10.5　安全管理

總體要求參照GB/T 22081、GB/T 20269中的相關要求。

安全策略宜采用但不限于以下措施：
a) 管理層制定清晰的策略方向，策略文檔說明管理承諾，并提出管理信息安全的途徑。
b) 對涉及整個電子商務系統安全的關鍵策略要由管理層批準，進行統一管理，同時建立策略變更審批制度。

機構和人員管理宜采用但不限于以下措施：
a) 嚴格選拔網上交易人員，落實工作責任制。
b) 建立信息安全專職管理隊伍，配備足夠的安全管理人員，信息安全管理人員需經過安全培訓才能上崗。

安全管理制度宜采用但不限于以下措施：
a) 建立電子商務系統網絡、系統、應用等各層面的安全管理制度。包括對信息系統規劃、建設、運行、維護各個階段的安全管理。
b) 建立網絡系統的日常維護制度。日常維護包括網絡設備、服務器和客戶機、通信線路、支撐軟件、應用軟件等日常管理和維護。

建立電子商務系統日志機制，用來記錄系統運行的全過程。包括建立安全保護技術措施，保留用戶注冊信息以及修改歷史記錄，保留用戶登錄（登錄時間、登錄IP）、信息發布等日志信息，保留交易列表、交互信息及交互對象用戶列表等。

有信息審核制度，對在所提供服務范圍內的用戶發布的信息進行逐條審核，實行先審后發等措施，包括但不限于：經常對系統日志進行檢查和審核，及時發現系統故意入侵行為和違反系統安全功能的記錄，監控和捕捉各種安全事件，保存、維護和管理系統日志。

系統運行可能會因為自然或人為的原因遭破壞，制訂相應問題處理的應急方案，主要包括系統備份和系統恢復以及法律證據收集等。系統定期對數據進行完全備份，定期建立包括應用系統以及操作系統等在內的完整鏡像，同時定期對數據做增量備份。具體可參照附錄C。

本文章首發在網安wangan.com 網站上。

暫無個人描述~

點贊