ICS03.120.20 CCSA00 中华人民共和国出入境检验检疫行业标准 SN/T5562.8—2023 海关实验室数字化管理规范 第8部分:安全管理 Managementspecificationsofcustomslaboratorydigitalization— Part8:Securitymanagement 2023-12-29发布 2024-07-01实施 中华人民共和国海关总署发布前 言 本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 本文件是SN/T5562《海关实验室数字化管理规范》的第8部分。SN/T5562已经发布了以下 部分: ———第1部分:总则; ———第2部分:组织管理; ———第3部分:数据管理; ———第4部分:架构管理; ———第5部分:数据控制和信息管理; ———第6部分:数据分析管理; ———第7部分:服务方管理; ———第8部分:安全管理。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中华人民共和国海关总署提出并归口。 本文件起草单位:广州海关技术中心、漳州海关综合技术服务中心、番禺职业技术学院、北京三维天 地科技股份有限公司、中国电子口岸数据中心广州分中心、深圳海关信息中心、广州海成电子科技有限 公司。 本文件主要起草人:张彦彬、陈泳、刘世明、苏杨、李静、周锦顺、李志勇、刘丹、席静、林子旭、林俊伟、 朱亚丰、熊猛杰、包先雨、陈炳颖、何王福、郑俊超、梁茵茵。 ⅠSN/T5562.8—2023引 言 为规范海关实验室数字化管理,提高实验室的数字化管理水平,拟制定SN/T5562《海关实验室数 字化管理规范》推动海关实验室数字化管理的规范化,确立适用于海关实验室数字化建设和管理的原则 和要求,拟由八个部分构成。 ———第1部分:总则。目的在于确立适用于海关实验室数字化建设和管理的总体原则和要求。 ———第2部分:组织管理。目的在于确立适用于海关实验室数字化建设和管理过程中的组织建设、 组织结构管理、人员管理的组织管理要求。 ———第3部分:数据管理。目的在于确立适用于海关实验室数字化建设和管理过程中的数据编码、 数据分类、数据交换、数据存储及维护的数据管理要求。 ———第4部分:架构管理。目的在于确立适用于海关实验室数字化建设和管理过程中的可为未来 一定时期内各种资源和信息系统建设提供整体性、长期性的发展规划建议和指导的架构管理 要求。 ———第5部分:数据控制和信息管理。目的在于确立适用于海关实验室数字化建设和管理过程中 的数据控制、信息管理、持续改进的数据控制和信息管理要求。 ———第6部分:数据分析管理。目的在于确立适用于海关实验室数字化建设和管理过程中的数据 分析基本要求、数据分析指标管理、数据分析过程、数据分析技术与方法、数据分析结果应用的 数据分析管理要求。 ———第7部分:服务方管理。目的在于确立适用于海关实验室数字化建设和管理过程中的服务方 选择、服务过程管理、服务评价与持续改进、关键点控制、服务方管理数字化的服务方管理 要求。 ———第8部分:安全管理。目的在于确立适用于海关实验室数字化建设和管理过程中的实验室常 规安全、网络安全、系统安全和数据安全管理的安全管理要求。 ⅡSN/T5562.8—2023海关实验室数字化管理规范 第8部分:安全管理 1 范围 本文件规定了海关实验室数字化过程中的安全管理要求。 本文件适用于海关实验室数字化建设和管理过程中的实验室常规安全、网络安全、系统安全和数据 安全管理。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB19489 实验室 生物安全通用要求 GB/T27476.1—2014 检测实验室安全 第1部分:总则 HS/T22—2018 海关信息化术语 SN/T5562.1 海关实验室数字化管理规范 第1部分:总则 3 术语和定义 GB19489、GB/T27476.1、HS/T22—2018和SN/T5562.1界定的术语和定义适用于本文件。 4 总体原则 海关实验室宜建立安全体系,保障“生产安全、生物安全、质量安全和数据安全”。海关实验室数字 化过程中的安全管理,可包括实验室常规安全、网络安全、系统安全和数据安全管理。 5 安全管理 5.1 实验室常规安全 5.1.1 实验室的设备、设施、环境、人员和生产过程安全应遵守GB/T27476.1—2014中第5章的要 求,涉及实验室生物安全通用要求应遵守GB19489的规定。 5.1.2 实验室宜使用安全管理相关信息系统,保障实验室管理的相关安全管理规定的规范有效实施和 落地,从人员、设备设施、样品、试剂耗材、检验过程等方面实现实验室日常安全管理、应急处置管理、生 产安全管理和质量安全管理。 5.1.3 实验室应保持常态化关注实验室安全相关的法律、法规、规章和政府部门规定,及时更新管理制 度并严格执行。 1SN/T5562.8—20235.2 网络安全 5.2.1 实验室应遵守海关网络安全相关管理规定,明确网络安全工作领导机构和部门职责分工。 5.2.2 实验室应利用技术手段监测、记录网络运行状态和网络安全事件,定期开展安全检测,防范计算 机病毒和网络攻击、网络侵入等危害海关网络安全的行为。 5.2.3 实验室应建立网络安全应急管理工作机制并发布应急预案,明确网络安全事件处理流程、职责 和人员,加强网络安全应急力量建设和应急资源储备,应定期组织应急演练。 5.2.4 实验室宜定期开展实验室人员的网络安全教育培训,并对网络安全相关岗位人员加强网络安全 技能培训。 5.2.5 实验室应在内网、对外接入局域网、互联网间进行隔离和访问控制,不同等级网络安全域间应当 采取严格的访问控制措施和边界防护手段。 5.2.6 实验室信息系统用户应当签订网络安全承诺书,承诺遵守网络安全管理制度及相关安全规 范,不得破坏实验室信息系统的安全稳定运行,不得发布或者传播法律、行政法规、海关及本实验室规定 禁止发布或者传播的信息,不得盗取数据、破坏系统,不得非法出售或者非法向他人提供关键敏感信息 或数据。 5.2.7 实验室采购重要网络产品或者服务时,应要求服务方签订安全保密协议,明确要求不得设置恶 意程序或者后门,不得泄露、扩散、转让建设服务过程中获知的海关相关信息,承担漏洞修复等安全保密 责任义务,并对责任义务履行情况进行监督。 5.3 系统安全 5.3.1 信息系统建设应遵守海关安全开发规范。 5.3.2 信息系统开发测试环境与实际运行环境应物理分离,加强信息系统开发环境安全管理。 5.3.3 应根据信息系统安全等级要求,建立信息系统身份认证和权限控制机制,根据权限或保密的级 别选择合适的身份认证手段,并做好范围、期限权限的授权管理,授权人员变更管理,海关单位外部人员 授权管理。定期对信息系统账号的管理及使用情况进行检查。 5.3.4 信息系统上线运行前应通过代码安全审查、漏洞扫描及恶意代码检测,并要求系统建设服务方 提供安全检测报告、软件源代码、测试或者维护接口清单等内容。应定期进行信息系统的漏洞扫描和配 置核查,及时处置存在的高风险漏洞和严重配置问题,严格限制存在高风险漏洞和严重配置问题的信息 系统和信息化设备上线运行。 5.4 数据安全 5.4.1 实验室应建立覆盖数据采集、存储、传输、使用、处理和销毁等实验室数据全生命周期的数据安 全管理体系,防范和控制数据安全风险,采取科学有效的技术手段和组织措施保障数据安全。 5.4.2 应对信息系统使用、产生的介质或数据进行安全存储管理,注意防火、防高温、防震、防磁、防静 电及防盗。 5.4.3 应按海关数据安全相关管理规定,对数据进行分级分类,并根据实际情况的变化及时对数据级 别进行调整,并建立严格的保密保管制度。 5.4.4 应定义数据备份策略,实施数据备份管理,适宜时定期进行备份恢复测试,以确保系统出现数据 误删除、病毒感染、自然灾害等故障后能够及时恢复数据,保证系统运行。 5.4.5 应对检测报告等系统中的敏感数据、关键信息,进行数据加密管理。例如,采用电子签名技术确 保数据的合法性和完整性。应当对互联网传入的文件进行安全检测与控制,并进行日志记录,防范恶意 代码攻击。对已发生信息安全问题的信息系统,应重新评估对应系统的实验室检测数据结果。 5.4.6 适宜时,实验室可开放公众访问数据,如服务指南、信息公示、检测进度查询、证书报告真伪查询 2SN/T5562.8—2023等,开放应符合相应法律法规和海关的信息发布有关规定。 5.4.7 数据导出应进行事前审批,数据的所有新增、查询、修改、导入、导出应保留日志记录,进行审计 跟踪。SN/T5562.8—2023