SNT5562.8-2023 海關(guān)實(shí)驗(yàn)室數(shù)字化管理規(guī)范第8部分安全管理

S中華人民共和國出入境檢驗(yàn)檢疫行業(yè)標(biāo)T海關(guān)實(shí)驗(yàn)室數(shù)字化管理規(guī)范第8部分安全管理y9發(fā) 1實(shí)中華人民共和國海關(guān)總署發(fā)布T 本文件按標(biāo)準(zhǔn)化工作導(dǎo)則第1部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定起草。本文件是海關(guān)實(shí)驗(yàn)室數(shù)字化管理規(guī)范的第8部分。T2已經(jīng)發(fā)布了以下部分:第1部分總則第2部分組織管理第3部分?jǐn)?shù)據(jù)管理第4部分架構(gòu)管理第5部分?jǐn)?shù)據(jù)控制和信息管理第6部分?jǐn)?shù)據(jù)分析管理第7部分服務(wù)方管理第8部分安全管理請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由中華人民共和國海關(guān)總署提出并歸口。本文件起草單位廣州海關(guān)技術(shù)中心漳州海關(guān)綜合技術(shù)服務(wù)中心番禺職業(yè)技術(shù)學(xué)院北京三維天地科技股份有限公司中國電子口岸數(shù)據(jù)中心廣州分中心深圳海關(guān)信息中心廣州海成電子科技有限公司。本文件主要起草人張彥彬陳泳劉世明蘇楊李靜周錦順李志勇劉丹席靜林子旭林俊偉、朱亞豐熊猛杰包先雨陳炳穎何王福鄭俊超梁茵茵。ⅠT 為規(guī)范海關(guān)實(shí)驗(yàn)室數(shù)字化管理提高實(shí)驗(yàn)室的數(shù)字化管理水平擬制定T海關(guān)實(shí)驗(yàn)室數(shù)字化管理規(guī)范推動(dòng)海關(guān)實(shí)驗(yàn)室數(shù)字化管理的規(guī)范化確立適用于海關(guān)實(shí)驗(yàn)室數(shù)字化建設(shè)和管理的原則和要求擬由八個(gè)部分構(gòu)成。第1部分總則。目的在于確立適用于海關(guān)實(shí)驗(yàn)室數(shù)字化建設(shè)和管理的總體原則和要求第2部分組織管理。目的在于確立適用于海關(guān)實(shí)驗(yàn)室數(shù)字化建設(shè)和管理過程中的組織建設(shè)組織結(jié)構(gòu)管理人員管理的組織管理要求第3部分?jǐn)?shù)據(jù)管理。目的在于確立適用于海關(guān)實(shí)驗(yàn)室數(shù)字化建設(shè)和管理過程中的數(shù)據(jù)編碼數(shù)據(jù)分類數(shù)據(jù)交換數(shù)據(jù)存儲(chǔ)及維護(hù)的數(shù)據(jù)管理要求第4部分架構(gòu)管理。目的在于確立適用于海關(guān)實(shí)驗(yàn)室數(shù)字化建設(shè)和管理過程中的可為未來一定時(shí)期內(nèi)各種資源和信息系統(tǒng)建設(shè)提供整體性長期性的發(fā)展規(guī)劃建議和指導(dǎo)的架構(gòu)管理要求。第5部分?jǐn)?shù)據(jù)控制和信息管理。目的在于確立適用于海關(guān)實(shí)驗(yàn)室數(shù)字化建設(shè)和管理過程中的數(shù)據(jù)控制信息管理持續(xù)改進(jìn)的數(shù)據(jù)控制和信息管理要求。第6部分?jǐn)?shù)據(jù)分析管理。目的在于確立適用于海關(guān)實(shí)驗(yàn)室數(shù)字化建設(shè)和管理過程中的數(shù)據(jù)分析基本要求數(shù)據(jù)分析指標(biāo)管理數(shù)據(jù)分析過程數(shù)據(jù)分析技術(shù)與方法數(shù)據(jù)分析結(jié)果應(yīng)用的數(shù)據(jù)分析管理要求。第7部分服務(wù)方管理。目的在于確立適用于海關(guān)實(shí)驗(yàn)室數(shù)字化建設(shè)和管理過程中的服務(wù)方選擇服務(wù)過程管理服務(wù)評(píng)價(jià)與持續(xù)改進(jìn)關(guān)鍵點(diǎn)控制服務(wù)方管理數(shù)字化的服務(wù)方管理要求。第8部分安全管理。目的在于確立適用于海關(guān)實(shí)驗(yàn)室數(shù)字化建設(shè)和管理過程中的實(shí)驗(yàn)室常規(guī)安全網(wǎng)絡(luò)安全系統(tǒng)安全和數(shù)據(jù)安全管理的安全管理要求。ⅡT海關(guān)實(shí)驗(yàn)室數(shù)字化管理規(guī)范第8部分安全管理范圍本文件規(guī)定了海關(guān)實(shí)驗(yàn)室數(shù)字化過程中的安全管理要求本文件適用于海關(guān)實(shí)驗(yàn)室數(shù)字化建設(shè)和管理過程中的實(shí)驗(yàn)室常規(guī)安全網(wǎng)絡(luò)安全系統(tǒng)安全和數(shù)據(jù)安全管理。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中注日期的引用文件僅該日期對(duì)應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于本文件。實(shí)驗(yàn)室生物安全通用要求檢測實(shí)驗(yàn)室安全第1部分總則海關(guān)信息化術(shù)語1海關(guān)實(shí)驗(yàn)室數(shù)字化管理規(guī)范第1部分總則術(shù)語和定義8和1界定的術(shù)語和定義適用于本文件總體原則海關(guān)實(shí)驗(yàn)室宜建立安全體系保障生產(chǎn)安全生物安全質(zhì)量安全和數(shù)據(jù)安全海關(guān)實(shí)驗(yàn)室數(shù)字化過程中的安全管理可包括實(shí)驗(yàn)室常規(guī)安全網(wǎng)絡(luò)安全系統(tǒng)安全和數(shù)據(jù)安全管理。安全管理實(shí)驗(yàn)室常規(guī)安全實(shí)驗(yàn)室的設(shè)備設(shè)施環(huán)境人員和生產(chǎn)過程安全應(yīng)遵守T中第5章的要求涉及實(shí)驗(yàn)室生物安全通用要求應(yīng)遵守9的規(guī)定。實(shí)驗(yàn)室宜使用安全管理相關(guān)信息系統(tǒng)保障實(shí)驗(yàn)室管理的相關(guān)安全管理規(guī)定的規(guī)范有效實(shí)施和落地從人員設(shè)備設(shè)施樣品試劑耗材檢驗(yàn)過程等方面實(shí)現(xiàn)實(shí)驗(yàn)室日常安全管理應(yīng)急處置管理生產(chǎn)安全管理和質(zhì)量安全管理。實(shí)驗(yàn)室應(yīng)保持常態(tài)化關(guān)注實(shí)驗(yàn)室安全相關(guān)的法律法規(guī)規(guī)章和政府部門規(guī)定及時(shí)更新管理制度并嚴(yán)格執(zhí)行。1T網(wǎng)絡(luò)安全實(shí)驗(yàn)室應(yīng)遵守海關(guān)網(wǎng)絡(luò)安全相關(guān)管理規(guī)定明確網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)機(jī)構(gòu)和部門職責(zé)分工實(shí)驗(yàn)室應(yīng)利用技術(shù)手段監(jiān)測記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)和網(wǎng)絡(luò)安全事件定期開展安全檢測防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)侵入等危害海關(guān)網(wǎng)絡(luò)安全的行為。實(shí)驗(yàn)室應(yīng)建立網(wǎng)絡(luò)安全應(yīng)急管理工作機(jī)制并發(fā)布應(yīng)急預(yù)案明確網(wǎng)絡(luò)安全事件處理流程職責(zé)和人員加強(qiáng)網(wǎng)絡(luò)安全應(yīng)急力量建設(shè)和應(yīng)急資源儲(chǔ)備應(yīng)定期組織應(yīng)急演練。實(shí)驗(yàn)室宜定期開展實(shí)驗(yàn)室人員的網(wǎng)絡(luò)安全教育培訓(xùn)并對(duì)網(wǎng)絡(luò)安全相關(guān)崗位人員加強(qiáng)網(wǎng)絡(luò)安全技能培訓(xùn)。實(shí)驗(yàn)室應(yīng)在內(nèi)網(wǎng)對(duì)外接入局域網(wǎng)互聯(lián)網(wǎng)間進(jìn)行隔離和訪問控制不同等級(jí)網(wǎng)絡(luò)安全域間應(yīng)當(dāng)采取嚴(yán)格的訪問控制措施和邊界防護(hù)手段。實(shí)驗(yàn)室信息系統(tǒng)用戶應(yīng)當(dāng)簽訂網(wǎng)絡(luò)安全承諾書承諾遵守網(wǎng)絡(luò)安全管理制度及相關(guān)安全規(guī)范不得破壞實(shí)驗(yàn)室信息系統(tǒng)的安全穩(wěn)定運(yùn)行不得發(fā)布或者傳播法律行政法規(guī)海關(guān)及本實(shí)驗(yàn)室規(guī)定禁止發(fā)布或者傳播的信息不得盜取數(shù)據(jù)破壞系統(tǒng)不得非法出售或者非法向他人提供關(guān)鍵敏感信息或數(shù)據(jù)。實(shí)驗(yàn)室采購重要網(wǎng)絡(luò)產(chǎn)品或者服務(wù)時(shí)應(yīng)要求服務(wù)方簽訂安全保密協(xié)議明確要求不得設(shè)置惡意程序或者后門不得泄露擴(kuò)散轉(zhuǎn)讓建設(shè)服務(wù)過程中獲知的海關(guān)相關(guān)信息承擔(dān)漏洞修復(fù)等安全保密責(zé)任義務(wù)并對(duì)責(zé)任義務(wù)履行情況進(jìn)行監(jiān)督。系統(tǒng)安全信息系統(tǒng)建設(shè)應(yīng)遵守海關(guān)安全開發(fā)規(guī)范信息系統(tǒng)開發(fā)測試環(huán)境與實(shí)際運(yùn)行環(huán)境應(yīng)物理分離加強(qiáng)信息系統(tǒng)開發(fā)環(huán)境安全管理應(yīng)根據(jù)信息系統(tǒng)安全等級(jí)要求建立信息系統(tǒng)身份認(rèn)證和權(quán)限控制機(jī)制根據(jù)權(quán)限或保密的級(jí)別選擇合適的身份認(rèn)證手段并做好范圍期限權(quán)限的授權(quán)管理授權(quán)人員變更管理海關(guān)單位外部人員授權(quán)管理。定期對(duì)信息系統(tǒng)賬號(hào)的管理及使用情況進(jìn)行檢查。信息系統(tǒng)上線運(yùn)行前應(yīng)通過代碼安全審查漏洞掃描及惡意代碼檢測并要求系統(tǒng)建設(shè)服務(wù)方提供安全檢測報(bào)告軟件源代碼測試或者維護(hù)接口清單等內(nèi)容。應(yīng)定期進(jìn)行信息系統(tǒng)的漏洞掃描和配置核查及時(shí)處置存在的高風(fēng)險(xiǎn)漏洞和嚴(yán)重配置問題嚴(yán)格限制存在高風(fēng)險(xiǎn)漏洞和嚴(yán)重配置問題的信息系統(tǒng)和信息化設(shè)備上線運(yùn)行。數(shù)據(jù)安全實(shí)驗(yàn)室應(yīng)建立覆蓋數(shù)據(jù)采集存儲(chǔ)傳輸使用處理和銷毀等實(shí)驗(yàn)室數(shù)據(jù)全生命周期的數(shù)據(jù)安全管理體系防范和控制數(shù)據(jù)安全風(fēng)險(xiǎn)采取科學(xué)有效的技術(shù)手段和組織措施保障數(shù)據(jù)安全。應(yīng)對(duì)信息系統(tǒng)使用產(chǎn)生的介質(zhì)或數(shù)據(jù)進(jìn)行安全存儲(chǔ)管理注意防火防高溫防震防磁防靜電及防盜。應(yīng)按海關(guān)數(shù)據(jù)安全相關(guān)管理規(guī)定對(duì)數(shù)據(jù)進(jìn)行分級(jí)分類并根據(jù)實(shí)際情況的變化及時(shí)對(duì)數(shù)據(jù)級(jí)別進(jìn)行調(diào)整并建立嚴(yán)格的保密保管制度。應(yīng)定義數(shù)據(jù)備份策略實(shí)施數(shù)據(jù)備份管理適宜時(shí)定期進(jìn)行備份恢復(fù)測試以確保系統(tǒng)出現(xiàn)數(shù)據(jù)誤刪除病毒感染自然災(zāi)害等故障后能夠及時(shí)恢復(fù)數(shù)據(jù)保證系統(tǒng)運(yùn)行。應(yīng)對(duì)檢測報(bào)告等系統(tǒng)中的敏感數(shù)據(jù)關(guān)鍵信息進(jìn)行數(shù)據(jù)加密管理。例如采用電子簽名技術(shù)確保數(shù)據(jù)的合法性和完整性。應(yīng)當(dāng)對(duì)互聯(lián)網(wǎng)傳入的文件進(jìn)行安全檢測與控制并進(jìn)行日志記錄防范惡意