信息安全技术中小电子商务企业信息安全建设指引-全国信息安全.doc

中华人民共和国国家标准标准化指导性技术文件GB/Z—merceinformationsecurityinsmall&mediumenterprises(征求意见稿)XXXX-XX-XX发布XXXX-XX- III引言 IV1 范围 12 规范性引用文件 13 术语与定义 14 缩略语 25 中小企业电子商务安全威胁、需求与建设基本原则 安全威胁 安全需求 信息安全建设基本原则 36 中小企业电子商务分类与分域控制要求 模式分类及其网络结构 信息分类及防护 应用分类及防护 系统分域控制 47 中小企业电子商务信息安全支撑平台 中小企业电子商务安全支撑平台结构 安全管理 运营风险控制管理 认证体系 安全互联与边界防护 主机安全 局域网安全 应用安全 118 电子商务信息安全建设 电子商务信息安全建设流程 风险评估 需求分析 方案设计 测试 系统安装调试 正式运行 13附录A(资料性附录) 典型模式网络结构图 14附录B(资料性附录) 电子商务企业信息安全建设案例 16附录C(资料性附录) 电子商务开发项目发过程安全管理案例 25参考文献 27前言本指导性技术文件按照GB/-2009给出的规则起草。本指导性技术文件由浙江省经济与信息化委员会提出。本指导性技术文件由全国信息安全标准化技术委员会归口。本指导性技术文件主要起草单位:浙江省标准化研究院、。引言全球商业活动日趋电子化、网络化。这种基于网络的新型商务模式具有效率高、成本低、不受限等种种优势,也不断改变着企业经营模式与管理理念,被称为21世纪最具活力的经济增长点。电子商务的重要特征就是在线信息化,势必涉及到信息的传输与获取,这样,随之而来的各类信息安全问题及其隐患就层出不穷,常常会遭遇信息被截获、篡改、伪造等各类安全威胁,从而带来重大商业乃至声誉损失。如何有效地防范风险、提升保障质量已成为制约电子商务快速、健康发展迫切而紧要的问题。为推进在我国电子商务中的应用,特别是中小企业电子商务的应用,指导电子商务信息安全建设,特制定本指导性技术文件。本指导性技术文件确立了中小企业电子商务信息安全建设架构,为中小企业电子商务信息安全建设所涉及的信息安全技术、信息安全业务应用、信息安全管理等方面安全要求的实施提供指导。本指导性技术文件适用于企业或个人开展中小企业电子商务信息安全工作,为电子商务管理人员、工程技术人员等相关人员进行信息安全建设提供管理和技术参考。中小企业电子商务信息安全建设指南范围本指导性技术文件给出了中小企业典型模式网络模式分类,电子商务信息分类与分域控制要求,为中小企业电子商务信息安全建设所涉及的信息安全技术、信息安全管理、运营风险控制等方面安全要求的实施提供指导。本指导性技术文件适用于中小企业的电子商务信息安全建设工作,为电子商务管理人员、工程技术人员等相关人员进行信息安全建设提供管理和技术参考。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T20269信息安全技术信息系统安全管理要求GB/T20275信息安全技术入侵检测系统技术要求和测试评价方法GB/T20281信息安全技术防火墙技术要求和测试评价方法GB/T20945信息安全技术信息系统安全审计产品技术要求和测试评价方法GB/T25068信息技术安全技术IT网络安全术语与定义下列术语和定义适用于本指导性技术文件。中小企业smallandmediumenterprise中小企业划分为中型、小型、微型三种类型,具体标准根据企业从业人员、营业收入、资产总额等指标,结合行业特点制定。[符合工业和信息化部、国家统计局、国家发展计划委员会、财政部在2011年共同颁布的《中小企业划型标准规定》中规定的企业。]merce以电子形式进行的商务活动。它在供应商、消费者、政府机构和其他业务伙伴之间通过任一电子方式实现标准化的非结构化或结构化的业务信息的共享,以管理和执行商业、行政和消费活动中的交易。[GB/T18811-2002,]信息安全informationsecurity保持信息的保密性、完整性、可用性;另外也可包括例如真实性、可核查性、不可否认性和可靠性。[GB/T22081-2008,]分域控制controlbydifferencerealms将基于电子商务商务系统划分为前端数据处理区域、后端数