电子商务平台安全管理规范

ICS35.240.60L67备案号：DB33浙江省地方标准DB33/TXXXXX—XXXX电子商务平台安全管理规范Securitymanagementspecificationsforelectroniccommerceplatform（征求意见稿）XXXX-XX-XX发布XXXX-XX-XX实施浙江省质量技术监督局发布DB33/TXXXXX—XXXX1目次前言.................................................................................3引言.................................................................................41范围..............................................................................52规范性引用文件....................................................................53术语和定义........................................................................54基本要求..........................................................................75机构和人员管理....................................................................75.1安全管理机构..................................................................75.2人员管理......................................................................85.3教育和培训....................................................................96安全管理工作流程..................................................................96.1工作流程四个阶段..............................................................96.2规划和建设....................................................................96.3评估与部署....................................................................96.4策略与运行....................................................................96.5审核与改进...................................................................107规划和建设.......................................................................107.1概述.........................................................................107.2总则.........................................................................107.3安全管理方案.................................................................107.4安全技术支持.................................................................127.5安全意识和培训...............................................................138评估与部署.......................................................................138.1概述.........................................................................138.2关键过程.....................................................................138.3发现和报告...................................................................138.4第一次评估和安全管理部署决策.................................................138.5第二次评估和安全管理部署调整.................................................148.6安全日志和变更控制...........................................................149策略与运行.......................................................................149.1概述.........................................................................149.2安全事件管理策略制订内容.....................................................159.3策略制订原则.................................................................159.4安全情报收集.................................................................15DB33/TXXXXX—XXXX29.5应急响应机制.................................................................1510审核与改进......................................................................1610.1概述........................................................................1610.2进一步的数据分析............................................................1610.3经验教训....................................................................1610.4确定安全改进................................................................1710.5确定方案改进................................................................1710.6安全风险分析和管理改进......................................................17附录A（资料性附录）用户账户安全管理规定...........................................18附录B（资料性附录）商品与信息发布安全管理规定.....................................20DB33/TXXXXX—XXXX3前言本规范按照GB/T1.1-2009给出的规则起草。本规范的附录A、B、C为资料性附录。本规范由浙江省商务厅提出并归口。本规范主要起草单位:淘宝(中国)软件有限公司、阿里巴巴（中国）有限公司、浙江省标准化研究院。DB33/TXXXXX—XXXX4引言电子商务平台是电子商务发展的载体，其信息的安全性是电子商务健康发展的基础。电子商务发展越来越快，今后一段时期，其发展趋势，仍将以超越传统产业的速度发展，而作为电子商务的重要支撑平台，其安全保障水平已日益成为妨碍电子商务发展的最大障碍。鉴于目前国家还没有这方面的标准，根据《商务部“十二五”电子商务发展指导意见》的精神，参考《网络交易服务规范SB/T10519-2009》、《大宗商品电子交易规范GB/T18769-2003》，结合浙江省电子商务平台建设实际，浙江省商务厅组织制定了本规范。本规范规定了电子商务交易平台在应用安全管理中应具备的一般要求。本规范适用于全省各地提供互联网电子商务平台服务的单位。DB33/TXXXXX—XXXX5电子商务平台安全管理规范1范围本规范规定了电子商务交易平台在安全管理中应具备的一般要求及管理过程。本规范适用于全省各地提供互联网电子商务平台服务的单位。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T18769大宗商品电子交易规范GB/T18811电子商务基本术语GB/T24661.2第三方电子商务服务平台服务及服务等级划分规范SB/T10518电子商务模式规范SB/T10519网络交易服务规范3术语和定义下列术语和定义适用于本指导性技术文件。3.1电子商务electroniccommerce以电子形式进行的商务活动。它在供应商、消费者、政府机构和其他业务伙伴之间通过任一电子方式实现标准化的非结构化或结构化的业务信息的共享，以管理和执行商业、行政和消费活动中的交易。3.2信息安全informationsecurity保持信息的保密性、完整性、可用性；另外也可包括例如真实性、可核查性、不可否认性和可靠性等。3.3安全策略securitypolicy主要指为信息系统安全管理制定的行动方针、路线、工作方式、指导原则或程序。3.4用户userDB33/TXXXXX—XXXX6使用电子商务交易平台的机构或自然人，以注册的ID与用户信息为判断依据。3.5商户merchants租用电子商务平台进行经营活动的法人、法人委派的行为主体、其它组织机构或自然人。3.6网络交易networktransaction发生在企业（或其他组织机构）之间、企业（或其他组织机构）与消费者之间、消费者之间通过网络手段缔结的商品或服务交易。3.7二次验证thetwovalidation在用户注册或登录后进行一些重要或敏感业务操作时，通过除密码之外的如验证码、手机短信、安全问题、数字证书等对用户进行第二次校验的方式。3.8实物拍摄materialobjectShoot即商户针对店铺内商品进行实物拍摄的图片。要求能够达到多角度近距离观察的细腻真实效果，让买家对商品品质有零距离的感受。实物拍摄图片不包括设计图片、杂志图片、官方网站图片、宣传图片及网络图片。3.9数字证书digitalcertificate由证书认证机构签名的包含公开密钥拥有者