SNT5562.8-2023 海关实验室数字化管理规范第8部分安全管理

S中华人民共和国出入境检验检疫行业标T海关实验室数字化管理规范第8部分安全管理y9发 1实中华人民共和国海关总署发布T 本文件按标准化工作导则第1部分标准化文件的结构和起草规则的规定起草。本文件是海关实验室数字化管理规范的第8部分。T2已经发布了以下部分:第1部分总则第2部分组织管理第3部分数据管理第4部分架构管理第5部分数据控制和信息管理第6部分数据分析管理第7部分服务方管理第8部分安全管理请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中华人民共和国海关总署提出并归口。本文件起草单位广州海关技术中心漳州海关综合技术服务中心番禺职业技术学院北京三维天地科技股份有限公司中国电子口岸数据中心广州分中心深圳海关信息中心广州海成电子科技有限公司。本文件主要起草人张彦彬陈泳刘世明苏杨李静周锦顺李志勇刘丹席静林子旭林俊伟、朱亚丰熊猛杰包先雨陈炳颖何王福郑俊超梁茵茵。ⅠT 为规范海关实验室数字化管理提高实验室的数字化管理水平拟制定T海关实验室数字化管理规范推动海关实验室数字化管理的规范化确立适用于海关实验室数字化建设和管理的原则和要求拟由八个部分构成。第1部分总则。目的在于确立适用于海关实验室数字化建设和管理的总体原则和要求第2部分组织管理。目的在于确立适用于海关实验室数字化建设和管理过程中的组织建设组织结构管理人员管理的组织管理要求第3部分数据管理。目的在于确立适用于海关实验室数字化建设和管理过程中的数据编码数据分类数据交换数据存储及维护的数据管理要求第4部分架构管理。目的在于确立适用于海关实验室数字化建设和管理过程中的可为未来一定时期内各种资源和信息系统建设提供整体性长期性的发展规划建议和指导的架构管理要求。第5部分数据控制和信息管理。目的在于确立适用于海关实验室数字化建设和管理过程中的数据控制信息管理持续改进的数据控制和信息管理要求。第6部分数据分析管理。目的在于确立适用于海关实验室数字化建设和管理过程中的数据分析基本要求数据分析指标管理数据分析过程数据分析技术与方法数据分析结果应用的数据分析管理要求。第7部分服务方管理。目的在于确立适用于海关实验室数字化建设和管理过程中的服务方选择服务过程管理服务评价与持续改进关键点控制服务方管理数字化的服务方管理要求。第8部分安全管理。目的在于确立适用于海关实验室数字化建设和管理过程中的实验室常规安全网络安全系统安全和数据安全管理的安全管理要求。ⅡT海关实验室数字化管理规范第8部分安全管理范围本文件规定了海关实验室数字化过程中的安全管理要求本文件适用于海关实验室数字化建设和管理过程中的实验室常规安全网络安全系统安全和数据安全管理。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中注日期的引用文件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于本文件。实验室生物安全通用要求检测实验室安全第1部分总则海关信息化术语1海关实验室数字化管理规范第1部分总则术语和定义8和1界定的术语和定义适用于本文件总体原则海关实验室宜建立安全体系保障生产安全生物安全质量安全和数据安全海关实验室数字化过程中的安全管理可包括实验室常规安全网络安全系统安全和数据安全管理。安全管理实验室常规安全实验室的设备设施环境人员和生产过程安全应遵守T中第5章的要求涉及实验室生物安全通用要求应遵守9的规定。实验室宜使用安全管理相关信息系统保障实验室管理的相关安全管理规定的规范有效实施和落地从人员设备设施样品试剂耗材检验过程等方面实现实验室日常安全管理应急处置管理生产安全管理和质量安全管理。实验室应保持常态化关注实验室安全相关的法律法规规章和政府部门规定及时更新管理制度并严格执行。1T网络安全实验室应遵守海关网络安全相关管理规定明确网络安全工作领导机构和部门职责分工实验室应利用技术手段监测记录网络运行状态和网络安全事件定期开展安全检测防范计算机病毒和网络攻击网络侵入等危害海关网络安全的行为。实验室应建立网络安全应急管理工作机制并发布应急预案明确网络安全事件处理流程职责和人员加强网络安全应急力量建设和应急资源储备应定期组织应急演练。实验室宜定期开展实验室人员的网络安全教育培训并对网络安全相关岗位人员加强网络安全技能培训。实验室应在内网对外接入局域网互联网间进行隔离和访问控制不同等级网络安全域间应当采取严格的访问控制措施和边界防护手段。实验室信息系统用户应当签订网络安全承诺书承诺遵守网络安全管理制度及相关安全规范不得破坏实验室信息系统的安全稳定运行不得发布或者传播法律行政法规海关及本实验室规定禁止发布或者传播的信息不得盗取数据破坏系统不得非法出售或者非法向他人提供关键敏感信息或数据。实验室采购重要网络产品或者服务时应要求服务方签订安全保密协议明确要求不得设置恶意程序或者后门不得泄露扩散转让建设服务过程中获知的海关相关信息承担漏洞修复等安全保密责任义务并对责任义务履行情况进行监督。系统安全信息系统建设应遵守海关安全开发规范信息系统开发测试环境与实际运行环境应物理分离加强信息系统开发环境安全管理应根据信息系统安全等级要求建立信息系统身份认证和权限控制机制根据权限或保密的级别选择合适的身份认证手段并做好范围期限权限的授权管理授权人员变更管理海关单位外部人员授权管理。定期对信息系统账号的管理及使用情况进行检查。信息系统上线运行前应通过代码安全审查漏洞扫描及恶意代码检测并要求系统建设服务方提供安全检测报告软件源代码测试或者维护接口清单等内容。应定期进行信息系统的漏洞扫描和配置核查及时处置存在的高风险漏洞和严重配置问题严格限制存在高风险漏洞和严重配置问题的信息系统和信息化设备上线运行。数据安全实验室应建立覆盖数据采集存储传输使用处理和销毁等实验室数据全生命周期的数据安全管理体系防范和控制数据安全风险采取科学有效的技术手段和组织措施保障数据安全。应对信息系统使用产生的介质或数据进行安全存储管理注意防火防高温防震防磁防静电及防盗。应按海关数据安全相关管理规定对数据进行分级分类并根据实际情况的变化及时对数据级别进行调整并建立严格的保密保管制度。应定义数据备份策略实施数据备份管理适宜时定期进行备份恢复测试以确保系统出现数据误删除病毒感染自然灾害等故障后能够及时恢复数据保证系统运行。应对检测报告等系统中的敏感数据关键信息进行数据加密管理。例如采用电子签名技术确保数据的合法性和完整性。应当对互联网传入的文件进行安全检测与控制并进行日志记录防范恶意