本文件起草單位通訊地址：沈鼓集團(tuán)股份有限公司(沈陽經(jīng)濟(jì)技術(shù)開發(fā)區(qū)開發(fā)大路16號甲)；聯(lián)系

電話

II

DB2101/T0080—2023

企業(yè)商業(yè)秘密信息化安全防護(hù)規(guī)范

1范圍

本文件規(guī)定了企業(yè)商業(yè)秘密信息化安全防護(hù)體系的機(jī)構(gòu)職責(zé)、策略與制度、技術(shù)要求、建設(shè)管理、

運(yùn)維管理、安全事件處置與應(yīng)急管理。

本文件適用于企業(yè)商業(yè)秘密信息化安全防護(hù)體系的規(guī)劃、建設(shè)、運(yùn)維與改進(jìn)管理，同時(shí)也可為機(jī)構(gòu)、

協(xié)會(huì)、科研院所等組織的商業(yè)秘密技術(shù)防護(hù)措施提供參考。主要用于有下列需求的企業(yè)：

a）建立商業(yè)秘密信息化安全防護(hù)體系；

b）運(yùn)行并持續(xù)改進(jìn)商業(yè)秘密信息化安全防護(hù)體系；

c）尋求外部組織對其商業(yè)秘密技術(shù)防護(hù)體系進(jìn)行評價(jià)。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T2887-2011計(jì)算機(jī)場地通用規(guī)范

GB/T9361-2011計(jì)算機(jī)場地安全要求

DB21/T3659-2022商業(yè)秘密保護(hù)管理規(guī)范

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1

商業(yè)秘密tradesecret

不為公眾所知悉，具有商業(yè)價(jià)值，并經(jīng)權(quán)利人采取相應(yīng)保密措施的技術(shù)信息、經(jīng)營信息等商業(yè)信息。

注：“不為公眾所知悉”“具有商業(yè)價(jià)值”“相應(yīng)保密措施”的具體內(nèi)容詳見《最高人民法院關(guān)于審理侵犯商業(yè)秘

密民事案件適用法律若干問題的規(guī)定》。

3.2

涉密設(shè)備confidentialdevice

釆集、存儲(chǔ)、處理、傳輸涉及企業(yè)商業(yè)秘密信息的各類設(shè)備。

3.3

涉密信息系統(tǒng)confidentialinformationsystem

由計(jì)算機(jī)及其相關(guān)和配套設(shè)施、設(shè)備構(gòu)成的，按照一定應(yīng)用目標(biāo)和規(guī)則存儲(chǔ)、處理、傳輸企業(yè)商業(yè)

秘密信息的系統(tǒng)。

1

DB2101/T0080—2023

3.4

涉密載體confidentialcarrier

以文字、數(shù)據(jù)、符號、圖形、圖像、視頻和音頻等方式記錄或存儲(chǔ)企業(yè)商業(yè)秘密信息的紙介質(zhì)、磁

介質(zhì)、光介質(zhì)以及半導(dǎo)體介質(zhì)等各類物品。

3.5

安全域securitydomain

由一組具有相同安全保護(hù)需求、并相互信任的信息系統(tǒng)、網(wǎng)絡(luò)及設(shè)備組成的邏輯區(qū)域。

3.6

涉密區(qū)域confidentialarea

企業(yè)內(nèi)產(chǎn)生、存儲(chǔ)、處理、傳輸涉及商業(yè)秘密信息的場所。

3.7

信息安全產(chǎn)品informationsecurityproducts

專門用于保障信息安全的軟件、硬件或其組合體。

4機(jī)構(gòu)與職責(zé)

4.1安全防護(hù)管理機(jī)構(gòu)

4.1.1組織設(shè)置與職責(zé)

4.1.1.1企業(yè)應(yīng)成立商業(yè)秘密信息化安全防護(hù)委員會(huì)，負(fù)責(zé)本單位商業(yè)秘密信息化安全防護(hù)體系規(guī)劃指

導(dǎo)與總體管理，其最高領(lǐng)導(dǎo)由單位主管信息安全的領(lǐng)導(dǎo)擔(dān)任或授權(quán)。

4.1.1.2企業(yè)應(yīng)設(shè)立商業(yè)秘密信息化安全防護(hù)管理工作的職能部門，負(fù)責(zé)本單位商業(yè)秘密信息化安全

防護(hù)體系建設(shè)實(shí)施和日常管理。

4.1.2崗位配置與職責(zé)

4.1.2.1企業(yè)應(yīng)設(shè)置專職或兼職信息安全與保密技術(shù)防護(hù)管理負(fù)責(zé)人崗位，并確定其職責(zé)。

4.1.2.2企業(yè)應(yīng)為各類涉密信息系統(tǒng)、信息安全產(chǎn)品設(shè)立信息安全保密管理崗位，包括：系統(tǒng)管理員、

安全保密員和安全審計(jì)員等崗位，并確定各個(gè)工作崗位的職責(zé)。

4.1.2.3對于涉及核心商業(yè)秘密（根據(jù)DB21/T3659商業(yè)秘密保護(hù)管理規(guī)范5.1.2條款確定密級，以下

相同）的涉密信息系統(tǒng)、信息安全產(chǎn)品，應(yīng)配備專職安全管理員，不可兼任。

4.1.3授權(quán)與審批

4.1.3.1企業(yè)應(yīng)對涉密信息系統(tǒng)和網(wǎng)絡(luò)的規(guī)劃、建設(shè)、變更等建立逐級審批程序，所有審批流程應(yīng)經(jīng)

過所在部門、商業(yè)秘密保護(hù)職能部門、商業(yè)秘密信息化安全防護(hù)委員會(huì)審批，明確各審批節(jié)點(diǎn)的審批人

員及審批權(quán)限，按照規(guī)定履行審批程序，并保存審批記錄。

4.1.3.2企業(yè)應(yīng)根據(jù)各個(gè)部門業(yè)務(wù)內(nèi)容和崗位職責(zé)確定具有的涉密信息系統(tǒng)、信息安全產(chǎn)品和網(wǎng)絡(luò)權(quán)

限，建立審批流程，所有審批流程應(yīng)經(jīng)過所在部門、商業(yè)秘密保護(hù)職能部門審批，明確各審批節(jié)點(diǎn)的審

批人員及審批權(quán)限，所有權(quán)限的賦予應(yīng)履行審批程序，并保存審批記錄。

2

DB2101/T0080—2023

4.1.3.3企業(yè)應(yīng)定期審查審批人員審批事項(xiàng)及審批權(quán)限使用情況，并在人員及權(quán)限變更時(shí)及時(shí)更新授權(quán)，

以確保審批過程的有效性和安全性。

4.1.3.4企業(yè)應(yīng)定期審查上述各類審批事項(xiàng)，保證各類審批程序按照要求執(zhí)行，對不符合要求的情況予

以整改。

4.1.4內(nèi)外部溝通和合作

4.1.4.1企業(yè)應(yīng)加強(qiáng)內(nèi)部與外部的溝通合作，按照國家政策法規(guī)、標(biāo)準(zhǔn)規(guī)范、行業(yè)發(fā)展趨勢和企業(yè)業(yè)務(wù)

發(fā)展情況，及時(shí)調(diào)整、改進(jìn)、完善商業(yè)秘密信息化安全防護(hù)體系，保障企業(yè)商業(yè)秘密安全。

4.1.4.2企業(yè)應(yīng)建立有效的內(nèi)部溝通機(jī)制，定期通過現(xiàn)場調(diào)研、問卷調(diào)查、座談、會(huì)議等方式，實(shí)現(xiàn)安

全管理部門與業(yè)務(wù)部門間的有效溝通。

4.1.4.3企業(yè)應(yīng)建立有效的外部交流與溝通機(jī)制，與政府部門、機(jī)構(gòu)、協(xié)會(huì)、科研院所、安全廠商等建

立指導(dǎo)、合作、產(chǎn)學(xué)研等工作模式，有效提升企業(yè)安全防護(hù)能力。

4.1.5檢查、考核與整改

4.1.5.1企業(yè)應(yīng)定期組織各類涉密信息系統(tǒng)、信息安全產(chǎn)品及網(wǎng)絡(luò)的安全保密檢查，檢查內(nèi)容包括各

類系統(tǒng)及網(wǎng)絡(luò)運(yùn)行情況、系統(tǒng)安全配置、系統(tǒng)及網(wǎng)絡(luò)權(quán)限、數(shù)據(jù)備份與恢復(fù)、系統(tǒng)漏洞發(fā)現(xiàn)與修復(fù)等。

4.1.5.2企業(yè)組織安全保密檢查應(yīng)制定并使用規(guī)范的檢查表，對檢查內(nèi)容、檢查時(shí)間、檢查人等進(jìn)行

記錄，匯總并形成檢查報(bào)告。

4.1.5.3企業(yè)應(yīng)對安全保密檢查中發(fā)現(xiàn)的問題和漏洞進(jìn)行閉環(huán)管理和控制，并由組織責(zé)任單位進(jìn)行問

題與漏洞的整改，形成整改結(jié)論與報(bào)告。

4.2信息安全保密管理人員

4.2.1人員錄用

4.2.1.1企業(yè)應(yīng)對信息安全保密管理人員（包括系統(tǒng)管理員、安全保密員、安全審計(jì)員及相關(guān)人員）的

錄用進(jìn)行必要的背景調(diào)查與專業(yè)素質(zhì)測評，包括對被錄用人員的教育背景、專業(yè)資格或資質(zhì)、從業(yè)經(jīng)歷、

與原單位簽訂保密協(xié)議及競業(yè)限制協(xié)議的情況、掌握原單位知識產(chǎn)權(quán)的情況等進(jìn)行審查，對其所具有的

專業(yè)技能進(jìn)行測評。

4.2.1.2企業(yè)應(yīng)與信息安全保密管理人員簽訂保密協(xié)議，保密協(xié)議應(yīng)明確保密內(nèi)容、保密權(quán)利和義務(wù)、

違約責(zé)任等。

4.2.2人員崗位變更與離職

4.2.2.1企業(yè)應(yīng)及時(shí)按照信息安全保密管理人員崗位職責(zé)權(quán)限的變更，及時(shí)調(diào)整信息安全保密管理人員

系統(tǒng)、網(wǎng)絡(luò)、硬件設(shè)備權(quán)限。

4.2.2.2信息安全保密管理人員離職時(shí)，企業(yè)應(yīng)與離職人員簽署競業(yè)限制協(xié)議后，及時(shí)收回離職信息安

全保密管理人員的系統(tǒng)、網(wǎng)絡(luò)權(quán)限，組織離職人員完成硬件設(shè)備與工作交接。

4.2.3安全意識教育和培訓(xùn)

企業(yè)應(yīng)定期制定信息安全保密管理人員的培訓(xùn)計(jì)劃，內(nèi)容包括安全保密技術(shù)知識、崗位技能、系統(tǒng)

和設(shè)備操作規(guī)程等培訓(xùn)項(xiàng)目，根據(jù)培訓(xùn)計(jì)劃定期對信息安全保密管理人員進(jìn)行安全保密意識教育和培訓(xùn)，

進(jìn)行培訓(xùn)效果評價(jià)以及考核；企業(yè)應(yīng)定期評估培訓(xùn)需求并更新培訓(xùn)計(jì)劃，以確保培訓(xùn)內(nèi)容與現(xiàn)行法律法

規(guī)、當(dāng)前安全技術(shù)和企業(yè)安全需求保持一致。

3

DB2101/T0080—2023

4.2.4外部人員管理

4.2.4.1企業(yè)應(yīng)建立外部人員訪問涉密區(qū)域、涉密信息系統(tǒng)、信息安全產(chǎn)品及網(wǎng)絡(luò)的審批流程，所有

外部人員訪問應(yīng)履行審批程序，對外部人員的物理訪問或網(wǎng)絡(luò)訪問進(jìn)行登記備案。

4.2.4.2對于涉及訪問涉密區(qū)域、涉密信息系統(tǒng)、信息安全產(chǎn)品及網(wǎng)絡(luò)的外部來訪人員，企業(yè)應(yīng)明確告

知其保密要求及義務(wù)。

4.2.4.3外部人員訪問涉密區(qū)域經(jīng)審核批準(zhǔn)后，應(yīng)由接待部門安排專人全程陪同，并應(yīng)對外部人員手

機(jī)、照相機(jī)、攝像機(jī)等攝錄像設(shè)備的使用進(jìn)行管理，保證其訪問行為的合規(guī)性。

4.2.4.4外部人員訪問涉密信息系統(tǒng)、信息安全產(chǎn)品或網(wǎng)絡(luò)經(jīng)審核批準(zhǔn)后，應(yīng)按照批復(fù)文件開通對應(yīng)賬

戶并設(shè)定權(quán)限，并通過技術(shù)手段記錄和監(jiān)督其訪問行為，訪問結(jié)束后應(yīng)及時(shí)注銷外部人員賬戶和權(quán)限。

4.2.4.5對于涉及核心商業(yè)秘密的涉密信息系統(tǒng)、信息安全產(chǎn)品或網(wǎng)絡(luò)，除國家政府部門監(jiān)督檢查、

系統(tǒng)運(yùn)維管理等情況外，應(yīng)拒絕參觀類訪問行為。

5策略與制度

5.1安全策略

企業(yè)應(yīng)根據(jù)商業(yè)秘密信息化安全防護(hù)體系建設(shè)需要，并充分考慮與企業(yè)戰(zhàn)略目標(biāo)的協(xié)同發(fā)展，制定

總體安全規(guī)劃及安全策略，確定商業(yè)秘密信息化安全防護(hù)體系建設(shè)的基本原則、管控范圍與安全框架。

5.2管理制度

5.2.1企業(yè)應(yīng)建立覆蓋商業(yè)秘密信息化安全防護(hù)各方面的安全管理制度、操作規(guī)程，形成完備的管理制

度體系。

5.2.2安全管理制度應(yīng)覆蓋組織建設(shè)及職責(zé)分工、安全人員管理、物理環(huán)境安全管理、網(wǎng)絡(luò)安全管理、

主機(jī)安全管理、應(yīng)用安全管理、數(shù)據(jù)安全管理、應(yīng)急事件管理與處置等事項(xiàng)。

5.2.3安全操作規(guī)程應(yīng)覆蓋涉密信息系統(tǒng)、信息安全產(chǎn)品、網(wǎng)絡(luò)以及相關(guān)設(shè)備的操作規(guī)范、操作方法、

操作說明等事項(xiàng)。

5.3制定和發(fā)布

企業(yè)商業(yè)秘密信息化安全防護(hù)管理職能部門負(fù)責(zé)安全管理制度的制定，上報(bào)商業(yè)秘密信息化安全防

護(hù)委員會(huì)審批后予以發(fā)布執(zhí)行，并對安全管理制度的版本進(jìn)行記錄與控制。

5.4評審和修訂

企業(yè)商業(yè)秘密信息化安全防護(hù)管理職能部門應(yīng)定期對安全管理制度的全面性、合理性、適用性進(jìn)行

評估，充分征求企業(yè)內(nèi)部和外部利益相關(guān)方的意見和建議，組織進(jìn)行安全管理制度的制定、完善與修訂，

以適應(yīng)企業(yè)商業(yè)秘密信息化安全防護(hù)和業(yè)務(wù)實(shí)施的需要。

6技術(shù)要求

6.1物理環(huán)境安全

6.1.1物理位置及防護(hù)

4

DB2101/T0080—2023

企業(yè)對數(shù)據(jù)中心或機(jī)房的物理位置選擇和防震、防雷、防火、防水、防潮、防靜電、溫濕度控制、

電力供應(yīng)、電磁防護(hù)等技術(shù)防護(hù)措施應(yīng)符合GB/T2887-2011計(jì)算機(jī)場地通用規(guī)范、GB/T9361-2011計(jì)

算機(jī)場地安全要求標(biāo)準(zhǔn)中C級場地的要求，推薦企業(yè)按照該標(biāo)準(zhǔn)中B級場地要求執(zhí)行。

6.1.2物理空間訪問控制

6.1.2.1企業(yè)應(yīng)對數(shù)據(jù)中心或機(jī)房的出入口應(yīng)配置電子門禁系統(tǒng)或采用專人值守的方式，對出入數(shù)據(jù)

中心或機(jī)房的企業(yè)內(nèi)部授權(quán)人員進(jìn)行驗(yàn)證、登記，并對人員出入記錄進(jìn)行存檔備查。

6.1.2.2企業(yè)應(yīng)建立數(shù)據(jù)中心或機(jī)房設(shè)備進(jìn)出審批程序，所有設(shè)備的進(jìn)出應(yīng)嚴(yán)格履行審批流程，應(yīng)對

設(shè)備的進(jìn)出情況進(jìn)行登記，并應(yīng)將設(shè)備出入記錄進(jìn)行存檔備查。

6.1.2.3企業(yè)應(yīng)在數(shù)據(jù)中心或機(jī)房的出入口及內(nèi)部安裝視頻監(jiān)控系統(tǒng)，對所有出入和內(nèi)部活動(dòng)進(jìn)行不

間斷地視頻錄制，歷史視頻保存期限應(yīng)不少于3個(gè)月。

6.1.2.4企業(yè)內(nèi)部臨時(shí)授權(quán)人員、外來人員進(jìn)入數(shù)據(jù)中心或機(jī)房，應(yīng)安排值守人員進(jìn)行全程陪同。

6.2網(wǎng)絡(luò)及邊界安全

6.2.1網(wǎng)絡(luò)架構(gòu)

6.2.1.1企業(yè)應(yīng)按照業(yè)務(wù)系統(tǒng)及技術(shù)防護(hù)軟硬件系統(tǒng)需要建設(shè)內(nèi)部網(wǎng)絡(luò)，并設(shè)置有合理的設(shè)備冗余，

保證網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備處理及吞吐能力可滿足業(yè)務(wù)和安全需要。

6.2.1.2企業(yè)應(yīng)按照業(yè)務(wù)、安全等方面劃分不同的網(wǎng)絡(luò)區(qū)域，可將企業(yè)內(nèi)部網(wǎng)絡(luò)劃分為業(yè)務(wù)系統(tǒng)區(qū)、

安全管理區(qū)、工控區(qū)、辦公區(qū)、外聯(lián)區(qū)、無線網(wǎng)絡(luò)區(qū)、其他區(qū)域等不同的安全域，并按照便于管理和控

制的原則為各網(wǎng)絡(luò)區(qū)域分配地址。

6.2.1.3企業(yè)應(yīng)重點(diǎn)保障網(wǎng)絡(luò)區(qū)域的安全，不應(yīng)將網(wǎng)絡(luò)區(qū)域部署在網(wǎng)絡(luò)邊界處，企業(yè)內(nèi)網(wǎng)與外部網(wǎng)絡(luò)、

網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)隔離和防護(hù)手段。

6.2.1.4企業(yè)應(yīng)對涉及核心商業(yè)秘密的區(qū)域設(shè)置單獨(dú)的網(wǎng)絡(luò)區(qū)域，并采取可靠的技術(shù)隔離和防護(hù)手段。

6.2.2通信傳輸

企業(yè)應(yīng)采用符合國家標(biāo)準(zhǔn)要求的密碼技術(shù)，保證網(wǎng)絡(luò)通信過程中數(shù)據(jù)的完整性和保密性。

6.2.3邊界防護(hù)與訪問控制

6.2.3.1企業(yè)應(yīng)根據(jù)安全域劃分情況，明確各網(wǎng)絡(luò)區(qū)域邊界和訪問控制策略，采用技術(shù)手段進(jìn)行防護(hù)，

根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，對跨網(wǎng)絡(luò)邊界的訪問和數(shù)據(jù)流進(jìn)行控制和驗(yàn)證。

6.2.3.2企業(yè)應(yīng)采用必要的技術(shù)手段對接入內(nèi)網(wǎng)的設(shè)備進(jìn)行可信驗(yàn)證，可采用InternetProtocol（簡稱

“IP”）和MediaAccessControlAddress（簡稱“MAC地址”）綁定、用戶賬號密碼認(rèn)證等方式進(jìn)行驗(yàn)

證。

6.2.3.3企業(yè)應(yīng)采用必要的技術(shù)手段對內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)的行為進(jìn)行可信驗(yàn)證，可采用IP認(rèn)證、

用戶賬號密碼認(rèn)證等方式進(jìn)行驗(yàn)證。

6.2.3.4企業(yè)應(yīng)限制無線網(wǎng)絡(luò)的使用，無線網(wǎng)絡(luò)應(yīng)通過受控的邊界設(shè)備且經(jīng)過可信驗(yàn)證后接入內(nèi)部網(wǎng)絡(luò)。

6.2.3.5企業(yè)應(yīng)采用必要的技術(shù)手段對外網(wǎng)訪問內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行可信驗(yàn)證，通過VirtualPrivate

Network（簡稱“VPN”）、零信任等遠(yuǎn)程訪問系統(tǒng)對該類行為進(jìn)行管理和控制。

6.2.3.6企業(yè)應(yīng)采用必要的技術(shù)手段對非授權(quán)設(shè)備私自接入內(nèi)部網(wǎng)絡(luò)或內(nèi)部非授權(quán)用戶聯(lián)到外部網(wǎng)絡(luò)

的行為進(jìn)行檢測與監(jiān)控，可以定位出具體位置，并對該類行為進(jìn)行有效阻斷。

5

DB2101/T0080—2023

6.2.3.7對于涉及核心商業(yè)秘密的網(wǎng)絡(luò)區(qū)域，企業(yè)應(yīng)采用物理或邏輯隔離的方式實(shí)現(xiàn)網(wǎng)絡(luò)區(qū)域與其它

區(qū)域之間的網(wǎng)絡(luò)隔離，對于網(wǎng)絡(luò)邊界和網(wǎng)絡(luò)區(qū)域間訪問采取加強(qiáng)型技術(shù)防護(hù)措施。

6.2.4入侵和惡意代碼防范

6.2.4.1企業(yè)應(yīng)采用必要的技術(shù)手段對內(nèi)網(wǎng)與外網(wǎng)相鄰邊界網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行檢測與監(jiān)控，防止或限制從

外部發(fā)起的網(wǎng)絡(luò)攻擊、惡意代碼注入、垃圾郵件等行為。

6.2.4.2企業(yè)應(yīng)采用必要的技術(shù)手段對內(nèi)網(wǎng)各安全域邊界網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行檢測與監(jiān)控，防止或限制從內(nèi)

部發(fā)起的網(wǎng)絡(luò)攻擊行為網(wǎng)絡(luò)攻擊、惡意代碼注入、垃圾郵件等行為。

6.2.4.3企業(yè)應(yīng)采取技術(shù)措施對入侵、惡意代碼、垃圾郵件等網(wǎng)絡(luò)行為進(jìn)行記錄與分析，對網(wǎng)絡(luò)攻擊

行為進(jìn)行報(bào)警與處置。

6.2.5安全審計(jì)

6.2.5.1企業(yè)應(yīng)對各類網(wǎng)絡(luò)訪問和網(wǎng)絡(luò)設(shè)備日志進(jìn)行存檔，保存時(shí)限不低于6個(gè)月。

6.2.5.2企業(yè)應(yīng)制定對網(wǎng)絡(luò)的安全審計(jì)規(guī)則，定期對各類網(wǎng)絡(luò)進(jìn)行安全審計(jì)，包括內(nèi)網(wǎng)訪問行為、外

網(wǎng)遠(yuǎn)程訪問內(nèi)網(wǎng)行為、內(nèi)網(wǎng)訪問互聯(lián)網(wǎng)行為等，并形成審計(jì)記錄，審計(jì)記錄應(yīng)進(jìn)行存檔備查。

6.3主機(jī)、應(yīng)用、數(shù)據(jù)安全

6.3.1身份鑒別

6.3.1.1企業(yè)應(yīng)建立身份鑒別機(jī)制，包括身份鑒別信息、復(fù)雜度要求、定期更換要求等，對登錄涉密

主機(jī)、涉密信息系統(tǒng)及數(shù)據(jù)庫的用戶進(jìn)行身份鑒別，至少采用口令方式進(jìn)行身份鑒別。

6.3.1.2企業(yè)應(yīng)設(shè)置涉密信息系統(tǒng)及安全防護(hù)軟硬件系統(tǒng)口令規(guī)則，口令長度應(yīng)至少8位以上，采用數(shù)

字、大小寫英文字母、特殊字符中兩種或兩種以上組合方式設(shè)置口令，口令中不得包含賬號、生日等特

殊信息。用戶應(yīng)對默認(rèn)口令進(jìn)行及時(shí)變更，口令應(yīng)定期進(jìn)行更換，普通用戶口令更換時(shí)限不得長于6個(gè)

月，管理用戶口令更換時(shí)限不得長于3個(gè)月，對于未更換的用戶應(yīng)采用技術(shù)手段強(qiáng)制更換口令。

6.3.1.3涉密信息系統(tǒng)及安全防護(hù)類軟硬件系統(tǒng)應(yīng)開啟登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會(huì)話、限

制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出、鎖定賬戶等相關(guān)措施。

6.3.1.4對于涉及核心商業(yè)秘密的主機(jī)、涉密信息系統(tǒng)應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種

以上組合的鑒別技術(shù)對用戶進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實(shí)現(xiàn)。

6.3.2訪問控制

6.3.2.1企業(yè)應(yīng)根據(jù)部門業(yè)務(wù)范圍及員工崗位職責(zé)，對員工分配賬戶和權(quán)限，賬戶應(yīng)保證唯一性，避

免共享賬戶的存在。

6.3.2.2涉密信息系統(tǒng)用戶賬號和權(quán)限的申請應(yīng)建立審批程序，經(jīng)批準(zhǔn)后賦予用戶對應(yīng)的權(quán)限，權(quán)限

應(yīng)滿足最小化原則。

6.3.2.3企業(yè)應(yīng)定期對賬戶信息進(jìn)行清查，及時(shí)禁用、注銷或刪除離職人員賬戶、測試賬戶、臨時(shí)賬

戶等無用賬戶。

6.3.2.4企業(yè)應(yīng)根據(jù)服務(wù)器、涉密信息系統(tǒng)、安全防護(hù)軟硬件系統(tǒng)的管理用戶按照角色分配權(quán)限，管

理用戶授權(quán)應(yīng)經(jīng)過商業(yè)秘密信息化安全防護(hù)管理工作的職能部門批準(zhǔn)，應(yīng)授予管理用戶所需的最小權(quán)限，

實(shí)現(xiàn)管理用戶的權(quán)限分離。

6.3.2.5企業(yè)應(yīng)建立主機(jī)端軟件白名單或黑名單，采取必要的技術(shù)手段對主機(jī)的軟件安裝和使用進(jìn)行控

制。

6

DB2101/T0080—2023

6.3.2.6企業(yè)應(yīng)采用必要技術(shù)手段對主機(jī)端用戶行為進(jìn)行監(jiān)控，對用戶操作行為進(jìn)行監(jiān)控，對違規(guī)行

為進(jìn)行阻斷。

6.3.2.7對于涉及核心商業(yè)秘密的主機(jī)、涉密信息系統(tǒng)應(yīng)采用加強(qiáng)訪問控制，不可直接接入外部網(wǎng)絡(luò)

或由外部網(wǎng)絡(luò)遠(yuǎn)程進(jìn)行訪問。

6.3.3安全審計(jì)

6.3.3.1企業(yè)應(yīng)對各類涉密信息系統(tǒng)、安全防護(hù)軟硬件系統(tǒng)日志和用戶操作日志進(jìn)行存檔，保存時(shí)限不

低于6個(gè)月。

6.3.3.2企業(yè)應(yīng)建立對于主機(jī)、應(yīng)用、數(shù)據(jù)的安全審計(jì)規(guī)則，由審計(jì)管理員根據(jù)系統(tǒng)日志、用戶操作日

志對系統(tǒng)管理員、安全管理員及用戶的操作行為等進(jìn)行全面的審計(jì)，并形成審計(jì)記錄，審計(jì)記錄應(yīng)進(jìn)行

存檔備查。

6.3.4入侵和惡意代碼防范

6.3.4.1企業(yè)應(yīng)加強(qiáng)主機(jī)的管理，遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，關(guān)閉不需要的

系統(tǒng)服務(wù)、默認(rèn)共享和高危端口。

6.3.4.2企業(yè)應(yīng)加強(qiáng)涉密信息系統(tǒng)、安全防護(hù)軟硬件系統(tǒng)的管理，按照應(yīng)用需要設(shè)置系統(tǒng)參數(shù)和策略，

關(guān)閉不需要的功能組件、高危端口。

6.3.4.3企業(yè)應(yīng)在主機(jī)上安裝必要的防病毒及防入侵軟件，識別、記錄、告警并處置各類入侵和病毒

行為，有效的阻斷病毒或惡意代碼入侵。

6.3.4.4企業(yè)應(yīng)采用必要的技術(shù)防護(hù)手段定期對主機(jī)、各類涉密信息系統(tǒng)、安全防護(hù)軟硬件系統(tǒng)進(jìn)行

漏洞掃描，對發(fā)現(xiàn)的漏洞進(jìn)行評估后，采用合理的方式修復(fù)或防護(hù)漏洞。

6.3.5數(shù)據(jù)完整性與保密性

6.3.5.1企業(yè)應(yīng)按照國家數(shù)據(jù)安全法律法規(guī)及標(biāo)準(zhǔn)規(guī)范要求，對各類數(shù)據(jù)進(jìn)行分類分級，明確涉及商

業(yè)秘密的數(shù)據(jù)的管控規(guī)則，對不同數(shù)據(jù)設(shè)定不同的授權(quán)訪問機(jī)制，對于涉密數(shù)據(jù)的知悉范圍和訪問權(quán)限

應(yīng)滿足最小化原則。

6.3.5.2企業(yè)應(yīng)采用符合國家標(biāo)準(zhǔn)要求的密碼技術(shù)進(jìn)行加密，保證涉及商業(yè)秘密的數(shù)據(jù)在產(chǎn)生、傳輸、

存儲(chǔ)等全生命周期的完整性與保密性，包括但不限于鑒別數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、審計(jì)數(shù)據(jù)、配置數(shù)據(jù)、視頻

數(shù)據(jù)和個(gè)人信息等。

6.3.5.3企業(yè)應(yīng)采用必要的防泄漏技術(shù)手段進(jìn)行管控，并應(yīng)用數(shù)據(jù)脫敏技術(shù)將對外傳遞數(shù)據(jù)進(jìn)行脫密處

理。

6.3.6數(shù)據(jù)備份恢復(fù)

6.3.6.1企業(yè)應(yīng)建立數(shù)據(jù)備份與恢復(fù)機(jī)制，包括備份方式、備份周期、存儲(chǔ)介質(zhì)、保存期限等。

6.3.6.2企業(yè)應(yīng)對所有商業(yè)秘密數(shù)據(jù)進(jìn)行定期本地備份，并定期進(jìn)行備份恢復(fù)測試，保證備份數(shù)據(jù)的及

時(shí)性、可靠性、可用性，在異常情況下可有效恢復(fù)數(shù)據(jù)。

6.3.6.3企業(yè)應(yīng)根據(jù)數(shù)據(jù)的重要性和敏感性進(jìn)行分類備份，并對備份數(shù)據(jù)進(jìn)行分類管理。

6.3.6.4對于涉及核心商業(yè)秘密的數(shù)據(jù)，企業(yè)應(yīng)實(shí)行異地實(shí)時(shí)備份機(jī)制，利用網(wǎng)絡(luò)將重要數(shù)據(jù)實(shí)時(shí)備份

至備份場地。

6.3.7剩余信息保護(hù)

7

DB2101/T0080—2023

企業(yè)應(yīng)采用必要的技術(shù)手段或策略對鑒別信息及商業(yè)秘密數(shù)據(jù)所在的臨時(shí)緩沖存儲(chǔ)空間進(jìn)行完全

清除。

6.3.8個(gè)人信息保護(hù)

企業(yè)對個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等活動(dòng)，應(yīng)按照《中華人民

共和國個(gè)人信息保護(hù)法》等國家法律法規(guī)要求執(zhí)行。

7建設(shè)管理

7.1安全方案設(shè)計(jì)

企業(yè)應(yīng)制定商業(yè)秘密信息化安全防護(hù)體系規(guī)劃和方案，組織內(nèi)部或外部安全專家對規(guī)劃和方案的合

理性、適用性、合規(guī)性、經(jīng)濟(jì)型等進(jìn)行論證和評審，最后經(jīng)企業(yè)商業(yè)秘密信息化安全防護(hù)委員會(huì)批準(zhǔn)后

正式實(shí)施。

7.2產(chǎn)品或服務(wù)的選擇

7.2.1企業(yè)應(yīng)選擇具備資質(zhì)及技術(shù)能力的軟硬件產(chǎn)品或服務(wù)供應(yīng)商。

7.2.2企業(yè)應(yīng)按照國家法律法規(guī)、標(biāo)準(zhǔn)規(guī)范要求和行業(yè)發(fā)展趨勢，結(jié)合企業(yè)實(shí)際業(yè)務(wù)需求，制定安全

產(chǎn)品及服務(wù)供應(yīng)商評價(jià)標(biāo)準(zhǔn)，建立軟硬件產(chǎn)品或服務(wù)供應(yīng)商目錄，并定期對供應(yīng)商進(jìn)行評價(jià)。

7.2.3企業(yè)所選擇的軟硬件產(chǎn)品或服務(wù)應(yīng)獲得國家許可或認(rèn)證，且滿足企業(yè)業(yè)務(wù)及安全基本要求。

7.2.4企業(yè)采購軟硬件產(chǎn)品或服務(wù)應(yīng)進(jìn)行必要的測試，可自行測試或委托集成單位進(jìn)行專項(xiàng)測試，確定

其符合企業(yè)業(yè)務(wù)及安全實(shí)際需求。

7.2.5企業(yè)應(yīng)與軟硬件產(chǎn)品或服務(wù)供應(yīng)商簽訂保密協(xié)議，明確雙方的保密權(quán)利及義務(wù)。

7.3軟件開發(fā)

7.3.1企業(yè)應(yīng)建立軟件開發(fā)管理制度，明確軟件開發(fā)的立項(xiàng)、開發(fā)過程、測試、驗(yàn)收、上線等各環(huán)節(jié)的

管理。

7.3.2企業(yè)應(yīng)采用安全開發(fā)生命周期等方法，對軟件開發(fā)全過程實(shí)施安全管理。

7.3.3企業(yè)應(yīng)在軟件上線前，對軟件進(jìn)行功能和安全性測試，功能應(yīng)滿足業(yè)務(wù)需求，并對可能存在的

惡意代碼進(jìn)行必要的檢測。

7.3.4企業(yè)應(yīng)對軟件程序的修改、更新、發(fā)布進(jìn)行審批，并對軟件版本進(jìn)行控制。

7.3.5對于外包軟件開發(fā)，應(yīng)由開發(fā)單位提供軟件源代碼，企業(yè)應(yīng)從安全保密角度對軟件中可能存在

的后門和隱蔽信道等方面進(jìn)行審查，識別可能存在的問題或潛在風(fēng)險(xiǎn)。

7.3.6企業(yè)應(yīng)對已完成開發(fā)的軟件的業(yè)務(wù)符合性和安全性進(jìn)行測試和驗(yàn)收，并形成測試和驗(yàn)收報(bào)告。

7.4工程實(shí)施

企業(yè)應(yīng)由專門的部門或人員負(fù)責(zé)工程實(shí)施過程的管理，也可委托第三方工程監(jiān)理對項(xiàng)目的實(shí)施過程

進(jìn)行管理。

7.5系統(tǒng)交付與驗(yàn)收

7.5.1企業(yè)應(yīng)按合同及技術(shù)協(xié)議對系統(tǒng)進(jìn)行驗(yàn)收，包括對合同及技術(shù)協(xié)議內(nèi)約定的設(shè)備、軟件、文檔、

服務(wù)等進(jìn)行清點(diǎn)，并對軟件功能及安全性進(jìn)行測試，軟件驗(yàn)收應(yīng)形成驗(yàn)收報(bào)告。

8

DB2101/T0080—2023

7.5.2企業(yè)應(yīng)組織供應(yīng)商對負(fù)責(zé)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)。

7.5.3企業(yè)在系統(tǒng)交付和驗(yàn)收完成后，應(yīng)組織對技術(shù)防護(hù)體系進(jìn)行重新評估。

8運(yùn)維管理

8.1環(huán)境管理

企業(yè)應(yīng)指定專門的部門或人員定期對數(shù)據(jù)中心或機(jī)房的供配電、空調(diào)、溫濕度控制、消防等設(shè)施進(jìn)

行運(yùn)行與維護(hù)管理。

8.2資產(chǎn)管理

8.2.1企業(yè)應(yīng)建立資產(chǎn)清單，包括資產(chǎn)基本信息、責(zé)任部門、責(zé)任人、重要程度、涉密等級和所處位置

等內(nèi)容，并及時(shí)進(jìn)行更新。

8.2.2企業(yè)應(yīng)根據(jù)資產(chǎn)的重要程度對資產(chǎn)進(jìn)行標(biāo)識管理，并采取合理的管理措施，對于涉密設(shè)備及涉密

載體應(yīng)加強(qiáng)管理。

8.2.3涉密設(shè)備的銷毀應(yīng)履行審批程序，銷毀應(yīng)采用合理的技術(shù)手段清除涉及商業(yè)秘密的數(shù)據(jù)。

8.3存儲(chǔ)載體管理

8.3.1企業(yè)應(yīng)建立存儲(chǔ)載體清單，包括載體基本信息、責(zé)任部門、責(zé)任人、重要程度、涉密等級和所處

位置、保存期限等內(nèi)容，并進(jìn)行定期盤點(diǎn)與更新。

8.3.2企業(yè)應(yīng)將涉密載體存放在安全的環(huán)境中，采用合理技術(shù)或物理加密方式對涉密載體進(jìn)行加密，由

專人進(jìn)行管理，對各類涉密載體使用、傳遞應(yīng)進(jìn)行登記記錄。

8.3.3涉密載體的銷毀應(yīng)履行審批程序，銷毀應(yīng)采用合理的技術(shù)手段清除涉及商業(yè)秘密的數(shù)據(jù)。

8.4維護(hù)管理

8.4.1企業(yè)應(yīng)建立系統(tǒng)、設(shè)備、網(wǎng)絡(luò)維護(hù)的管理制度和操作規(guī)程，明確維護(hù)管理部門、人員、職責(zé)權(quán)限、

維護(hù)流程、操作方法等。

8.4.2企業(yè)維護(hù)管理部門應(yīng)指定專門人員按照管理制度和操作規(guī)程要求對各種設(shè)備、線路等進(jìn)行檢查與

維護(hù)管理，并對維護(hù)過程和結(jié)果進(jìn)行監(jiān)督。

8.4.3企業(yè)應(yīng)詳細(xì)記錄運(yùn)維操作日志，包括日常巡檢工作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容。

8.4.4企業(yè)應(yīng)規(guī)范運(yùn)維工具的使用，指定運(yùn)維工具的具體類別，遠(yuǎn)程運(yùn)維應(yīng)經(jīng)過審批并使用指定遠(yuǎn)程工

具軟件進(jìn)行運(yùn)維。

8.4.5企業(yè)如需將設(shè)備外送維修，應(yīng)履行審批程序，并由專人送至具備相關(guān)安全資質(zhì)的維修廠商或機(jī)構(gòu)

進(jìn)行修復(fù)。

8.4.6企業(yè)對于帶有存儲(chǔ)介質(zhì)的設(shè)備，在該設(shè)備報(bào)廢或重用前，應(yīng)采用合理的技術(shù)手段清除涉及商業(yè)秘

密的數(shù)據(jù)。

8.5漏洞與隱患管理

8.5.1企業(yè)應(yīng)