DB33/T 978-2015 电子商务平台安全管理规范

ICS35.240.60

L67

DB33

浙江省地方标准

DB33/T978—2015

电子商务平台安全管理规范

Securitymanagementspecificationsforelectroniccommerceplatform

2015-07-16发布2015-08-16实施

浙江省质量技术监督局发布

DB33/T978—2015

目次

前言................................................................................IV

引言.................................................................................V

1范围..............................................................................1

2规范性引用文件....................................................................1

3术语和定义........................................................................1

4基本要求..........................................................................3

5机构和人员管理....................................................................3

5.1安全运营管理机构..............................................................3

5.2人员管理......................................................................4

5.3教育和培训....................................................................5

6应急预案和应急响应................................................................5

6.1概述..........................................................................5

6.2电子商务平台安全事件..........................................................5

6.3安全事件评估价值判断与衡量尺度................................................5

6.4事件分级......................................................................6

6.5应急响应预案..................................................................7

7安全运营管理工作流程..............................................................7

7.1工作流程四个阶段..............................................................7

7.2规划..........................................................................7

7.3运行..........................................................................7

7.4检查..........................................................................8

7.5改进..........................................................................8

8规划..............................................................................8

8.1总则..........................................................................8

8.2安全运营管理机构..............................................................8

8.3安全运营管理方案..............................................................8

8.4安全管理审计要求..............................................................9

8.5安全技术支持.................................................................10

8.6安全培训.....................................................................10

9实施.............................................................................10

9.1总则.........................................................................10

9.2策略制订原则.................................................................10

9.3安全事件管理策略制订内容.....................................................11

9.4安全情报收集.................................................................11

I

DB33/T978—2015

9.5应急响应.....................................................................11

10检查............................................................................11

10.1概述........................................................................11

10.2关键过程....................................................................11

10.3发现和报告..................................................................11

10.4首次检查评估和安全运营策略优化决策..........................................11

10.5再度评估和安全策略优化调整..................................................12

10.6安全日志和变更控制..........................................................12

11改进............................................................................12

11.1概述........................................................................12

11.2进一步的数据分析............................................................13

11.3事件分析....................................................................13

11.4确定改进计划................................................................13

11.5确定方案改进................................................................13

11.6安全风险分析和管理改进......................................................13

附录A（资料性附录）用户账户安全管理规定...........................................14

附录B（资料性附录）商品与信息发布安全管理规定.....................................16

II

DB33/T978—2015

前言

本标准按照GB/T1.1-2009给出的规则起草。

本标准由浙江省商务厅提出并归口。

本标准主要起草单位:淘宝(中国)软件有限公司、阿里巴巴（中国）有限公司、浙江省标准化研究

院、中国计量学院。

本标准主要起草人：谢俊军、颜鹰、沈锡镛、李宁、孙艳、刘洛丹、方强、杨军。

III

DB33/T978—2015

引言

电子商务平台是电子商务发展的载体，其信息的安全性是电子商务健康发展的基础。电子商务发展

越来越快，今后一段时期，其发展趋势，仍将以超越传统产业的速度发展，而作为电子商务的重要支撑

平台，其安全保障水平已日益成为妨碍电子商务发展的最大障碍。

鉴于目前国家还没有这方面的标准，根据《商务部“十二五”电子商务发展指导意见》的精神，参

考SB/T10519-2009《网络交易服务规范》、GB/T18769-2003《大宗商品电子交易规范》，结合浙江省

电子商务平台建设实际，浙江省商务厅组织制定了本标准。

IV

DB33/T978—2015

电子商务平台安全管理规范

1范围

本标准规定了电子商务平台在安全运营管理中应满足的基本要求、人员和机构管理、应急预案和应

急响应、安全运营管理的工作流程方面的要求。

本标准适用于全省各地提供互联网电子商务平台服务的安全运营管理。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T18811电子商务基本术语

GB/Z20986信息安全事件分类分级指南

3术语和定义

下列术语和定义适用于本文件。

3.1

电子商务

以电子形式进行的商务活动。它在供应商、消费者、政府机构和其他业务伙伴之间通过任一电子方

式实现标准化的非结构化或结构化的业务信息的共享，以管理和执行商业、行政和消费活动中的交易。

3.2

电子商务平台

即是一个为企业或个人提供网上交易洽谈的平台。是建立在Internet进行网上商务活动的虚拟网络

空间和保障商务运营的管理环境；是协调、整合信息流、物质流、资金流的重要场所。企业、商家可利

用电子商务平台提供的网络基础设施、支付平台、安全平台、管理平台等共享资源开展自己的商业活动。

3.3

信息安全

数据处理系统而采取的技术和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的

原因而遭到破坏、更改、泄露。

3.4

安全策略

1

DB33/T978—2015

主要指为信息系统安全运营管理制定的行动方针、路线、工作方式、指导原则或程序。

3.5

用户

用注册的ID与用户信息来判断的使用电子商务交易平台的机构或自然人。

3.6

商户

租用电子商务平台进行经营活动的法人、法人委派的行为主体、其它组织机构或自然人。

3.7

网络交易

发生在企业（或其他组织机构）之间、企业（或其他组织机构）与消费者之间、消费者之间通过网

络手段缔结的商品或服务交易。

3.8

二次验证

在用户注册或登录后进行一些重要或敏感业务操作时，通过除密码之外的如验证码、手机短信、安

全问题、数字证书等对用户进行第二次校验的方式。

3.9

数字证书

由证书认证机构签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信

息的数字文件。

3.10

加密

通过密码系统把明文变换为不可懂的形式。

3.11