DB33_T 978-2015电子商务平台安全管理规范.pdf

ICS 35. 240. 60L 67DB33浙江省地國方标准DB33/T978—2015电子商务平台安全管理规范Security management specifications for electronic commerce platform2015-07-16发布2015-08-16实施浙江省质量技术监督局发布 DB33/T 978—2015目次前言AI引言范围2规范性引用文件3术语和定义4基本要求5机构和人员管理5. 1安全运营管理机构5. 2人员管理：5. 3教有和培训6应急预案和应急响应6. 1概述6. 2电子商务平台安全事件6. 3安全事件评估价值判断与衡量尺度6. 4事件分级，6. 5应急响应预案安全运营管理工作流程7. 1工作流程四个阶段7.2规划7. 3运行7. 4检查7. 5改进8规划8. 1总则8. 2安全运营管理机构8. 3安全运营管理方案8. 4安全管理审计要求8. 5安全技术支持8. 6安全培训109实施9. 1总则9. 2策略制订原则9. 3安全事件管理策略制订内容9. 4安全情报收集 DB33/T 978—2015日）特别严重系统损失：信息或系统涉及资金损失，信息未投权油露和修改、抵赖以及不可用或通受破坏且持续造成用户资金损失或因行动退缓或没有行动造成网络欺诈导致大量用户网上资金损失：特别重要系统不可用或遭受破坏造成大面积长时间中断平台的服务运行：b)严重系统损失：信息或系统涉及资金损失，信息未授权滑露和修改、抵粮以及不可用或遭受破环且造成用户资金损失，因行动退缓或没有行动造成网络欺诈导致用户网上资金损失：重要系统不可用或遭受破坏造成局部中断平台的服务运行：c)较大系统损失：信息或系统故障，明显影响系统效率，使重要信息系统或一股信息系统业务处理能力受到影响，或系统重要数据的必威体育官网网址性、完整性、可用性遭到破坏，但系统是可恢复的:d)较小系统损失：信息或系统故障，影明系统效率，使一股信息系统受到影响，但系统是可恢复的。6.3.4社会影响划分要求如下：a)主要根据个人信息保护、法律法规义务、平台商业规则等三方面影响到的用户群体数，划分为重大社会影响、较大社会影响、一般社会影响，用户群体的数值范国可根据平台规模制定，股如影响到平台10%的用户，则为重大社会影响；影响到平台5%的用户则为较大社会影响：影响到平台1%以内用户为一股社会影响：b)被授权采集和使用个人信息，明确个人信息使用范围，并对信息施以保护，以防油露。法律法规义务。平台持有和处理的信息应遵从国家相关法律法规规定的义务，可能涉及违禁、违反知识产权等信息的发布，无论有意还是无意，都有可能导致对相关组织或个人采取法律诉讼或行政处罚的行动：d)平台商业规则。信息如果滑露的话，可能会引起公众反应，造成该规则无法实施或恶劣影明：此外，对承诺的否认也可能会对组织带来负面后果。6.4事件分级6.4.1概述参见GB/Z20986，结合电子商务安全事件及价值判断尺度，电子商务安全事件分级见6.4.2、6.4.3、6.4.4和6.4.5。6.4.2特别重大事件特别重大事件是指能够导致特别严重影响或破坏的安全事件，包括但不限于：a)会使特别重要信息系统遭受特别严重的系统损失：产生重大的社会影响。6.4.3重大事件重大事件是指能够导致严重影明或破坏的安全事件，包括但不限于：会使特别重要信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重的系统损失：产生较大的社会影响。6.4.4较大事件较大事件是指能够导致较严重影响或破坏的安全事件，包括以下情况：6 DB33/T 978—2015a)会使特别重要信息系统遭受较大的系统损失、或使重要信息系统遭受产重的系统损失、一股信息信息系统遭受特别严重的系统损失：b)产生一般社会影响。6. 4. 55一般事件一般事件是指不满足以上条件的信息安全事件，包括会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失，一般信息系统遭受严重或严重以下级别的系统损失。6.5应急响应预案根据以下事件等级，应启动应急响应机制：a)一般股事件：应急响应行动首先是对业务系统的监控加强。应在适当的地方增加监视防护措施并进行专项数据分析，以帮助发现具有安全事件症状的异常和可事态。这样的监视还可更深刻地揭露安全事件，同时确定还有哪些系统受到危及。b)较大事件：应启动相关业务连续性计划中特定的响应。这样的应急响应涉及系统的所有方面，不仅包括那些与IT直接相关的方面，还应包括关键业务功能的维护和以后的恢复。另外在产生社会影响情况下，当突发事件被确定属实时，需要同时通知部门人员（不在安全运营管理机构的正常联系范围内)和外部人员（包括新闻界）。这种情况可能会发生在事件处理的各个阶段。c)重大事件：在启动相关业务连续性计划的同时，需要准备一