《信息安全技术 中小企业电子商务信息安全建设指南》编制说明

1.项目背景

当前，全球商业活动日趋电子化、网络化。这种基于网络的新型商务模式具

有效率高、成本低、不受限等种种优势，也不断改变着企业经营模式与管理理念，

被称为21世纪最具活力的经济增长点，众所周知的亚马逊、阿里巴巴等电子商务

网站就是其中的典型代表。另一方面，电子商务的重要特征就是在线信息化，这

势必涉及到信息的传输与获取，随之而来的各类信息安全问题及其隐患就层出不

穷，常常会遭遇信息被截获、篡改、伪造等各类安全威胁，从而带来重大商业乃

至声誉损失。因此，安全是电子商务不可或缺的基础性条件，是否能有效地防范

风险、规避攻击、提升保障质量将成为制约电子商务快速、健康发展迫切而紧要

的问题。

本标准研制的目的就是为推进在我国电子商务中的应用，特别是中小企业电

子商务的应用，指导电子商务信息安全建设，为电子商务的持续发展提供支撑。

（1）企业特别是中小企业的技术、管理等人员对电子商务信息安全建设理解

不一，建设程度也参差不齐，留下了许多安全隐患。

电子商务安全问题不仅仅局限于互联网及平台自身，在平台的规划与设计方

面也存在较多安全隐患。当前，相关管理与软件设计等人员技术水平及整体素质

参差不齐，导致企业在电子商务的规划与设计阶段就很少关注安全问题，未及时

进行安全自我检查及代码程序检查，这就给网站运行造成严重的安全漏洞，引发

大量信息安全问题。项目的研制将为相关人员提供技术和管理参考。

（2）有效提升全国中小电子商务企业信息安全水平，为电子商务的深入发展

提供安全保障。

目前我国电子商务安全问题比较突出。据调查统计，电子商务企业受到木马、

病毒、蠕虫、网络钓鱼、分布式拒绝服务攻击(DDOS)等攻击也较为普遍，其中有

86%的企业受到木马植入，57%的企业受到病毒攻击，35%的企业受到DDOS攻击。

电子商务安全问题不仅仅局限于互联网及平台方面，在平台设计方面也存在较多

安全隐患。为此，项目的研制将结合电子商务企业信息安全建设中的实际问题，

切实为企业提供指导，有效提升全国同类企业信息安全水平，为电子商务的深入

发展提供安全保障。

2.标准制定工作概况

2.1任务来源

根据浙江省经济与信息化委员会提出的国家标准制定项目建议，全国信息安

全标准化技术委员会2011年11月30日印发《关于通报全国信息安全标准化技术

委员会2011年信息安全标准项目的通知(信安秘字[2011]046号)》，下达了《中小

企业电子商务信息安全建设指南》国家标准的起草制定任务。

2.2标准起草单位和起草人

《中小企业电子商务信息安全建设指南》由浙江省标准化研究院、阿里巴巴

（中国）有限公司、浙江工商大学等共同起草，主要起草人员为：。

2.3主要工作过程

为使本标准的制定符合国家标准的编写要求，其内容准确、合理与切合实际，

且在运行过程中具有可控制、可操作。在制定标准时力求科学性、可操作性，以

科学、谨慎态度，充分参考相关标准，在对中小电子商务企业作相关调查研究和

听取有关人员及业内人士意见的基础上，结合我国中小企业电子商务信息安全建

设实际现状，经过调查汇总、综合分析、充分验证资料、多次讨论研究和反复修

改，最终确定本标准的主要内容和完成编制《中小企业电子商务信息安全建设指

南》的起草工作。

具体过程如下：

1）接到标准制定任务后，任务归口部门浙江省经济与信息化委员会立即向本

标准提出单位浙江省标准化研究院制定任务，并向社会公开征集参与起草单位。

来自电子商务企业、院校等10余为专家代表组成了起草小组。参照GB/T20269

《信息安全技术信息系统安全管理要求》、GB/T20271《信息安全技术信息系统

通用安全技术要求》等标准性文件，同时查阅了国内国际等相关文献资料，结合

我国电子商务企业的实际情况，起草了本标准的讨论稿。

2）2012年2月，项目组召开会议，会议对标准的框架、范围、主要内容等进

行了讨论，并明确了小组成员的分工。

3）随后小组成员分头收集了关于电子商务信息技术安全、管理安全、应用安

全要求及电子商务企业对信息安全需求等，并对标准草案进行了多次修改。

4）2012年5月，召开了专家研讨会，对草案进行了修改，上报全国信息安全

标准化技术委员会。

1

5）2012年9月，标准起草小组第三次会议在杭州召开，经过讨论，起草小组

成员对《中小企业电子商务信息安全建设指南》讨论稿的总体结构进行了修改并

达成一致，对部分术语、技术内容的表述等做了修改。

6）2012年10月，为了解现中小企业电子商务信息安全实际情况，开展部分中

小企业电子商务信息安全的调查研究，同时征集部分企业意见。

7）2012年11月，标准起草小组汇总整理了部分返回单位的意见后，在杭州

召开了第四次会议，对部分内容进行调整，补充了附录，完成文本上报全国信息

安全标准化技术委员会。

8）2013年5月，全国信息安全标准化技术委员会第五工作组（TC260/WG5）

于在杭州市组织召开了国家标准《中小企业电子商务信息安全建设指南》（草案）

审查会，听取了标准起草单位浙江省标准化研究院关于标准的编制说明和文本介

绍，经质询与讨论，专家组一致同意该标准草案通过审查。编制组根据专家意见

修改完善。

3．标准编制原则和标准主要内容

3.1标准编制原则

制订《中小企业电子商务信息安全建设指南》国家标准以科学、客观、合理、

适用为原则，通过本标准提出中小企业电子商务安全威胁、需求与建设基本原则，

安全建设总体框架，安全技术要求，业务应用安全，管理安全，电子商务信息安

全建设，电子商务安全管理建设等方面的要求主要依据现行相关国家标准、法规

文件，并考虑中小电子商务企业信息安全的实际情况而定。

3.2确定主要内容的依据及说明

本标准遵循GB/T1.1-2000《标准化工作导则》的规定，具体内容主要包括

以下几个部分：

3.2.1范围

本指导性技术文件确立中小企业电子商务信息安全建设总体架构，为中小企

业电子商务信息安全建设所涉及的信息安全技术、信息安全管理、信息安全的业

务应用等方面安全要求的实施提供指导。

本指导性技术文件适用于企业或个人开展中小企业电子商务信息安全建设工

作，为电子商务管理人员、工程技术人员等相关人员进行信息安全建设提供管理

和技术参考。

2

3.2.2规范性引用文件

本章内容列出了该标准制定过程中采用参考的标准。

3.2.3术语与定义

本章内容给出了电子商务和信息安全等定义，帮助标准使用者对该标准的理

解。

3.2.4缩略语

本章内容列出了该标准中使用的缩略语。

3.2.5中小企业电子商务安全威胁、需求与建设基本原则

本章内容给出了电子商务安全威胁、需求与建设基本原则主要依据标准编制组

调研企业实际情况而确定。

3.2.6中小企业电子商务分类与分域控制要求

本章内容给出了平台模式和店铺模式网络结构，电子商务系统信息分类、应

用分类与防护、分域控制策略等要求。

3.2.7中小企业电子商务信息安全支撑平台

本章内容给出了安全支撑平台各个部分的要求，包括系统安全管理、运营风

险控制认证体系、安全互联与边界防护、主机安全、局域网安全和应用安全。

3.2.8电子商务信息安全建设

本章内容给出了信息安全建设流程，并提出各部分要求。

3.2.9附录

附录A为典型模式网络结构图，附录B为电子商务信息安全建设案例，附录

C为电子商务项目开发过程安全管理案例

4．效果预测

本标准的发布，可以指导企业开展中小企业电子商务信息安全建设工作，提

供详细的操作细则和建议，非常符合当前电子商务信息安全的实际需要，为电子

商务的持续发展提供支撑。

5.国内外现行相关法律、法规和标准情况

5.1目前国内尚无电子商务信息安全建设方面的相关法律、法规和标准。

5.2国外相关法律、法规和标准未能查阅到。

5.3该标准为首次制定，与有关法律、法规和强制性标准协调一致。

3

6.重大意见分岐的处理结果和依据

该标准制订过程中，未出现重大意见分歧。

7．废止现行有关标准的建议

该标准制订实施后，无需废止