《檢驗業(yè)務信息化安全管理規(guī)范》 編制說明

團體標準

《檢驗業(yè)務信息化安全管理規(guī)范》

編制說明

一、工作簡況

（一）任務來源

根據(jù)吉標協(xié)函[2023]09號“吉林省標準化協(xié)會關于發(fā)布《檢驗檢測機構樣品管理工作規(guī)

范》等15項團體標準立項公告”，吉林省標準化協(xié)會組織起草了計劃編號為：

T/JAS11-2023，計劃名稱為：檢驗檢測機構信息化安全管理規(guī)范的團體標準。在標準起草過

程中，因調(diào)整了標準適用范圍，因此標準名稱更改為：檢驗檢測機構檢驗業(yè)務信息化安全管

理規(guī)范。項目計劃完成時間為2023年12月。

（二）起草單位

本標準起草單位為：吉林省標準化協(xié)會

主要起草人：高明智、薛雪、劉化冰、張琳琳、張晶書、康文欣、賈俊、宮國強、呂航、

鄭丹丹、楊帆、李赫然、叢月梅、谷樂、臧英男。

二、制訂標準的必要性和目的

1、保障信息安全：隨著信息化建設的發(fā)展，信息安全問題逐漸成為關注的焦點。黑客攻

擊、病毒感染、員工誤操作等風險都可能對信息安全造成威脅。通過實施信息化安全管理，

可以有效地減少這些風險，保障核心數(shù)據(jù)和業(yè)務流程的安全。同時，規(guī)范的信息化安全管理

還可以避免企業(yè)因信息泄露、丟失、破壞等安全風險而造成的經(jīng)濟損失和社會影響。

2、提升形象：擁有完善的信息安全管理體系不僅能夠展示檢測機構的實力，還能夠在客

戶和合作伙伴心中樹立起良好的形象，增強競爭力。通過規(guī)范化的信息化安全管理，可以提

高信息安全管理的水平，增強客戶的信任度和合作伙伴的認可度，進一步提升形象。

3、避免法律風險：隨著信息安全法規(guī)的不斷完善，檢測機構必須遵守相關法規(guī)和規(guī)范，

否則可能會面臨罰款、訴訟甚至聲譽受損等風險。實施規(guī)范化的信息化安全管理，可以幫助

檢測機構符合相關法規(guī)和規(guī)范要求，避免法律風險。

4、提高運營效率：完善的信息安全管理體系可以提高信息系統(tǒng)的可靠性和穩(wěn)定性，減少

因信息安全問題導致的業(yè)務中斷和數(shù)據(jù)丟失，從而提高運營能力和效率。通過規(guī)范化的信息

化安全管理，可以優(yōu)化信息安全管理體系，提高信息安全管理的效率和效果，進而提高運營

效率。

5、培訓員工提高意識：信息安全不僅僅是技術問題，更是一個涉及全員的文化和道德問

題。通過規(guī)范化的信息化安全管理，可以更好地培訓員工提高信息安全意識，降低內(nèi)部員工

造成的安全風險。

綜上所述，規(guī)范化的信息化安全管理對于提高檢測機構的安全性和可信度、保護其核心

數(shù)據(jù)和業(yè)務流程、增強競爭力具有重要意義。因此，應該加強對信息化安全管理的規(guī)范化建

設，提高信息安全管理的水平，為日后的發(fā)展提供安全可靠的信息技術支持。

三、主要起草過程

根據(jù)任務要求，吉林省標準化協(xié)會于2023年8月初成立了標準編制工作組，組織標準編

制和協(xié)調(diào)工作。標準起草工作組制定了標準編制工作計劃，明確任務分工及各階段進度，收

集資料，開展調(diào)研，編寫大綱。同時標準起草工作組成員認真學習了GB/T1.1—2020《標準

化工作導則第1部分：標準化文件的結構和起草規(guī)則》、GB50174-2017《數(shù)據(jù)中心設計規(guī)

范》、GB/T25069-2022《信息安全技術術語》、GB/T20269-2006《信息安全技術信息系統(tǒng)

安全管理要求》、GB/T39204-2022《信息安全技術關鍵信息基礎設施安全保護要求》、GB/T

31496-2023《信息技術安全技術信息安全管理體系指南》，結合標準制定工作程序的各個環(huán)

節(jié)，進行了標準結構和內(nèi)容的探討和研究。

本標準征求了部分單位的意見，于11月27日形成最終征求意見稿。

四、制（修）訂標準的原則和依據(jù)，與現(xiàn)行法律、法規(guī)、標準的關系

本標準的制定工作遵循“科學性、統(tǒng)一性、協(xié)調(diào)性、適用性、一致性和規(guī)范性”的原則，

按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》給出的

規(guī)則進行編寫。

本標準引用了GB/T25069-2022《信息安全技術術語》、GB/T20269-2006《信息安全技

術信息系統(tǒng)安全管理要求》、GB/T39204-2022《信息安全技術關鍵信息基礎設施安全保護

要求》、GB/T31496-2023《信息技術安全技術信息安全管理體系指南》等推薦性國家標準，

并把相關要求納入了本標準中。

該項標準與現(xiàn)行法律、法規(guī)、標準保持協(xié)調(diào)一致、無沖突。

五、主要條款的說明，主要技術指標、參數(shù)、試驗驗證的論述

本標準主要內(nèi)容包括：范圍、規(guī)范性引用文件、術語和定義、概述、機房管理、設備管

理、網(wǎng)絡管理、計算機軟件管理、計算機數(shù)據(jù)管理、業(yè)務系統(tǒng)管理等十項。

（一）機房管理

本章參照了GB50174-2017《數(shù)據(jù)中心設計規(guī)范》的要求，對機房環(huán)境、布線、安全、人

員及機房設施等相關內(nèi)容進行了管理要求。

（二）設備管理

本章結合檢驗檢測機構實際工作流程和工作經(jīng)驗，對檢測機構中的計算機設備、檢驗設

備、網(wǎng)絡設備的使用、人員管理、維護、信息數(shù)據(jù)的安全、備份等相關方面做了詳細管理要

求。

（三）計算機軟件管理

本章結合檢驗檢測機構實際工作流程和工作經(jīng)驗，對檢測機構中的工具類軟件、統(tǒng)計軟件、

檢測/校準設備配套的專用微處理器和數(shù)據(jù)處理程序的使用要求、數(shù)據(jù)轉(zhuǎn)換、存儲，軟件變更、密

碼安全等相關方面做了詳細管理要求。

（四）計算機數(shù)據(jù)管理

本章結合檢驗檢測機構實際工作流程和工作經(jīng)驗，對檢測機構業(yè)務開展中，涉及到的檢

驗數(shù)據(jù)、記錄、文檔等相關數(shù)據(jù)的采集、傳輸、存儲等方面做了管理要求。

（五）業(yè)務系統(tǒng)管理

本章結合檢驗檢測機構實際工作流程和工作經(jīng)驗，對檢測機構中業(yè)務相關的系統(tǒng)平臺，

實驗室信息管理系統(tǒng)（Lims）和協(xié)同辦公系統(tǒng)（OA）的操作、需求、流程申請及數(shù)據(jù)保密方

面做了詳細的管理要求。

六、重大分歧意見的處理依據(jù)和結果

無

七、采用國際標準或國外先進標準的，說明采標程度，以及國內(nèi)外同類標準水平的對比

情況

本標準沒有采用國際標準或國外先進標準。

八、引用強制性標準或者推薦性標準的建議及其理由

本部分內(nèi)容按照GB/T1.1-2020《標準化工作導則第1部分：標準的結構和編寫》的要求

和規(guī)定編寫。

九、貫徹標準的措施建議內(nèi)容

本標準發(fā)布后，將在檢驗檢測機構進行全面宣傳和推廣使用，由本標準主要起草單位和

起草工作組進行標準的宣貫、講解和交流推廣。

十、預期效益分析

經(jīng)濟效益：規(guī)范化的檢驗業(yè)務信息化安全管理可以減少傳統(tǒng)管理模式中的人力和物力消

耗，降低檢驗成本和管理成本，提高企業(yè)的經(jīng)濟效益。

社會效益：擁有完善的信息安全管理體系不僅能夠展示檢測機構的實力，還能夠在客戶

和合作伙伴心中樹立起良好的形象，增強競爭力。通過規(guī)范化的信息化安全管理，可以提高

信息安全管理的水平，增強客戶的信任度和合作伙伴的認可度，進一步提升形象。

生態(tài)效益：通過規(guī)范化的信息化安全管理，可以實現(xiàn)對信息安全的全面監(jiān)控和管理，減

少信息安全風險和漏洞，提高信息安全水平，避免因信息安全事件而造成的經(jīng)濟損失和社會

影響。

完善的信息安全管理體系可以提高信息系統(tǒng)的可靠性和穩(wěn)定性，減少因信息安全問題導

致的業(yè)務中斷和數(shù)據(jù)丟失，從而提高運營能力和效率。

十一、參考文獻及其他需要說明的事項

參考文獻：國家相關標準

[1]GB50174-2017《數(shù)據(jù)中心設計規(guī)范》

[2]GB/T25069-2022《信息安全技術術語》

[3]GB/T20269-2006《信息安全技術信息系統(tǒng)安全管理要求》

[4]GB/T39204-2022《信息安全