DB2101T+0080-2023企业商业秘密信息化安全防护规范

03.100.01A01ICSCCS03.100.01A01沈 阳 市 地 方 标 准DB2101/T0080—2023企业商业秘密信息化安全防护规范SpecificationforInformationSecurityProtectionofEnterpriseTradeSecrets20232023-08-282023-09-28沈阳市市场监督管理局发布DB2101/T0080DB2101/T0080—2023DB2101/T0080DB2101/T0080—2023目 次前言 II范围 1规范性引用文件 1术语和定义 1机构与职责 2安全防护管理机构 2信息安全保密管理人员 3策略与制度 4技术要求 4物理环境安全 4网络及边界安全 5主机、应用、数据安全 6建设管理 8安全方案设计 8产品或服务的选择 8软件开发 8工程实施 8系统交付与验收 8运维管理 9环境管理 9资产管理 9存储载体管理 9维护管理 9漏洞与隐患管理 9升级管理 10配置管理 10变更管理 10备份与恢复管理 10外包运维管理 10风险监测与评估 10风险监测 10风险评估 10安全事件处置与应急管理 10安全事件处置 10应急预案管理 11参考文献 12I前 言GB/T1.1—20201部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任。（沈阳市知识产权局本文件主要起草人：郝玉明、边作晰、于佳、田宁、赵永辉、张功、丁凯、靳川、刘爽、薛晓颖、勾颖、王磊、孙洁。本文件归口部门通讯地址：沈阳市市场监督管理局（沈阳市沈河区南关路118号）；联系电话本文件起草单位通讯地址：沈鼓集团股份有限公司(沈阳经济技术开发区开发大路16号甲)；联系电话IIII企业商业秘密信息化安全防护规范范围本文件规定了企业商业秘密信息化安全防护体系的机构职责、策略与制度、技术要求、建设管理、运维管理、安全事件处置与应急管理。建立商业秘密信息化安全防护体系；运行并持续改进商业秘密信息化安全防护体系；寻求外部组织对其商业秘密技术防护体系进行评价。规范性引用文件GB/T2887-2011GB/T9361-2011GB/T2887-2011GB/T9361-2011DB21/T3659-2022商业秘密保护管理规范3术语和定义下列术语和定义适用于本文件。3.1商业秘密tradesecret注：“不为公众所知悉”“具有商业价值”“相应保密措施”的具体内容详见《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》。3.2涉密设备confidentialdevice釆集、存储、处理、传输涉及企业商业秘密信息的各类设备。3.3涉密信息系统confidentialinformationsystem13.4涉密载体confidentialcarrier3.5安全域securitydomain由一组具有相同安全保护需求、并相互信任的信息系统、网络及设备组成的逻辑区域。3.6涉密区域confidentialarea企业内产生、存储、处理、传输涉及商业秘密信息的场所。3.7信息安全产品informationsecurityproducts专门用于保障信息安全的软件、硬件或其组合体。机构与职责安全防护管理机构组织设置与职责企业应设立商业秘密信息化安全防护管理工作的职能部门，负责本单位商业秘密信息化安全防护体系建设实施和日常管理。岗位配置与职责企业应设置专职或兼职信息安全与保密技术防护管理负责人岗位，并确定其职责。对于涉及核心商业秘密（根据DB21/T36595.1.2条款确定密级，以下相同）的涉密信息系统、信息安全产品，应配备专职安全管理员，不可兼任。授权与审批企业应对涉密信息系统和网络的规划、建设、变更等建立逐级审批程序，所有审批流程应经企业应根据各个部门业务内容和岗位职责确定具有的涉密信息系统、信息安全产品和网络权2内外部沟通和合作检查、考核与整改企业应定期组织各类涉密信息系统、信息安全产品及网络的安全保密检查，检查内容包括各类系统及网络运行情况、系统安全配置、系统及网络权限、数据备份与恢复、系统漏洞发现与修复等。企业组织安全保密检查应制定并使用规范的检查表，对检查内容、检查时间、检查人等进行记录，汇总并形成检查报告。企业应对安全保密检查中发现的问题和漏洞进行闭环管理和控制，并由组织责任单位进行问题与漏洞的整改，形成整改结论与报告。信息安全保密管理人员人员录用（的人员岗位变更与离职企业应及时按照信息安全保密管理人员岗位职责权限的变更，及时调整信息安全保密管理人员系统、网络、硬件设备权限。安全意识教育和培训3外部人员管理企业应建立外部人员访问涉密区域、涉密信息系统、信息安全产品及网络的审批流程，所有外部人员访问应履行审批程序，对外部人员的物理访问或网络访问进行登记备案。外部人员访问涉密区域经审核批准后，应由接待部门安排专人全程陪同，并应对外部人员手机、照相机、摄像机等摄录像设备的使用进行管理，保证其访问行为的合规性。对于涉及核心商业秘密的涉密信息系统、信息安全产品或网络，除国家政府部门监督检查、系统运维管理等情况外，应拒绝参观类访问行为。策略与制度安全策略企业应根据商业秘密信息化安全防护体系建设需要，并充分考虑与企业战略目标的协同发展，制定总体安全规划及安全策略，确定商业秘密信息化安全防护体系建设的基本原则、管控范围与安全框架。管理制度安全管理制度应覆盖组织建设及职责分工、安全人员管理、物理环境安全管理、网络安全管理、主机安全管理、应用安全管理、数据安全管理、应急事件管理与处置等事项。安全操作规程应覆盖涉密信息系统、信息安全产品、网络以及相关设备的操作规范、操作方法、操作说明等事项。制定和发布评审和修订技术要求物理环境安全物理位置及防护4企业对数据中心或机房的物理位置选择和防震、防雷、防火、防水、防潮、防静电、温湿度控制、电力供应、电磁防护等技术防护措施应符合GB/T2887-2011计算机场地通用规范、GB/T9361-2011计算机场地安全要求标准中C级场地的要求，推荐企业按照该标准中B级场地要求执行。物理空间访问控制企业应对数据中心或机房的出入口应配置电子门禁系统或采用专人值守的方式，对出入数据中心或机房的企业内部授权人员进行验证、登记，并对人员出入记录进行存档备查。企业应建立数据中心或机房设备进出审批程序，所有设备的进出应严格履行审批流程，应对设备的进出情况进行登记，并应将设备出入记录进行存档备查。企业应在数据中心或机房的出入口及内部安装视频监控系统，对所有出入和内部活动进行不间断地视频录制，历史视频保存期限应不少于3个月。企业内部临时授权人员、外来人员进入数据中心或机房，应安排值守人员进行全程陪同。网络及边界安全网络架构企业应按照业务系统及技术防护软硬件系统需要建设内部网络，并设置有合理的设备冗余，保证网络及网络设备处理及吞吐能力可满足业务和安全需要。企业应按照业务、安全等方面划分不同的网络区域，可将企业内部网络划分为业务系统区、通信传输企业应采用符合国家标准要求的密码技术，保证网络通信过程中数据的完整性和保密性。边界防护与访问控制企业应采用必要的技术手段对接入内网的设备进行可信验证，可采用InternetProtocol（简称“IP”）和MediaAccessControlAddress（简称“MAC地址”）企业应采用必要的技术手段对内部网络访问外部网络的行为进行可信验证，可采用IP认证、用户账号密码认证等方式进行验证。企业应采用必要的技术手段对外网访问内部网络的行为进行可信验证，通过VirtualPrivateNetwork（简称“VPN”）、零信任等远程访问系统对该类行为进行管理和控制。企业应采用必要的技术手段对非授权设备私自接入内部网络或内部非授权用户联到外部网络的行为进行检测与监控，可以定位出具体位置，并对该类行为进行有效阻断。5对于涉及核心商业秘密的网络区域，企业应采用物理或逻辑隔离的方式实现网络区域与其它区域之间的网络隔离，对于网络边界和网络区域间访问采取加强型技术防护措施。入侵和恶意代码防范企业应采用必要的技术手段对内网与外网相邻边界网络节点进行检测与监控，防止或限制从外部发起的网络攻击、恶意代码注入、垃圾邮件等行为。企业应采用必要的技术手段对内网各安全域边界网络节点进行检测与监控，防止或限制从内部发起的网络攻击行为网络攻击、恶意代码注入、垃圾邮件等行为。企业应采取技术措施对入侵、恶意代码、垃圾邮件等网络行为进行记录与分析，对网络攻击行为进行报警与处置。安全审计企业应对各类网络访问和网络设备日志进行存档，保存时限不低于6个月。企业应制定对网络的安全审计规则，定期对各类网络进行安全审计，包括内网访问行为、外网远程访问内网行为、内网访问互联网行为等，并形成审计记录，审计记录应进行存档备查。主机、应用、数据安全身份鉴别企业应建立身份鉴别机制，包括身份鉴别信息、复杂度要求、定期更换要求等，对登录涉密主机、涉密信息系统及数据库的用户进行身份鉴别，至少采用口令方式进行身份鉴别。8访问控制企业应根据部门业务范围及员工岗位职责，对员工分配账户和权限，账户应保证唯一性，避免共享账户的存在。涉密信息系统用户账号和权限的申请应建立审批程序，经批准后赋予用户对应的权限，权限应满足最小化原则。企业应定期对账户信息进行清查，及时禁用、注销或删除离职人员账户、测试账户、临时账户等无用账户。企业应根据服务器、涉密信息系统、安全防护软硬件系统的管理用户按照角色分配权限，管6企业应采用必要技术手段对主机端用户行为进行监控，对用户操作行为进行监控，对违规行为进行阻断。对于涉及核心商业秘密的主机、涉密信息系统应采用加强访问控制，不可直接接入外部网络或由外部网络远程进行访问。安全审计入侵和恶意代码防范企业应在主机上安装必要的防病毒及防入侵软件，识别、记录、告警并处置各类入侵和病毒行为，有效的阻断病毒或恶意代码入侵。企业应采用必要的技术防护手段定期对主机、各类涉密信息系统、安全防护软硬件系统进行漏洞扫描，对发现的漏洞进行评估后，采用合理的方式修复或防护漏洞。数据完整性与保密性企业应按照国家数据安全法律法规及标准规范要求，对各类数据进行分类分级，明确涉及商数据备份恢复企业应建立数据备份与恢复机制，包括备份方式、备份周期、存储介质、保存期限等。企业应根据数据的重要性和敏感性进行分类备份，并对备份数据进行分类管理。剩余信息保护7企业应采用必要的技术手段或策略对鉴别信息及商业秘密数据所在的临时缓冲存储空间进行完全清除。个人信息保护建设管理安全方案设计产品或服务的选择企业应选择具备资质及技术能力的软硬件产品或服务供应商。企业应按照国家法律法规、标准规范要求和行业发展趋势，结合企业实际业务需求，制定安全产品及服务供应商评价标准，建立软硬件产品或服务供应商目录，并定期对供应商进行评价。企业所选择的软硬件产品或服务应获得国家许可或认证，且满足企业业务及安全基本要求。企业应与软硬件产品或服务供应商签订保密协议，明确双方的保密权利及义务。软件开发企业应采用安全开发生命周期等方法，对软件开发全过程实施安全管理。企业应在软件上线前，对软件进行功能和安全性测试，功能应满足业务需求，并对可能存在的恶意代码进行必要的检测。企业应对软件程序的修改、更新、发布进行审批，并对软件版本进行控制。对于外包软件开发，应由开发单位提供软件源代码，企业应从安全保密角度对软件中可能存在的后门和隐蔽信道等方面进行审查，识别可能存在的问题或潜在风险。企业应对已完成开发的软件的业务符合性和安全性进行测试和验收，并形成测试和验收报告。工程实施系统交付与验收企业应按合同及技术协议对系统进行验收，包括对合同及技术协议内约定的设备、软件、文档、服务等进行清点，并对软件功能及安全性进行测试，软件验收应形成验收报告。8企业应组织供应商对负责运行维护的技术人员进行相应的技能培训。企业在系统交付和验收完成后，应组织对技术防护体系进行重新评估。运维管理环境管理资产管理企业应建立资产清单，包括资产基本信息、责任部门、责任人、重要程度、涉密等级和所处位置等内容，并及时进行更新。企业应根据资产的重要程度对资产进行标识管理，并采取合理的管理措施，对于涉密设备及涉密载体应加强管理。涉密设备的销毁应履行审批程序，销毁应采用合理的技术手段清除涉及商业秘密的数据。存储载体管理涉密载体的销毁应履行审批程序，销毁应采用合理的技术手段清除涉及商业秘密的数据。维护管理企业应详细记录运维操作日志，包括日常巡检工作、运行维护记录、参数的设置和修改等内容。漏洞与隐患管理9升级管理配置管理变更管理备份与恢复管理证等处理。外包运维管理企业应选择具备资质和技术能力的外包运维服务商。证等处理。外包运维管理企业应选择具备资质和技术能力的外包运维服务商。企业应建立外包服务商评价机制，定期对外包服务商的技术能力、资质等进行评价。企业应与外包运维服务商签订保密协议，明确双方的