1%以内用 户为 一般社会 影响 ; b) 个人信 息保 护。 根据 我国 个 人信息 保护 相关 法律 法规 以及国 家标 准的 规定 , 平台应按相 关
27、要 求, 被授权 采集 和 使 用个 人信 息,明 确个 人信 息使 用范 围,并 对信 息施 以保 护, 以防泄 露。 c) 法律法 规义 务。 平台 持有 和处理 的信 息应 遵从 国家 相关法 律法 规规 定的 义务 ,可能 涉及 违 禁 、 违反知 识产 权等 信息 的发 布, 无 论有 意还 是无意, 都有可能 导致 对相 关组 织或 个人采 取法 律诉 讼或行 政处 罚的 行动 ; d) 平台商 业规 则。 信息 如果 泄露的 话, 可能 会引 起公 众反应 ,造 成该 规则 无法 实施或 恶劣 影 响 ; 此外, 对承 诺的 否认 也可 能会对 组织 带来 负面 后果 。 6.4
28、 事件分 级 6.4.1 概述 参见GB/Z 20986,结 合电 子商务 安全 事件及 价值 判断 尺度 ,电 子商务 安全 事 件分级 见6.4.2、6.4. 3、6.4.4和6.4.5。 6.4.2 特别重 大事 件 特别重 大事 件是 指能 够导 致特别 严重 影响 或破 坏的 安全事 件, 包括 但不 限于 : a) 会使特 别重 要信 息系 统遭 受特别 严重 的系 统损 失; b) 产生重 大的 社会 影响 。 6.4.3 重大 事件 重大事 件是 指能 够导 致严 重影响 或破 坏的 安全 事件 ,包括 但不 限于 : a) 会使特 别重 要信 息系 统遭 受严重 的系 统损
29、失、 或使 重要信 息系 统遭 受特 别严 重的系 统损 失; b) 产生较 大的 社会 影响 。 6.4.4 较大事 件 较大事 件是 指能 够导 致较 严重影 响或 破坏 的安 全事 件,包 括以 下情 况: DB33/T 9782015 7 a) 会使特别重要 信息系统 遭受 较大的系统 损失、或 使重 要信息系统 遭受严重 的系 统损失、一 般 信 息信息 系统 遭受 特别 严重的系 统损 失; b) 产生一 般社 会影 响。 6.4.5 一般事 件 一般事 件是 指不 满足 以上 条件的 信息 安全 事件 ,包 括会使 特别 重要 信息 系统 遭受较 小的 系统 损 失 、 或使重
30、要信 息系 统遭 受较 大的系 统损 失, 一般 信 息 系统遭 受严 重或 严重 以下 级别的 系统 损失 。 6.5 应急响 应预 案 根据以下 事件 等级 ,应启 动应急 响应 机制 : a) 一般事 件: 应急 响应 行动 首先是 对业 务系 统的 监控 加强。 应在 适当 的地 方增 加监视 防护 措 施 , 并进行 专项 数据 分析, 以帮助发 现具 有安 全事 件症 状的异 常和 可疑 事态 。 这样的监 视还 可更深 刻地揭 露安 全事 件, 同时 确定还 有哪 些系 统受 到危 及。 b) 较大事件: 应启 动相 关业 务连续 性计 划中 特定 的响 应。这 样的 应急 响应
31、 涉及 系统的 所有 方 面 , 不仅包 括那 些与 IT 直接 相 关的方 面, 还应 包括 关键 业务功 能的 维护 和以 后的 恢复。 另外 在 产 生社会 影响情 况下, 当突 发事件 被确定 属实 时,需 要同时 通知部 门人 员(不在 安全运 营管 理机 构的正 常联 系范 围内)和外部人员(包括新 闻界) 。 这种情况可 能会 发生 在事 件处 理的各 个阶 段。 c) 重大事件: 在启动 相关 业 务连续 性计 划的 同时 , 需要准备 一些 材料 , 并 根据安全事 件的 具体 情 况迅速 通报给 新闻界 和/或 其他媒 体。任 何有 关安全 事件的 消息在 发布 绐新闻 界
32、时, 应遵 照 组 织相关 公关 发布 策略 。 需 要发布 的消 息应 由相 关方 审查 , 其 中包 括组 织高 级 管理层 、 公共 关系 协调员 和信 息安 全人 员。 d) 特别重大事 件: 除 以上 措施外 , 必须将 事情 上报 给高级管 理层 , 以对 处理 安全事件 的建 议行 动 做出决 定, 并为 了对 事件 做出进 一步 评估 以确 定需 要采取 什么 行动 。 7 安全运 营管 理工 作流程 7.1 工作流 程四 个阶 段 电子商 务平 台安 全运 营管 理建设 流程 可被 划分 为四 个阶段 :规 划; 运行 ;检 查;改 进。 7.2 规划 根据风 险评 估结 果
33、、 法律 法规要 求、 组织 业务 运作 自身需 要来 规划 安全 运营 管理方案 : 安全运 营管 理机 构下 设分 支团队 ,承 担安 全规 划与 建设职 能; 收集有 关风 险及 安全 信息 ,制订 相对 应标 准、 流程 ; 使用组 织内 认可 的评 估体 系,获 得其 它部 门与 管理 层承诺 ; 取得安 全技 术方 合作 ,规 划相关 安全 系统 ,并 开发 建设; 把安全 相关 标准 、规 定以 及安全 产品 使用 等安 全知 识对相 关人 员进 行培 训; 建立安 全宣 传平 台和 渠道 ,对用 户进 行安 全宣 传, 提升用 户安 全意 识。 7.3 运行 运行阶 段应 满足
34、 如下 要求 : 安全运营管理机构下设分 支团队,执行安全运营管 理方案规定的内容,并承 担安全系统运行 与策略 配置 的职 能; DB33/T 9782015 8 确定安 全事 件是 否处 于可 控制状 态; 重视情 报的 收集 ,为 策略 制订提 供足 够依 据; 如果安 全事 件不 在控 制下 ,启动 应急 响应 机制 ; 对安全 事件 根据 事件 等级 的 应急 响应 流程 ,组 建 虚拟小组 解决 问题 。 7.4 检查 检查阶 段应 满足 如下 要求 : 安全运 营管 理机 构下 设分 支团队 ,承 担安 全检 查评 估职能 ; 与其它 部门 协同 ,对 系统 安全事件 进 行评
35、估, 以确 定安全 策略 的有效性 ; 按要求 上报 便于 进一 步评 估和/ 或决 策; 确保所 有活 动被 恰当 记录 , 以便 于日 后分 析; 记 录 内容包 含且 不限 于: 用户 登录和 退出 时间 、 主叫号 码、 账号 、互 联网 地址或 域名 、系 统维 护日 志等; 对安全 风险 进行 分析 ,以 确保安 全系 统覆 盖所 有的 风险点 。 7.5 改进 改进阶 段应 满足 如下 要求 : 总结安 全事 件的 经验 教训 并形成 文件 ; 根据所 得的 经验 教训 ,审 核和确 定信 息安 全的 改进 ; 审核相关过程和规程在响 应、评估和恢复每个安全 事件时的效率,根据所
36、总 结的经验教训, 确定电 子商 务安 全运 营管 理方案 在总 体上 需要 改进 的地方 ; 监控安 全数 据的 异常 情况 ,并审 核其 原因 ,形 成报 表,传 递到 相关 人员 ,形 成改进 建议 ; 循环改 进整 体的 安全 ,实 施新的 和 或经 过改 进的 防护措 施。 8 规划 8.1 总则 根据风 险评 估结 果、 法律法规要 求、 组织业 务运 作自身需 要来 规划 电子 商务 安全运 营管 理方 案 , 此 阶段应着重 于: a) 建立安 全运 营管 理机 构; b) 建立电子商 务安 全运 营管 理方案 ; c) 建立安全 审计 规范 ; d) 安全技 术支 持: 规划
37、 和开 发安全 信息 系统 ; e) 安全培 训。 8.2 安全运 营管 理机 构 安全运营管 理机 构的 建立 要求与 职能 ,按 5.1 给出 的要求 。 8.3 安全运 营管 理方案 8.3.1 方案内容 方案包含 且 不限 于以 下 内容 : a) 安全评 估依据 ; b) 安全事 件分类 ; DB33/T 9782015 9 c) 信息系 统操 作访 问权 限的 管理规 范。 以上相关内 容 及 其它 规定 应形成 正式 文件 ,并 获得 相关部 门及 管理 层的 承诺 。 8.3.2 方案适 用人 群与 覆盖 范围 方案适用于 组织 全体 员工 且不限 于全 体员 工的 其它 相关
38、人 员, 方案 应覆 盖平 台所有可 能有 安全 风险 的系统 以及 外部 引发 平台 安全风 险的 相关 因素 。包 括但不 限于 : 发现和 报告 安全 事件 ,可 以是组 织内 任何 员工,包括正式员工和 外包 人员 ; 评估、响应以及安全事件 解决后必要的经验教训以 及总结、改进、修订安全 运营管理方案的 工作中 包括 的成员、 管理 层、公 关部 人员 和法 律代 表 等; 应该考 虑任 何平台 用 户, 以及第 三方 组织 、政 府和 合作伙 伴。 8.3.3 安全评 估依 据 采用对 组织 、信 息造 成的 负面后 果来 评估 安全 事件 ,包括 但不 限于 : 未授权 泄露 信
39、息 ; 未授权 修改 信息 ; 抵赖的 信息 ; 信息和/或服务 不可 用; 信息和/或服 务遭受 破坏 ; 信息被 窃取 ; 通过上 列分 类, 定义 事态 事件 严重 性衡 量尺 度的 细节, 为安全 事件分 级 , 并规定 相应 操作规程, 符合6.5给出的 要求 。 8.3.4 权限管 理要 求 应建立 对访 问 用户 信 息与 信息系 统操 作的 权限 管理 制度, 统一 全平 台的 权限 管理; 不得非 法获 得权 限, 不得 越权使 用、 滥用 、妨 碍、 窃取组织 及其他 用户 的信 息 ; 在安全 事件 管理 策略 和方 案中,需临 时授 权时 , 必 须详细 说明 并审 批
40、。 8.4 安全管理 审计要 求 8.4.1 安全运 营管 理人 员审 计 安全 运营 人员 需 经过 安全培 训方 能上 岗。 审核 人 员分 工与 权限 授权 是否 一 致。 8.4.2 信息保 存规 范 重要信息系 统与 特 别重要 信息系 统, 需保 留 供 审计 日志, 包含 且不 限于 : a) 保留用 户注 册信 息以 及修 改历史 记录 ; b) 保留用 户登 录( 登录 时间 、登 录IP )、 信息 发布 等日志信 息 ; c) 保留交 易列 表、 交互 信息 及交互 对象 用户 列表 ; d) 用户注 册信 息、 登录 长期 保存, 其他 所有 日志 信息 (包括 已删
41、除的 信息 )应 保留一 年以 上。 8.4.3 信息发布 管理 对 平 台上 所发布信 息落实724小时信息 巡查 制度 ,不得 制作、 复制 、发 布、传播 法律法 规禁 止的 任何内 容。 8.4.4 信息加 密、 传输 、存 储安 全运营 管理 DB33/T 9782015 10 信息加 密、 传输 、存 储安 全运营 管理 包括 : 明确定 义使 用信 息的 安全 级别; 根据安 全级 别对 信息 进行 不同强 度的 加密 ; 对相应 安全 级别 数据 进行 加密传 输; 对相应 安全 级别 数据 进行 加密存 储; 保障密 钥的 安全 性。 8.4.5 规程有关要 求 8.4.5.
42、1 在电子 商务 安全 运营 管理 方案执 行过程中 ,必 须形 成正式 文件 并经 过检 查的 规程可 供使 用。 8.4.5.2 每个规 程文 件应 指明 其使 用和管 理的 负责 人员 。 8.4.5.3 操作规 程的 内容 取决 于许 多准则 ,可 能与 某一 特定 事件类 型或 实际 上与 某一 类型安全产 品相 关联。 8.4.5.4 每个操 作规 程都 应清 楚注 明需要 采取 哪些 步骤 以及 由谁执 行。 8.5 安全技术支 持 8.5.1 使用电 子安 全事 件数 据库 和技术 手段 快速 建立 和更 新数据 库, 分析 其中 的信 息,以 便于 对事 件 做出响 应( 并
43、不 排除 有要 求或使 用手工 记录 的情 况) 。 8.5.2 快速获 得安 全事 件和 事件 报告。 8.5.3 对已评 估的 风险 采取 适当 的预防 措施 ,以 确保 系统 、服务 和网 络遭 受攻 击时 仍然可 用。 8.5.4 根据已 得到 评估 的风 险采 取措施 ,利 用加 密来 确保 数据的 完整 性和 防泄 漏。 8.5.5 便于对 已收 集信 息的 归档 和安全 保存 。 8.5.6 所有技 术手 段都 应认 真挑 选、正 确实 施和 定期 测试 。 8.6 安全培 训 按5.3 给出 的要 求。 9 实施 9.1 总则 实施是 对安 全事 件的 立即 响应和 长期 响应
44、 , 所 有的 安全事 件都 需要 提早 分析 其潜在 负面 影响 , 包括 短期和 长期 影响 。此 外, 对完全 不可 预见 的安 全事 件作出 某些 响应 是必 要的 。 策略与 运行 ,包 括: 策略制 订; 情报收 集; 应急响 应。 9.2 策略制 订原 则 策略制 定原 则包 括: 确保各 项策 略的 一致 性; 做好安 全事 件紧 急处 理预 案,确 保对 突发 安全 事件 作出及 时、 全面 、系 统和 有效的 处理 ; 明确指 定负 责授 权和/或执行某些 关键 行动 的人 员; 策略应 要求 建立 适当 的审批 机制 , 特别是 会造 成较 大影响 的处 罚策 略 。 D
45、B33/T 9782015 11 9.3 安全事 件管 理策 略制 订内 容 9.3.1 按照制 订的安全 运营 管理 方案, 监控 平台 上重 点安 全事件 ,如 平台 上账户安 全、商 品 与信息 发 布安全 的问 题。 9.3.2 安全事 件管 理策 略是 根据 电子商 务平 台实 际出 现的 问题有 针对 性的 制订 ;并 随时跟 踪新 的安 全 事件的 发生 ,而 及时 响应 。 例如:账户安全、商品与 信息发布安全的策略规范;可参见附录 A 和附录B 。 9.4 安全情 报收 集 9.4.1 在网络 空间 内收 集情 报包 括开源 情报 、传 统的 信号 情报和 计算 机网 络嗅
46、探等 类型。 9.4.2 情报系 统的 建设 包含 人工 智能及 识别 技术 ,通 过一 个基于 知识 库的 主动 式专 题搜索 引擎 完成 专 题情报 的收 集, 并过 滤与 分类收 集信 息。 9.5 应急响 应 如果确 定安 全事 件不 在策 略规定 范围 内 ,应启 动应 急响应 机制 。 具体 规 程见6.5。 10 检查 10.1 概述 检查评 估环节 要求安 全运 营管理 机构 与其 它部 门协 同合作 , 检查 安全策 略执 行情况, 是确 保对 内部 、 外部风 险策 略进 行有 效覆 盖的重 要环 节。 在检查 评 估 阶段, 应与 组织 各部 门达 成 共识, 并建 立沟
47、 通机 制。 通过对 风险 的评 估, 来决 定如何 优化 系统 或策 略 。 10.2 关键过 程 发现和 报告 电子 商务 平台 系统开发、 上线 、 运行 的 安全状 况; 开发 、 上线 应 建立系 统提 交机 制, 安 全运营 管理 机构 根据 安全 运行管理方 案 ,启动 下列 检查评估流 程 : 任何平 台上 运行 的系 统都 应该设 置安 全监 控点 , 在系统开 发阶 段, 收集 有关 数据访 问风险的信 息, 在系 统上 线测 试阶 段, 收集业 务逻 辑风 险信 息; 根据所 需访 问的 安全 级别、 业务 逻辑 风险 程度, 由安 全运 营管 理机 构 与相应 部门 进
48、行 风险 评估 , 来确定 部署 的安 全措 施、 策 略是否有效 ; 确保对 流程 中所 有相 关信 息进行 收集 和安 全保 存, 同时确 保系 统安 全状 态得 到持续 监控 , 以 供 审核所 用。 10.3 发现和 报告 系统的 开发 与上 线, 触发 安全事 件,发现 的安 全 人员要负 责启 动 下列 检查评 估流 程 : 对已经 运行 的系 统安 全状 态, 可通 过监控 数据 发现 , 如安全 监控 系统 在预 设参 数被激 发的 情况 下发出 的警 报, 发现 的人 员可根 据规 程启 动安 全评 估流程 ; 在大部 分情 况下, 电子 商 务安全 事件 来自 于偶 然发
49、现 (包括 系统 漏洞) , 发现 的人员 可以 是 组 织内任 何一 名员 工。 该 员 工应遵 照相 关规 程, 并 使 用电子 商务 安全 运营 管理方案规 定的 安全 事 件响应 流程 在第 一时 间把 安全事 件报 告给 评估 团队 ; 安全事件 的 响应 , 要保证 准确性 和及 时性 。 如报告 人对事 件等 级 确定 没有信 心, 在提交 时应加 上适当 的标 记, 以便 后来 沟通时 修改 。 10.4 首次检查 评估和 安全 运营 策略优 化决策 DB33/T 9782015 12 平台系 统在 首次触发 安全 事件 , 安全 检查 评估 人员 应从开发 得 到详 细说 明, 并从其 他使用 业务部门 进一步 收集 可用 的任 何必 要和已 知信 息。 随后, 与相应系统 开发 和使 用部 门共 同 进行 如下 评估 , 以确 定 这个系统安 全 策略的 有效 性 : a)