DB2101∕T 0080-2023 企业商业秘密信息化安全防护规范(沈阳市).pdf
《DB2101∕T 0080-2023 企业商业秘密信息化安全防护规范(沈阳市).pdf》由会员分享,可在线阅读,更多相关《DB2101∕T 0080-2023 企业商业秘密信息化安全防护规范(沈阳市).pdf(16页珍藏版)》请在咨信网上搜索。
1、ICS03.100.01CCS A 01沈阳市地方标准DB2101/T00802023企业商业秘密信息化安全防护规范Specification for Information Security Protection of Enterprise Trade Secrets2023-08-28 发布2023-09-28 实施沈阳市市场监督管理局发布DB2101/T 00802023I目次前言.II1 范围.12 规范性引用文件.13 术语和定义.14 机构与职责.24.1 安全防护管理机构.24.2 信息安全保密管理人员.35 策略与制度.46 技术要求.46.1 物理环境安全.46.2 网络及边
2、界安全.56.3 主机、应用、数据安全.67 建设管理.87.1 安全方案设计.87.2 产品或服务的选择.87.3 软件开发.87.4 工程实施.87.5 系统交付与验收.88 运维管理.98.1 环境管理.98.2 资产管理.98.3 存储载体管理.98.4 维护管理.98.5 漏洞与隐患管理.98.6 升级管理.108.7 配置管理.108.8 变更管理.108.9 备份与恢复管理.108.10 外包运维管理.109 风险监测与评估.109.1 风险监测.109.2 风险评估.1010 安全事件处置与应急管理.1010.1 安全事件处置.1010.2 应急预案管理.11参考文献.12DB
3、2101/T 00802023II前言本文件按照 GB/T 1.12020标准化工作导则 第 1 部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利,本文件的发布机构不承担识别专利的责任。本文件由沈阳市市场监督管理局(沈阳市知识产权局)提出并归口,同时负责标准的宣贯、监督实施等工作。本文件起草单位:沈鼓集团股份有限公司、沈阳市市场监督管理局、沈阳市铁西区市场监督管理局、沈阳市市场监管事务服务中心。本文件主要起草人:郝玉明、边作晰、于佳、田宁、赵永辉、张功、丁凯、靳川、刘爽、薛晓颖、勾颖、王磊、孙洁。本文件发布实施后,任何单位和个人如有问题和意见建议,均可以通过来电、
4、来函等方式进行反馈,我们将及时答复并认真处理,根据实施情况依法进行评估及复审。本文件归口部门通讯地址:沈阳市市场监督管理局(沈阳市沈河区南关路 118 号);联系电话:024-24011535。本文件起草单位通讯地址:沈鼓集团股份有限公司(沈阳经济技术开发区开发大路 16 号甲);联系电话:024-25801407。DB2101/T 008020231企业商业秘密信息化安全防护规范1范围本文件规定了企业商业秘密信息化安全防护体系的机构职责、策略与制度、技术要求、建设管理、运维管理、安全事件处置与应急管理。本文件适用于企业商业秘密信息化安全防护体系的规划、建设、运维与改进管理,同时也可为机构、协
5、会、科研院所等组织的商业秘密技术防护措施提供参考。主要用于有下列需求的企业:a)建立商业秘密信息化安全防护体系;b)运行并持续改进商业秘密信息化安全防护体系;c)寻求外部组织对其商业秘密技术防护体系进行评价。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 2887-2011 计算机场地通用规范GB/T 9361-2011 计算机场地安全要求DB21/T 3659-2022商业秘密保护管理规范3术语和定义下列术语和定义适用于本文件。3.
6、1商业秘密 trade secret不为公众所知悉,具有商业价值,并经权利人采取相应保密措施的技术信息、经营信息等商业信息。注:“不为公众所知悉”“具有商业价值”“相应保密措施”的具体内容详见最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定。3.2涉密设备 confidential device釆集、存储、处理、传输涉及企业商业秘密信息的各类设备。3.3涉密信息系统 confidential information system由计算机及其相关和配套设施、设备构成的,按照一定应用目标和规则存储、处理、传输企业商业秘密信息的系统。DB2101/T 0080202323.4涉密载体
7、confidential carrier以文字、数据、符号、图形、图像、视频和音频等方式记录或存储企业商业秘密信息的纸介质、磁介质、光介质以及半导体介质等各类物品。3.5安全域 security domain由一组具有相同安全保护需求、并相互信任的信息系统、网络及设备组成的逻辑区域。3.6涉密区域 confidential area企业内产生、存储、处理、传输涉及商业秘密信息的场所。3.7信息安全产品 information security products专门用于保障信息安全的软件、硬件或其组合体。4机构与职责4.1安全防护管理机构4.1.1组织设置与职责4.1.1.1 企业应成立商业秘密
8、信息化安全防护委员会,负责本单位商业秘密信息化安全防护体系规划指导与总体管理,其最高领导由单位主管信息安全的领导担任或授权。4.1.1.2企业应设立商业秘密信息化安全防护管理工作的职能部门,负责本单位商业秘密信息化安全防护体系建设实施和日常管理。4.1.2岗位配置与职责4.1.2.1企业应设置专职或兼职信息安全与保密技术防护管理负责人岗位,并确定其职责。4.1.2.2企业应为各类涉密信息系统、信息安全产品设立信息安全保密管理岗位,包括:系统管理员、安全保密员和安全审计员等岗位,并确定各个工作岗位的职责。4.1.2.3 对于涉及核心商业秘密(根据DB21/T 3659 商业秘密保护管理规范 5.
9、1.2条款确定密级,以下相同)的涉密信息系统、信息安全产品,应配备专职安全管理员,不可兼任。4.1.3授权与审批4.1.3.1企业应对涉密信息系统和网络的规划、建设、变更等建立逐级审批程序,所有审批流程应经过所在部门、商业秘密保护职能部门、商业秘密信息化安全防护委员会审批,明确各审批节点的审批人员及审批权限,按照规定履行审批程序,并保存审批记录。4.1.3.2企业应根据各个部门业务内容和岗位职责确定具有的涉密信息系统、信息安全产品和网络权限,建立审批流程,所有审批流程应经过所在部门、商业秘密保护职能部门审批,明确各审批节点的审批人员及审批权限,所有权限的赋予应履行审批程序,并保存审批记录。DB
10、2101/T 0080202334.1.3.3 企业应定期审查审批人员审批事项及审批权限使用情况,并在人员及权限变更时及时更新授权,以确保审批过程的有效性和安全性。4.1.3.4 企业应定期审查上述各类审批事项,保证各类审批程序按照要求执行,对不符合要求的情况予以整改。4.1.4内外部沟通和合作4.1.4.1 企业应加强内部与外部的沟通合作,按照国家政策法规、标准规范、行业发展趋势和企业业务发展情况,及时调整、改进、完善商业秘密信息化安全防护体系,保障企业商业秘密安全。4.1.4.2 企业应建立有效的内部沟通机制,定期通过现场调研、问卷调查、座谈、会议等方式,实现安全管理部门与业务部门间的有效
11、沟通。4.1.4.3 企业应建立有效的外部交流与沟通机制,与政府部门、机构、协会、科研院所、安全厂商等建立指导、合作、产学研等工作模式,有效提升企业安全防护能力。4.1.5检查、考核与整改4.1.5.1企业应定期组织各类涉密信息系统、信息安全产品及网络的安全保密检查,检查内容包括各类系统及网络运行情况、系统安全配置、系统及网络权限、数据备份与恢复、系统漏洞发现与修复等。4.1.5.2企业组织安全保密检查应制定并使用规范的检查表,对检查内容、检查时间、检查人等进行记录,汇总并形成检查报告。4.1.5.3企业应对安全保密检查中发现的问题和漏洞进行闭环管理和控制,并由组织责任单位进行问题与漏洞的整改
12、,形成整改结论与报告。4.2信息安全保密管理人员4.2.1人员录用4.2.1.1 企业应对信息安全保密管理人员(包括系统管理员、安全保密员、安全审计员及相关人员)的录用进行必要的背景调查与专业素质测评,包括对被录用人员的教育背景、专业资格或资质、从业经历、与原单位签订保密协议及竞业限制协议的情况、掌握原单位知识产权的情况等进行审查,对其所具有的专业技能进行测评。4.2.1.2企业应与信息安全保密管理人员签订保密协议,保密协议应明确保密内容、保密权利和义务、违约责任等。4.2.2人员岗位变更与离职4.2.2.1企业应及时按照信息安全保密管理人员岗位职责权限的变更,及时调整信息安全保密管理人员系统
13、、网络、硬件设备权限。4.2.2.2 信息安全保密管理人员离职时,企业应与离职人员签署竞业限制协议后,及时收回离职信息安全保密管理人员的系统、网络权限,组织离职人员完成硬件设备与工作交接。4.2.3安全意识教育和培训企业应定期制定信息安全保密管理人员的培训计划,内容包括安全保密技术知识、岗位技能、系统和设备操作规程等培训项目,根据培训计划定期对信息安全保密管理人员进行安全保密意识教育和培训,进行培训效果评价以及考核;企业应定期评估培训需求并更新培训计划,以确保培训内容与现行法律法规、当前安全技术和企业安全需求保持一致。DB2101/T 0080202344.2.4外部人员管理4.2.4.1企业
14、应建立外部人员访问涉密区域、涉密信息系统、信息安全产品及网络的审批流程,所有外部人员访问应履行审批程序,对外部人员的物理访问或网络访问进行登记备案。4.2.4.2 对于涉及访问涉密区域、涉密信息系统、信息安全产品及网络的外部来访人员,企业应明确告知其保密要求及义务。4.2.4.3外部人员访问涉密区域经审核批准后,应由接待部门安排专人全程陪同,并应对外部人员手机、照相机、摄像机等摄录像设备的使用进行管理,保证其访问行为的合规性。4.2.4.4 外部人员访问涉密信息系统、信息安全产品或网络经审核批准后,应按照批复文件开通对应账户并设定权限,并通过技术手段记录和监督其访问行为,访问结束后应及时注销外
15、部人员账户和权限。4.2.4.5对于涉及核心商业秘密的涉密信息系统、信息安全产品或网络,除国家政府部门监督检查、系统运维管理等情况外,应拒绝参观类访问行为。5策略与制度5.1安全策略企业应根据商业秘密信息化安全防护体系建设需要,并充分考虑与企业战略目标的协同发展,制定总体安全规划及安全策略,确定商业秘密信息化安全防护体系建设的基本原则、管控范围与安全框架。5.2管理制度5.2.1 企业应建立覆盖商业秘密信息化安全防护各方面的安全管理制度、操作规程,形成完备的管理制度体系。5.2.2 安全管理制度应覆盖组织建设及职责分工、安全人员管理、物理环境安全管理、网络安全管理、主机安全管理、应用安全管理、
16、数据安全管理、应急事件管理与处置等事项。5.2.3 安全操作规程应覆盖涉密信息系统、信息安全产品、网络以及相关设备的操作规范、操作方法、操作说明等事项。5.3制定和发布企业商业秘密信息化安全防护管理职能部门负责安全管理制度的制定,上报商业秘密信息化安全防护委员会审批后予以发布执行,并对安全管理制度的版本进行记录与控制。5.4评审和修订企业商业秘密信息化安全防护管理职能部门应定期对安全管理制度的全面性、合理性、适用性进行评估,充分征求企业内部和外部利益相关方的意见和建议,组织进行安全管理制度的制定、完善与修订,以适应企业商业秘密信息化安全防护和业务实施的需要。6技术要求6.1物理环境安全6.1.
17、1物理位置及防护DB2101/T 008020235企业对数据中心或机房的物理位置选择和防震、防雷、防火、防水、防潮、防静电、温湿度控制、电力供应、电磁防护等技术防护措施应符合GB/T2887-2011 计算机场地通用规范、GB/T9361-2011 计算机场地安全要求标准中C级场地的要求,推荐企业按照该标准中B级场地要求执行。6.1.2物理空间访问控制6.1.2.1企业应对数据中心或机房的出入口应配置电子门禁系统或采用专人值守的方式,对出入数据中心或机房的企业内部授权人员进行验证、登记,并对人员出入记录进行存档备查。6.1.2.2企业应建立数据中心或机房设备进出审批程序,所有设备的进出应严格
18、履行审批流程,应对设备的进出情况进行登记,并应将设备出入记录进行存档备查。6.1.2.3企业应在数据中心或机房的出入口及内部安装视频监控系统,对所有出入和内部活动进行不间断地视频录制,历史视频保存期限应不少于3个月。6.1.2.4企业内部临时授权人员、外来人员进入数据中心或机房,应安排值守人员进行全程陪同。6.2网络及边界安全6.2.1网络架构6.2.1.1企业应按照业务系统及技术防护软硬件系统需要建设内部网络,并设置有合理的设备冗余,保证网络及网络设备处理及吞吐能力可满足业务和安全需要。6.2.1.2企业应按照业务、安全等方面划分不同的网络区域,可将企业内部网络划分为业务系统区、安全管理区、
19、工控区、办公区、外联区、无线网络区、其他区域等不同的安全域,并按照便于管理和控制的原则为各网络区域分配地址。6.2.1.3企业应重点保障网络区域的安全,不应将网络区域部署在网络边界处,企业内网与外部网络、网络区域与其他网络区域之间应采取可靠的技术隔离和防护手段。6.2.1.4企业应对涉及核心商业秘密的区域设置单独的网络区域,并采取可靠的技术隔离和防护手段。6.2.2通信传输企业应采用符合国家标准要求的密码技术,保证网络通信过程中数据的完整性和保密性。6.2.3边界防护与访问控制6.2.3.1企业应根据安全域划分情况,明确各网络区域边界和访问控制策略,采用技术手段进行防护,根据访问控制策略设置访
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DB2101T 0080-2023 企业商业秘密信息化安全防护规范沈阳市 DB2101 0080 2023 企业 商业秘密 信息化 安全 防护 规范 沈阳市
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。