SN-T 5562.8-2023 海关实验室数字化管理规范 第8部分：安全管理

学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载1 2ICS03.20.0学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载1 2CCSA00中华人民共和国出入境检验检疫行业标准8SN/T

5562.—20238海关实验室数字化管理规范

8

:

ii

i t i

iii

i t i

iiPart8:Securtymanagementi-

- -

--

- -

-中华人民共和国海关总署 发

布学ｗｗ．ｂｚｆｘｗ．ｃｏｍ标准兔兔ｗ下载学ｗｗ．ｂｚｆｘｗ．ｃｏｍ标准兔兔ｗ下载学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载8SN/T5562.—2023学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载8前 言本文件按照

GB/T1.标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草。本文件是SN/T5562《海关实验室数字化管理规范》的第8部分。SN/T5562已经发布了以下部分:———第1部分:总则;———第2部分:组织管理;———第3部分:数据管理;———第4部分:架构管理;———第5部分:数据控制和信息管理;———第6部分:数据分析管理;———第7部分:服务方管理;———第8部分:安全管理。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中华人民共和国海关总署提出并归口。本文件起草单位:广州海关技术中心、漳州海关综合技术服务中心、番禺职业技术学院、北京三维天地科技股份有限公司、中国电子口岸数据中心广州分中心、深圳海关信息中心、广州海成电子科技有限公司。本文件主要起草人:张彦彬、陈泳、刘世明、苏杨、李静、周锦顺、李志勇、刘丹、席静、林子旭、林俊伟、朱亚丰、熊猛杰、包先雨、陈炳颖、何王福、郑俊超、梁茵茵。学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载8SN/T5562.—2023学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载8引 言为规范海关实验室数字化管理,提高实验室的数字化管理水平,拟制定SN/T5562《海关实验室数字化管理规范》推动海关实验室数字化管理的规范化,确立适用于海关实验室数字化建设和管理的原则和要求,拟由八个部分构成。———第1部分:总则。目的在于确立适用于海关实验室数字化建设和管理的总体原则和要求。———第2部分:组织管理。目的在于确立适用于海关实验室数字化建设和管理过程中的组织建设、组织结构管理、人员管理的组织管理要求。———第3部分:数据管理。目的在于确立适用于海关实验室数字化建设和管理过程中的数据编码、数据分类、数据交换、数据存储及维护的数据管理要求。———第4部分:架构管理。目的在于确立适用于海关实验室数字化建设和管理过程中的可为未来一定时期内各种资源和信息系统建设提供整体性、长期性的发展规划建议和指导的架构管理要求。———第5部分:数据控制和信息管理。目的在于确立适用于海关实验室数字化建设和管理过程中的数据控制、信息管理、持续改进的数据控制和信息管理要求。———第6部分:数据分析管理。目的在于确立适用于海关实验室数字化建设和管理过程中的数据分析基本要求、数据分析指标管理、数据分析过程、数据分析技术与方法、数据分析结果应用的数据分析管理要求。———第7部分:服务方管理。目的在于确立适用于海关实验室数字化建设和管理过程中的服务方选择、服务过程管理、服务评价与持续改进、关键点控制、服务方管理数字化的服务方管理要求。———第8部分:安全管理。目的在于确立适用于海关实验室数字化建设和管理过程中的实验室常规安全、网络安全、系统安全和数据安全管理的安全管理要求。学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载8SN/T5562.—2023学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载8海关实验室数字化管理规范第8部分:安全管理1

范围本文件规定了海关实验室数字化过程中的安全管理要求。本文件适用于海关实验室数字化建设和管理过程中的实验室常规安全、网络安全、系统安全和数据安全管理。2

规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB19489

实验室生物安全通用要求1GB/T27476.—2014

检测实验室安全 第1部分:总则1HS/T22—2018

海关信息化术语1SN/T5562. 海关实验室数字化管理规范 第1部分:总则13

术语和定义1GB19489、GB/T27476.、HS/T22—2018和SN/T5562.界定的术语和定义适用于本文件。14

总体原则海关实验室宜建立安全体系,保障“生产安全、生物安全、质量安全和数据安全”。海关实验室数字化过程中的安全管理,可包括实验室常规安全、网络安全、系统安全和数据安全管理。5

安全管理15. 实验室常规安全1 1115.. 实验室的设备、设施、环境、人员和生产过程安全应遵守

GB/T27476.—2014中第5章的 111求,涉及实验室生物安全通用要求应遵守

GB19489的规定。125.. 实验室宜使用安全管理相关信息系统,保障实验室管理的相关安全管理规定的规范有效实施和12落地,从人员、设备设施、样品、试剂耗材、检验过程等方面实现实验室日常安全管理、应急处置管理、生产安全管理和质量安全管理。135.. 实验室应保持常态化关注实验室安全相关的法律、法规、规章和政府部门规定,及时更新管理制13度并严格执行。1学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载8SN/T5562.—2023学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载825. 网络安全221225.. 实验室应遵守海关网络安全相关管理规定,明确网络安全工作领导机构和部门职责分工。21225.. 实验室应利用技术手段监测、记录网络运行状态和网络安全事件,定期开展安全检测,防范计算机病毒和网络攻击、网络侵入等危害海关网络安全的行为。235.. 实验室应建立网络安全应急管理工作机制并发布应急预案,明确网络安全事件处理流程、职责23和人员,加强网络安全应急力量建设和应急资源储备,应定期组织应急演练。245.. 实验室宜定期开展实验室人员的网络安全教育培训,并对网络安全相关岗位人员加强网络安全24技能培训。255.. 实验室应在内网、对外接入局域网、互联网间进行隔离和访问控制,不同等级网络安全域间应当25采取严格的访问控制措施和边界防护手段。265.. 实验室信息系统用户应当签订网络安全承诺书,承诺遵守网络安全管理制度及相关安全规26范,不得破坏实验室信息系统的安全稳定运行,不得发布或者传播法律、行政法规、海关及本实验室规定禁止发布或者传播的信息,不得盗取数据、破坏系统,不得非法出售或者非法向他人提供关键敏感信息或数据。275.. 实验室采购重要网络产品或者服务时,应要求服务方签订安全保密协议,明确要求不得设置恶27意程序或者后门,不得泄露、扩散、转让建设服务过程中获知的海关相关信息,承担漏洞修复等安全保密责任义务,并对责任义务履行情况进行监督。35. 系统安全3315.. 信息系统建设应遵守海关安全开发规范。3132335.. 信息系统开发测试环境与实际运行环境应物理分离,加强信息系统开发环境安全管理。32335.. 应根据信息系统安全等级要求,建立信息系统身份认证和权限控制机制,根据权限或保密的级别选择合适的身份认证手段,并做好范围、期限权限的授权管理,授权人员变更管理,海关单位外部人员授权管理。定期对信息系统账号的管理及使用情况进行检查。345.. 信息系统上线运行前应通过代码安全审查、漏洞扫描及恶意代码检测,并要求系统建设服务方34提供安全检测报告、软件源代码、测试或者维护接口清单等内容。应定期进行信息系统的漏洞扫描和配置核查,及时处置存在的高风险漏洞和严重配置问题,严格限制存在高风险漏洞和严重配置问题的信息系统和信息化设备上线运行。45. 数据安全4415.. 实验室应建立覆盖数据采集、存储、传输、使用、处理和销毁等实验室数据全生命周期的数据安4142全管理体系,防范和控制数据安全风险,采取科学有效的技术手段和组织措施保障数据安全。425.. 应对信息系统使用、产生的介质或数据进行安全存储管理,注意防火、防高温、防震、防磁、防静电及防盗。435..应按海关数据安全相关管理规定,对数据进行分级分类,并根据实际情况的变化及时对数据级43别进行调整,并建立严格的保密保管制度。445.. 应定义数据备份策略,实施数据备份管理,适宜时定期进行备份恢复测试,以确保系统出现数据44误删除、病毒感染、自然灾害等故障后能够及时恢复数据,保证系统运行。45465.. 应对检测报告等系统中的敏感数据、关键信息,进行数据加密管理。例如,采用电子签名技术确4546保数据的合法性和完整性。应当对互联网传入的文件进行安全检测与控制,并进行日志记录,防范恶意代码攻击。对已发生信息安全问题的信息系统,应重新评估对应系统的实验室