DB33 T 978-2015 电子商务平台安全管理规范.pdf

《DB33 T 978-2015 电子商务平台安全管理规范.pdf》由会员分享，可在线阅读，更多相关《DB33 T 978-2015 电子商务平台安全管理规范.pdf（22页珍藏版）》请在麦多课文档分享上搜索。

1、ICS 35.240.60 L 67 DB33 浙江省地方标准 DB33/T 9782015 电子商务 平台安全 管理规范 Security management specifications for electronic commerce platform 2015 - 07 - 16 发布 2015 - 08 - 16 实施 浙江省质量技术监督局 发布DB33/T 9782015 I 目 次 前言 . IV 引言 . V 1 范围 . 1 2 规范性 引用 文件 . 1 3 术语和 定义 . 1 4 基本要 求 . 3 5 机构和 人员 管理 . 3 5.1 安全 运营 管理 机构 . 3

2、 5.2 人员 管理 . 4 5.3 教育 和培 训 . 5 6 应急预 案和 应急 响应 . 5 6.1 概述 . 5 6.2 电子 商务 平台 安全 事件 . 5 6.3 安全 事件 评估 价值 判断与衡 量尺 度 . 5 6.4 事件 分级 . 6 6.5 应急 响应 预案 . 7 7 安全运 营管 理工 作流 程 . 7 7.1 工作 流程 四个 阶段 . 7 7.2 规划 . 7 7.3 运行 . 7 7.4 检查 . 8 7.5 改进 . 8 8 规划 . 8 8.1 总则 . 8 8.2 安全 运营 管理 机构 . 8 8.3 安全 运营 管理 方案 . 8 8.4 安全 管理

3、审计 要求 . 9 8.5 安全 技术 支持 . 10 8.6 安全 培训 . 10 9 实施 . 10 9.1 总则 . 10 9.2 策略 制订 原则 . 10 9.3 安全 事件 管理 策略 制 订内容 . 11 9.4 安全 情报 收集 . 11DB33/T 9782015 II 9.5 应急 响应 . 11 10 检查 . 11 10.1 概述 . 11 10.2 关键 过程 . 11 10.3 发现 和报 告 . 11 10.4 首次 检查 评估 和安 全运营 策略 优化 决策 . 11 10.5 再度 评估 和安 全策 略优化 调整 . 12 10.6 安全 日志 和变 更控 制

4、 . 12 11 改进 . 12 11.1 概述 . 12 11.2 进一 步的 数据 分析 . 13 11.3 事件 分析 . 13 11.4 确定 改进 计划 . 13 11.5 确定方案 改进 . 13 11.6 安全 风险 分析 和管 理改进 . 13 附录A （资 料性 附录 ） 用 户账户 安全 管理 规定 . 14 附录B （资 料性 附录 ） 商品与信 息发 布安 全管 理规 定 . 16DB33/T 9782015 III 前 言 本标准 按照GB/T 1.1-2009 给出的 规则 起草 。 本标准 由浙 江省 商务 厅提 出并归 口。 本标准 主要 起草 单位: 淘宝(中

5、国)软件有 限公 司 、 阿里巴 巴 （中国 ） 有限公 司 、 浙江省 标准 化研究 院、中国计 量学 院 。 本标准 主要 起草 人： 谢俊 军、颜 鹰、 沈锡 镛 、 李宁 、孙艳 、刘洛丹 、方 强、 杨 军。 DB33/T 9782015 IV 引 言 电子商 务平 台是 电子 商务 发展的 载体 ， 其 信息 的安 全性是 电子 商务 健康 发展 的基础 。 电子商 务发展 越来越 快， 今后 一段 时期 ， 其发 展趋 势， 仍将 以超 越传统 产业 的速 度发 展， 而作为 电子 商务 的重要支撑 平台， 其安 全保 障水 平已 日益成 为妨 碍电 子商 务发 展的最 大障 碍

6、。 鉴于目 前国 家还 没有 这方 面的标 准， 根据 商务 部 “十二 五” 电 子商 务发 展 指导意 见 的精 神， 参 考SB/T 10519-2009 网 络交易服 务规 范 、GB/T 18769-2003大宗 商品 电子 交易规 范 ，结 合 浙江省 电子商 务平 台建 设实 际， 浙江省 商务 厅组 织制 定了 本标准 。 DB33/T 9782015 1 电 子商务 平台安全 管理规 范 1 范围 本标准 规定 了电 子商 务 平台在安 全运 营管 理中 应满 足 的基本要 求、 人员 和机 构管理 、 应急预 案和应 急响应 、安 全运 营管 理的 工作流 程方 面的 要求

7、 。 本标准 适用 于 全省各 地 提供互联 网电 子商 务 平台 服务的 安全运 营管 理 。 2 规范性 引用 文件 下列文 件对 于本 文件 的应 用是必 不可 少的 。 凡是注 日期的 引用 文件 ， 仅所注 日期的 版本 适用 于本文 件。凡 是不 注日 期的 引用 文件， 其最 新版 本（ 包括 所有的 修改 单） 适用 于本 文件。 GB/T 18811 电子商 务基 本术语 GB/Z 20986 信息安 全事 件分类分 级指 南 3 术语和 定义 下列术 语和 定义 适用 于本 文件。 3.1 电子商 务 以电子 形式 进行 的商 务活 动。 它在 供应 商 、 消 费者 、

8、政府机 构和 其他 业务 伙伴 之间通 过任 一电 子方 式实现 标准化的 非结 构化 或结构 化的 业务 信息 的共 享，以 管理 和执 行商 业、 行政和 消费 活动 中的交易。 3.2 电子商 务 平台 即是一 个为 企业 或个 人提 供网上 交易 洽谈 的平 台。 是 建立在Internet 进行 网上 商务活 动的 虚拟 网络 空间和 保障 商务 运营 的管 理环境 ； 是 协调、 整合 信 息流、 物质 流、 资 金流 的 重要场 所。 企业、 商家 可 利 用电子 商务 平台 提供 的网 络基础 设施 、 支付平 台、 安全平台 、 管理平 台等 共享 资源开展 自己 的商 业活

9、 动。 3.3 信息安 全 数据处 理系 统而 采取 的技 术和管 理的 安全 保护 ， 保 护计算 机硬 件、 软件、 数据不因偶 然的 或恶 意的 原因而 遭到 破坏 、更 改、 泄露。 3.4 安全策 略 DB33/T 9782015 2 主要指 为信 息系 统安 全运 营管理 制定 的行 动方 针、 路线、 工作 方式 、指 导原 则或程 序。 3.5 用 户 用注册 的ID 与用 户信 息来 判断的 使用 电子 商务 交易 平台的 机构 或自 然人 。 3.6 商户 租用电 子商 务平 台进 行经 营活动 的法 人、 法人 委派 的行为 主体 、其 它组 织机 构或自 然人 。 3.

10、7 网络交 易 发生在 企业 （或 其他 组织 机构） 之间、 企业 （ 或其 他组织 机构 ） 与 消费 者之 间、 消 费者 之间 通过 网 络手段 缔结 的商 品或 服务 交易。 3.8 二次验 证 在用户 注册 或 登录后 进行 一些 重要或 敏感 业 务 操作 时， 通过 除密 码之 外的 如验证码 、 手机 短信 、 安 全问题 、数 字证 书等 对用 户进行 第二次校 验 的方式 。 3.9 数字证 书 由证书 认证 机构 签名 的包 含公开 密钥 拥有 者信 息 、 公开密 钥 、 签 发者 信息 、 有 效期以 及一 些扩 展信 息的数 字文 件。 3.10 加密 通过密 码

11、系 统把 明文 变换 为不可 懂的 形式 。 3.11 电子商 务安 全事 件 电子商 务平 台因 故意 、 过失或非 人为 原因 引起 的 信息 和服务 遭到破 坏， 所造成的事 件， 也包括 电子 商务业 务应 用中 出现 的欺 诈、盗 号、 违禁 等恶 意行 为。 3.12 电子商 务安 全运 营管 理部 门 在组织 机构 中根 据业 务的 规模、 结构 建立 的独 立 负 责电子 商务 安全 运营 管理 的小组 或部 门， 以下简 称安全 运营 管理 机构 。 DB33/T 9782015 3 3.13 开源情 报 从公开 可用 的资 源中 ，如 极端分 子的 网站 ，收 集信 息，对

12、 这些 信息 加以 分析 生成情 报。 3.14 计算机 网络 嗅探 秘密潜 入一 套网 络或 信息 系统， 并获 取私 人信 息。 4 基本要 求 4.1 应遵守 国家 有关 法律 、行 政法规 及规 章等 相关 规定 。 4.2 应遵守 国家 制定 的相 关的 网络技 术规 范和 安全 规范 。 4.3 应遵循 诚信 自律 的原 则。 4.4 应遵循 国家 有关 知识 产权 的法律 法规 ，不 应侵 害他 人的专 利权 、商 标权 、著 作权等 ，并 有权 利和 义务保 护有 关知 识产 权。 4.5 应禁止 通过 网络 从事 法律 法规和 国家 其他 相关 规定 禁止的 违法 犯罪 行为

13、 ，如 赌博、 洗钱 、传 销以 及贩卖 枪支 、毒 品、 禁药 、盗版 软件 、淫 秽商 品和 服务等 。 4.6 网络交 易不 应提 供和 买卖 未经审 批的 需要 相应 资质 的商品 或服 务， 应遵 循国 家 规定开 展经 营 活 动 。 5 机构和 人员 管理 5.1 安全运 营管 理机 构 5.1.1 基本要求 5.1.1.1 在组织 机构 中应 根据 实际 的规模 、 结构建 立一 个独 立的负责 电子 商务 平台 安全 运营管 理机构。 5.1.1.2 最高管 理层 中应 有一 人分 管安全 运营 管理 机构 的工 作。 5.1.2 安全运 营管 理机 构的 职责 安全运 营管

14、 理机 构的 职责 包括但 不限 于： a) 应根据 国家 和行 业有 关电 子商务 平台 安全 的政 策、 法律和 法规 ， 批 准平 台业 务的安 全策 略 和 规 则规划 ； b) 应协调 单位 内部 其它 机构 在平台 安全 工作 中的 职责 ，领导 安全 工作 的实 施； c) 应监督 安全 措施 的执 行， 并对重 要安 全事 件的 处理 进行决 策； d) 指导和 检查 应急 处理 小组 等下设 机构 的各 项工 作； e) 建设和 完善 平台 安全 的集 中控管 的组 织体 系和 管理 机制; f) 收集、 分析 、预 警最 新的 电子商 务平 台安 全事 件和 应对方 案。

15、5.1.3 与组织 内其他部 门的 关系 5.1.3.1 安全运 营管 理机 构的 管理 者及成 员应 具有 某种 等级 授权。 5.1.3.2 根据业 务的 安全 风险 ，在 安全事 件管 理策 略和 方案 中，应 详细 说明 安全 运营 管理机 构在 相应 风险点 部署 的安 全措 施。 DB33/T 9782015 4 5.1.4 与外部 机构 的关 系 安全运 营管 理机 构应 与公 司外部 机构 建立 沟通 渠道 ， 完善 沟通 机制 ， 公司外 部机构 可能包 括 但不限 于以下 ： a) 签订合 同的 外部 支持 人员 ； b) 外部组 织的 相关 安全 运营 管理机 构或 小组

16、 ； c) 执法机 关； d) 其他应 急处 理机 构； e) 相关的 政府 部门 ； f) 公共关 系官 员和/或媒体 记者； g) 安全业 务伙 伴； h) 用户。 5.2 人员管 理 5.2.1 应配备 专职 安全 运营 管理 人员。 5.2.2 应登记 安全 运营 管理 机构 成员及 其备 用人 员的 姓名 和联系 方式 ，一 些必 要的 细节应 清晰 记入 相 关文件 中， 包括 规程 文件 和报告 单。 5.2.3 应统一 管理 关键 岗位 的安 全操作 人员 。关 键岗 位的 安全操 作人 员要 求如下 ： a) 允许一 人多 岗， 但安 全操 作人员 不宜 由其 他关 键岗 位

17、人员 兼任 ； b) 关键岗 位人 员应 定期 接受 安全培 训， 加强 安全 意识 和风险 防范 意识 。 5.2.4 人员录 用的 基本 要求 如下 ： a) 对应聘 者进 行审 查 ， 确 认 其具有 基本 的专 业技 术水 平， 接受 过安 全意 识教 育 和培训 ， 能够 掌握 安全运 营管 理基 本知 识； b) 除劳动 合同 外， 应签 订安 全保密 协议 。 5.2.5 定期对 各个 岗位 的人 员进 行不同 侧重 的安 全认 知和 安全技 能的 考核 ，可 作为 人员是 否适 合当 前 岗位的 参考 。 5.2.6 对咨询 人员 、临 时性 的短 期职位 人员 ，以 及辅 助

18、人 员和外 部服 务人 员等 第三 方人员 的管 理要 求 如下： a) 签署包 括不 同安 全责 任的 合同书 或保 密协 议； b) 规定各 类人 员的 业务 操作 权限， 离岗 前必 须及 时转 移 或关 闭相 关权 限； c) 第三方 人员 必须 进行 逻辑 访问时 ，应 划定 范围 并经 过负责 人批 准。 5.2.7 安全运营管 理人 员的 退出 与离职 规定 如下 ： a) 人员离 职之 后仍 对其 在任 职期间 接触 、 知 悉的 属于 本 单位或 者虽 属于 第三 方但 本单位 承诺 或 负 有保密 义务 的秘 密信 息， 承担如 同任 职期 间一 样的 保密义 务和 不擅

19、自使 用的 义务， 直到 该秘密 信息成 为公 开信 息， 而无 论离职 人员 因何 种原 因离 职； b) 离职人 员因 职务 上的 需要 持有或 保管 的一 切记 录着 本单位 秘密 信息 的文 件、 资 料、 图 表、 笔记 、 报告、 信件、 传真、 磁带 、 磁盘、 仪器 以及 其他 任 何形式 的载 体， 均归 本单 位所有 ， 而 无论 这 些秘密 信息 有无 商业 上的 价值； c) 离职人 员应 当于 离职 时， 或者于 本单 位提 出请 求时 ， 返还全 都属 于本 单位 的财物 ， 包括记 载着 本单位 秘密 信息 的一 切载 体。 若 记录 着秘 密信 息载 体是由 离

20、职 人员 自备 的， 则视为 离职 人 员 已 同意将 这些 载体 物的 所有 权转让 给本 单位 ， 本单位 应当在 离职 人员 返还 这些 载体时 ， 给予离职 人员相 当于 载体 本身 价值 的经验 补偿 ； 但秘密 信息 可以从 载体 上消 除或 复制 出来时 ， 可以由本 单位将 秘密 信息 复制 到本 单位享 有所 有权 的其 他载 体上， 并把 原载 体上 的秘 密信息 消除 ； DB33/T 9782015 5 d) 离职人 员离 职时 ， 应 将工 作时使 用的 电脑 、U 盘及 其他一切 存储 设备 中关 于工 作相关 或与 本单 位有利 益关 系的 信息 、 文件等内 容

21、交 接给 本单 位相 关人员 ， 不得在 离职 后以 任何形 式带 走相关 信息。 5.3 教育和 培训 5.3.1 应让电 子商 务平 台相 关员 工了解 电子 商务 平台 安全 的重要 性， 应掌 握的 平台 安全基 本知 识和 技 能等。 5.3.2 应制定 并实 施安 全教 育和 培训计 划， 培养 电子 商务 平台各 类人 员安 全意 识， 并提供 对安 全政 策 和操作 规程 的认 知教 育和 训练等 。 5.3.3 安全意 识培 训， 包括 但不 限于： a) 积极宣 传安 全运 营管 理的 作用， 作为 总体 信息 安全 意识和 培训 计划 的一 部分 ； b) 安全意 识计

22、划及 相关 材料 应该对 所有 人员 可用 ， 包括新员工 ， 以及相 关第 三方 用户和合 作伙 伴； c) 根据安 全事 件类 型、 频率 及其与安全 运营 管理 方案 交互的 重要 程度 的不 同， 直接参 与事 件管理 的各组 成员 需要 不同 类型 不同级 别的 培训 ； d) 在有些 情况 下， 可将 有关 安全事 件管 理的 安全 意识 教育细 节包 括在 其他 培训 计划， 如面 向 员 工 的培训 计划 或一 般性 的总 体安全 意识 计划 。 6 应急预 案和 应急 响应 6.1 概述 当发生 安全 事件 时， 需要根据安 全事 件的 严重 程度 ， 按照相 应的 处理 规

23、程 及 时响应 ， 并随 时跟 踪新 的安全 事件 的发 生。 6.2 电子商务平 台 安全事 件 根据GB/Z 20986的相关 规定 ， 在电子商务 平台运营安全上 出现的 常 见安全事件 主要是网络攻 击事 件、信息破 坏事 件 、 信息 内容安 全事 件， 包括 但不限 于： 钓鱼木 马； 账户被 盗； 欺诈； 垃圾账 户注 册与 垃圾 信息 传播； 违反知 识产 权商 品发布 ； 用户隐 私信 息的 窃取 和篡 改； 恶意信 息传 播。 6.3 安全事 件评 估价 值判 断与 衡量尺 度 6.3.1 根据 GB/Z 20986 相关 的规定 ，信 息安 全事 件的 分级 主要考 虑三

24、 个要 素： 信息 系统的 重要 程度 、 系统损 失和 社会 影响 。 6.3.2 电子商 务平台信 息系 统的 重要程度划 分标 准 ： a) 特别重要 系统: 影响 平台 交 易与支 付的 信息 系统 ； b) 重要信 息系统： 用户 信息 记录与操作 相关系统 ； c) 一般信 息系 统： 其它 辅助 管理系 统。 6.3.3 系统损失划 分 要求如 下 ： DB33/T 9782015 6 a) 特别严重系 统损 失： 信息或 系统 涉及 资金 损失 ， 信息未授 权泄 露和 修改 、 抵赖以及 不可 用或 遭 受破坏且 持续 造成用 户资金 损失或 因行动 迟缓 或没有 行动造 成

25、网络 欺诈 导致大 量用户 网上资 金损失 ；特别 重要系 统不 可用或 遭受 破坏 造成 大 面积长时 间 中断平 台的 服务 运行 ； b) 严重系 统损 失： 信息或 系统 涉及 资金 损失 ， 信息 未授权泄 露和 修改 、 抵赖 以及不可 用或 遭受 破 坏且造成 用户 资金损 失，因 行动迟 缓或没 有行 动造成 网络欺 诈导致 用户 网上资 金损失 ；重要 系统不 可用 或遭 受破 坏造 成局部 中断 平台 的服 务运 行； c) 较 大系统损失 ：信息 或 系统 故障，明显 影响系统 效率 ，使重要信 息系统或 一般 信息系统业 务 处 理 能力受到影响，或系统重要数据的保密性

26、、完整性、可用性遭到破坏，但系统是可恢 复 的； d) 较小系统损 失： 信息 或系 统故障 ， 影 响系 统效 率， 使一般信息 系统 受到 影响 ， 但系统是 可恢复 的。 6.3.4 社会影 响划分 要求如 下 ： a) 主要根 据 个人信 息保 护、 法律法 规义 务、 平台商 业规则等 三 方面 影响 到的用 户群体 数， 划分 为 重大社 会影 响、 较大 社会 影响、 一般 社会 影响 ， 用 户群体 的数 值范 围可 根据 平台规模 制定， 一 般如影 响到 平台 10% 的用 户， 则为 重大 社会 影响 ； 影响到 平台 5% 的用 户则 为较大社 会影 响； 影 响到平

27、台 1%以内用 户为 一般社会 影响 ； b) 个人信 息保 护。 根据 我国 个 人信息 保护 相关 法律 法规 以及国 家标 准的 规定 ， 平台应按相 关要 求， 被授权 采集 和 使 用个 人信 息，明 确个 人信 息使 用范 围，并 对信 息施 以保 护， 以防泄 露。 c) 法律法 规义 务。 平台 持有 和处理 的信 息应 遵从 国家 相关法 律法 规规 定的 义务 ，可能 涉及 违 禁 、 违反知 识产 权等 信息 的发 布， 无 论有 意还 是无意， 都有可能 导致 对相 关组 织或 个人采 取法 律诉 讼或行 政处 罚的 行动 ； d) 平台商 业规 则。 信息 如果 泄露

28、的 话， 可能 会引 起公 众反应 ，造 成该 规则 无法 实施或 恶劣 影 响 ； 此外， 对承 诺的 否认 也可 能会对 组织 带来 负面 后果 。 6.4 事件分 级 6.4.1 概述 参见GB/Z 20986，结 合电 子商务 安全 事件及 价值 判断 尺度 ，电 子商务 安全 事 件分级 见6.4.2、6.4. 3、6.4.4和6.4.5。 6.4.2 特别重 大事 件 特别重 大事 件是 指能 够导 致特别 严重 影响 或破 坏的 安全事 件， 包括 但不 限于 ： a) 会使特 别重 要信 息系 统遭 受特别 严重 的系 统损 失； b) 产生重 大的 社会 影响 。 6.4.3

29、 重大 事件 重大事 件是 指能 够导 致严 重影响 或破 坏的 安全 事件 ，包括 但不 限于 ： a) 会使特 别重 要信 息系 统遭 受严重 的系 统损 失、 或使 重要信 息系 统遭 受特 别严 重的系 统损 失； b) 产生较 大的 社会 影响 。 6.4.4 较大事 件 较大事 件是 指能 够导 致较 严重影 响或 破坏 的安 全事 件，包 括以 下情 况： DB33/T 9782015 7 a) 会使特别重要 信息系统 遭受 较大的系统 损失、或 使重 要信息系统 遭受严重 的系 统损失、一 般 信 息信息 系统 遭受 特别 严重的系 统损 失； b) 产生一 般社 会影 响。

30、6.4.5 一般事 件 一般事 件是 指不 满足 以上 条件的 信息 安全 事件 ，包 括会使 特别 重要 信息 系统 遭受较 小的 系统 损 失 、 或使重 要信 息系 统遭 受较 大的系 统损 失， 一般 信 息 系统遭 受严 重或 严重 以下 级别的 系统 损失 。 6.5 应急响 应预 案 根据以下 事件 等级 ，应启 动应急 响应 机制 ： a) 一般事 件： 应急 响应 行动 首先是 对业 务系 统的 监控 加强。 应在 适当 的地 方增 加监视 防护 措 施 ， 并进行 专项 数据 分析， 以帮助发 现具 有安 全事 件症 状的异 常和 可疑 事态 。 这样的监 视还 可更深 刻

31、地揭 露安 全事 件， 同时 确定还 有哪 些系 统受 到危 及。 b) 较大事件： 应启 动相 关业 务连续 性计 划中 特定 的响 应。这 样的 应急 响应 涉及 系统的 所有 方 面 ， 不仅包 括那 些与 IT 直接 相 关的方 面， 还应 包括 关键 业务功 能的 维护 和以 后的 恢复。 另外 在 产 生社会 影响情 况下， 当突 发事件 被确定 属实 时，需 要同时 通知部 门人 员(不在 安全运 营管 理机 构的正 常联 系范 围内)和外部人员(包括新 闻界) 。 这种情况可 能会 发生 在事 件处 理的各 个阶 段。 c) 重大事件： 在启动 相关 业 务连续 性计 划的 同

32、时 ， 需要准备 一些 材料 ， 并 根据安全事 件的 具体 情 况迅速 通报给 新闻界 和/或 其他媒 体。任 何有 关安全 事件的 消息在 发布 绐新闻 界时， 应遵 照 组 织相关 公关 发布 策略 。 需 要发布 的消 息应 由相 关方 审查 ， 其 中包 括组 织高 级 管理层 、 公共 关系 协调员 和信 息安 全人 员。 d) 特别重大事 件： 除 以上 措施外 ， 必须将 事情 上报 给高级管 理层 ， 以对 处理 安全事件 的建 议行 动 做出决 定， 并为 了对 事件 做出进 一步 评估 以确 定需 要采取 什么 行动 。 7 安全运 营管 理工 作流程 7.1 工作流 程

33、四 个阶 段 电子商 务平 台安 全运 营管 理建设 流程 可被 划分 为四 个阶段 ：规 划； 运行 ；检 查；改 进。 7.2 规划 根据风 险评 估结 果、 法律 法规要 求、 组织 业务 运作 自身需 要来 规划 安全 运营 管理方案 ： 安全运 营管 理机 构下 设分 支团队 ，承 担安 全规 划与 建设职 能； 收集有 关风 险及 安全 信息 ，制订 相对 应标 准、 流程 ； 使用组 织内 认可 的评 估体 系，获 得其 它部 门与 管理 层承诺 ； 取得安 全技 术方 合作 ，规 划相关 安全 系统 ，并 开发 建设； 把安全 相关 标准 、规 定以 及安全 产品 使用 等安

34、全知 识对相 关人 员进 行培 训； 建立安 全宣 传平 台和 渠道 ，对用 户进 行安 全宣 传， 提升用 户安 全意 识。 7.3 运行 运行阶 段应 满足 如下 要求 ： 安全运营管理机构下设分 支团队，执行安全运营管 理方案规定的内容，并承 担安全系统运行 与策略 配置 的职 能； DB33/T 9782015 8 确定安 全事 件是 否处 于可 控制状 态； 重视情 报的 收集 ，为 策略 制订提 供足 够依 据； 如果安 全事 件不 在控 制下 ，启动 应急 响应 机制 ； 对安全 事件 根据 事件 等级 的 应急 响应 流程 ，组 建 虚拟小组 解决 问题 。 7.4 检查 检查

35、阶 段应 满足 如下 要求 ： 安全运 营管 理机 构下 设分 支团队 ，承 担安 全检 查评 估职能 ； 与其它 部门 协同 ，对 系统 安全事件 进 行评 估， 以确 定安全 策略 的有效性 ； 按要求 上报 便于 进一 步评 估和/ 或决 策； 确保所 有活 动被 恰当 记录 ， 以便 于日 后分 析； 记 录 内容包 含且 不限 于： 用户 登录和 退出 时间 、 主叫号 码、 账号 、互 联网 地址或 域名 、系 统维 护日 志等； 对安全 风险 进行 分析 ，以 确保安 全系 统覆 盖所 有的 风险点 。 7.5 改进 改进阶 段应 满足 如下 要求 ： 总结安 全事 件的 经验

36、教训 并形成 文件 ； 根据所 得的 经验 教训 ，审 核和确 定信 息安 全的 改进 ； 审核相关过程和规程在响 应、评估和恢复每个安全 事件时的效率，根据所总 结的经验教训， 确定电 子商 务安 全运 营管 理方案 在总 体上 需要 改进 的地方 ； 监控安 全数 据的 异常 情况 ，并审 核其 原因 ，形 成报 表，传 递到 相关 人员 ，形 成改进 建议 ； 循环改 进整 体的 安全 ，实 施新的 和 或经 过改 进的 防护措 施。 8 规划 8.1 总则 根据风 险评 估结 果、 法律法规要 求、 组织业 务运 作自身需 要来 规划 电子 商务 安全运 营管 理方 案 ， 此 阶段应

37、着重 于： a) 建立安 全运 营管 理机 构； b) 建立电子商 务安 全运 营管 理方案 ； c) 建立安全 审计 规范 ； d) 安全技 术支 持： 规划 和开 发安全 信息 系统 ； e) 安全培 训。 8.2 安全运 营管 理机 构 安全运营管 理机 构的 建立 要求与 职能 ，按 5.1 给出 的要求 。 8.3 安全运 营管 理方案 8.3.1 方案内容 方案包含 且 不限 于以 下 内容 ： a) 安全评 估依据 ； b) 安全事 件分类 ； DB33/T 9782015 9 c) 信息系 统操 作访 问权 限的 管理规 范。 以上相关内 容 及 其它 规定 应形成 正式 文件 ，并 获得 相关部 门及 管理 层的 承诺 。 8.3.2 方案适 用人 群与 覆盖 范围 方案适用于 组织 全体 员工 且不限 于全 体员 工的 其它 相关人 员， 方案 应覆 盖平 台所有可 能有 安全 风险 的系统 以及 外部 引发 平台 安全风 险的 相关 因素 。包 括但不 限于 ： 发现和