书 书 书犐犆犛 ７１ 犆犆犛犌 ０７ 中华人民共和国国家标准 犌犅 ／ 犜 ４０６４０ ． ２ — ２０２１ 化学品管理信息化 　 第 ２ 部分 ： 信息安全 犐狀犳狅狉犿犪狋犻狅狀犪犾犻狕犲犱犿犪狀犪犵犲犿犲狀狋狅犳犮犺犲犿犻犮犪犾狊 — 犘犪狉狋 ２ ： 犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔 ２０２１  １０  １１ 发布 ２０２２  ０５  ０１ 实施 国家市场监督管理总局 国家标准化管理委员会 发布书 书 书前 　　 言 　　 本文件按照 ＧＢ ／ Ｔ１．１ — ２０２０ 《 标准化工作导则 　 第 １ 部分 ： 标准化文件的结构和起草规则 》 的规定起草 。 本文件是 ＧＢ ／ Ｔ４０６４０ 《 化学品管理信息化 》 的第 ２ 部分 。 ＧＢ ／ Ｔ４０６４０ 《 化学品管理信息化 》 已经发布了以下部分 ： ——— 第 １ 部分 ： 数据交换 ； ——— 第 ２ 部分 ： 信息安全 ； ——— 第 ３ 部分 ： 电子标签应用 ； ——— 第 ４ 部分 ： 化学品定位系统通用规范 ； ——— 第 ５ 部分 ： 化学品数据中心 。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别专利的责任 。 本文件由全国危险化学品管理标准化技术委员会 （ ＳＡＣ ／ ＴＣ２５１ ） 提出并归口 。 本文件起草单位 ： 中国化工经济技术发展中心 、 中华人民共和国合肥海关 、 安徽省征信股份有限公司 、 合肥诚益信息科技有限公司 、 重庆知行数联智能科技有限责任公司 、 中国石油化工股份有限公司青岛安全工程研究院 、 青岛卫戈斯供应链管理有限公司 、 上海化工院检测有限公司 、 广东宏川智慧物流股份有限公司 、 中山市利达斯供应链管理有限公司 、 佛山小林智慧科技发展有限公司 、 江门市泽信润业科技有限公司 、 华峰集团有限公司 、 江阴澄星实业集团有限公司 、 国化低碳技术工程中心 、 生态环境部固体废物与化学品管理技术中心 。 本文件主要起草人 ： 刘振 、 盛旋 、 周典兵 、 郑平 、 俞阳国 、 商照聪 、 温涛 、 张蕾 、 孙昊 、 刘建围 、 杨杰群 、 傅强 、 包剑 、 施红勋 、 冷 /G21 源 、 周荃 、 曹梦然 、 林海川 、 赖博 、 雷初泽 、 黄贤业 、 王波 。 Ⅰ 犌犅 ／ 犜 ４０６４０ ． ２ — ２０２１ 引 　　 言 　　 信息化是实现化学品管理现代化的重要手段 。 随着物联网及大数据应用技术的发展 ， 现代信息技术的应用为提升管理效率 、 促进信息共享 、 消除管理盲区 、 有效遏制化学品事故发生提供了技术支撑 。 在这方面 ， 我国已经建立了化学品管理信息化的国家标准体系 。 在该标准体系中 ， ＧＢ ／ Ｔ４０６４０ 《 化学品管理信息化 》 是规范我国相关机构从事化学品管理信息化系统建设开发活动时的方法和依据 ， 拟由五部分构成 ， 目的在于确立实施化学品管理信息数据交换 、 维护信息安全 、 电子标签应用 、 定位系统应用以及化学品数据中心建设时的方法和依据 。 ——— 第 １ 部分 ： 数据交换 ； ——— 第 ２ 部分 ： 信息安全 ； ——— 第 ３ 部分 ： 电子标签应用 ； ——— 第 ４ 部分 ： 化学品定位系统通用规范 ； ——— 第 ５ 部分 ： 化学品数据中心 。 本文件是 ＧＢ ／ Ｔ４０６４０ 《 化学品管理信息化 》 的第 ２ 部分 。 信息安全是实现管理信息化的基础 ， 有效的信息安全管理可以提高信息化管理系统的隐私性 、 真实性 、 完整性 、 可用性 ， 避免对系统服务连续性产生不利影响 。 本次制定对化学品管理信息化有关的信息安全要求进行了详细的规定 ， 以更好的规范和促进化学品管理信息化系统相关建设 。 Ⅱ 犌犅 ／ 犜 ４０６４０ ． ２ — ２０２１ 化学品管理信息化 　 第 ２ 部分 ： 信息安全 １ 　 范围 本文件规定了化学品管理信息化信息安全的基本要求和技术要求 。 本文件适用于化学品管理信息化的信息安全管理 。 ２ 　 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。 其中 ， 注日期的引用文件 ， 仅该日期对应的版本适用于本文件 ； 不注日期的引用文件 ， 其最新版本 （ 包括所有的修改单 ） 适用于本文件 。 ＧＢ ／ Ｔ２８８７ 　 计算机场地通用规范 ＧＢ ／ Ｔ５２７１．８ 　 信息技术 　 词汇 　 第 ８ 部分 ： 安全 ＧＢ１７８５９ 　 计算机信息系统 　 安全保护等级划分准则 ＧＢ ／ Ｔ２０２６９ 　 信息安全技术 　 信息系统安全管理要求 ＧＢ ／ Ｔ２０２７０ 　 信息安全技术 　 网络基础安全技术要求 ＧＢ ／ Ｔ２１０５２ 　 信息安全技术 　 信息系统物理安全技术要求 ＧＢ ／ Ｔ２２０８０ 　 信息技术 　 安全技术 　 信息安全管理体系 　 要求 ＧＢ ／ Ｔ２２２４０ 　 信息安全技术 　 网络安全等级保护定级指南 ＧＢ ／ Ｔ３０２８３ 　 信息安全技术 　 信息安全服务 　 分类 ３ 　 术语和定义 ＧＢ ／ Ｔ５２７１．８ 、 ＧＢ１７８５９ 界定的以及下列术语和定义适用于本文件 。 ３ ． １ 访问控制 　 犪犮犮犲狊狊犮狅狀狋狉狅犾 按确定的规则 ， 对实体之间的访问活动进行控制 、 防止未授权使用资源的安全机制 。 ３ ． ２ 令牌 　 狋狅犽犲狀狊 由系统创建的包含登录进程返回的安全标识符和由本地安全策略分配给用户和用户的安全组的特权列表 。 ４ 　 基本要求 ４ ． １ 　 安全目标 ４ ． １ ． １ 　 应通过整体安全体系规划 ， 综合运用各种安全技术和手段 ， 从侵害程度 、 侵害对象两个方面划分化学品信息管理系统的信息安全等级 ， 其安全要求应不低于对应安全等级应符合 ＧＢ１７８５９ 和 ＧＢ ／ Ｔ２２２４０ 的规定 。 ４ ． １ ． ２ 　 在化学品信息采集 、 信息存储 、 信息加工 、 信息交换 、 信息应用 、 信息消亡过程中应研究目标化学 １ 犌犅 ／ 犜 ４０６４０ ． ２ — ２０２１ 品的信息安全特征 ， 确定相对应的安全目标 ， 分为静态安全目标和动态安全目标 。 ４ ． １ ． ３ 　 静态安全目标保证系统实体平台安全 ， 应包括整个系统的物理环境 、 系统软硬件结构和可用的信息资源 。 ４ ． １ ． ４ 　 动态安全目标保障系统的软环境安全 ， 应包括安全管理 、 安全服务 、 安全意识和人员的安全专业素质 。 ４ ． ２ 　 安全体系 信息安全体系应包括 ： ａ ） 　 安全管理 ： 建立信息安全管理相关的制度和规定 ， 实现管理上的安全 ； ｂ ） 　 安全服务 ： 建立信息安全体系不仅应依靠现有的安全机制和设备 ， 还应全方位地提供各类安全服务 ； ｃ ） 　 数据安全 ： 保证数据库的安全和数据本身及网络传输安全 ； ｄ ） 　 应用系统安全 ： 系统内部的应用安全 ， 是系统实现时最被关注的部分 ； ｅ ） 　 软件平台安全 ： 保证软件平台系统 （ 如操作系统和应用系统基础服务软件等 ） 安全 ； ｆ ） 　 网络安全 ： 把被保护的网络从自由开放 、 无边界的环境中独立出来 ， 使网络成为可控制 、 可管理的内部系统 ； ｇ ） 　 物理安全 ： 从物理上保证系统设备的安全 。 ４ ． ３ 　 安全管理 ４ ． ３ ． １ 　 化学品信息管理系统和监管平台应建立一套完善的安全管理方案 ， 并贯穿信息安全的各层次 ， 包括安全制度管理和安全目标管理 。 ４ ． ３ ． ２ 　 应从建立完善机房管理 、 网络管理 、 数据管理 、 设备管理 、 应急处理 、 人员管理 、 技术资料管理等方面加强安全制度管理 。 ４ ． ３ ． ３ 　 应按照资源管理目标 ， 对信息系统涉及的物理资源 、 网络资源 、 信息资源实施统一的资源分配 ， 并根据资源重要程度确定安全等级和安全管理范围 。 ４ ． ３ ． ４ 　 应按照 ＧＢ ／ Ｔ２０２６９ 和 ＧＢ ／ Ｔ２２０８０ 的要求 ， 安排专门人员负责以保证安全管理制度实施 。 ４ ． ３ ． ５ 　 应展开对最新安全技术的跟踪研究 ， 加强安全技术进行交流 、 探讨 ， 优化安全管理策略 。 ４ ． ３ ． ６ 　 应加强与已有的防火墙 、 防病毒 、 数据备份等安全设施的紧密配合 。 ４ ． ４ 　 安全服务 ４ ． ４ ． １ 　 安全服务应包括安全咨询 、 安全工程实施 、 安全技术培训和安全维护 ， 应符合 ＧＢ ／ Ｔ３０２８３ 的要求 。 ４ ． ４ ． ２ 　 信息安全不是安全产品的简单集合 ， 而是一项系统工程并有其专业体系 ， 应采用先进科学的知识结构进行全面细致地把握 。 ４ ． ４ ． ３ 　 信息安全系统存在固有弱点 ， 即使最微小的安全漏洞都可能引发整个网络系统的崩溃 。 且系统安全只是暂时的 、 静态的 ， 应通过持续全面的安全服务进行加强 。 ５ 　 技术要求 ５ ． １ 　 物理安全 ５ ． １ ． １ 　 根据不同的目标对象 ， 物理安全包括 ： ａ ） 　 环境安全 ， 对系统所在环境的安全保护 ， 如区域保护和灾难保护 ； ｂ ） 　 设备安全 ， 主要包括设备的防盗 、 防毁 、 防电磁信息辐射泄漏 、 防止线路截获 、 抗电磁干扰及电 ２ 犌犅 ／ 犜 ４０６４０ ． ２ — ２０２１ 源保护 ； ｃ ） 　 媒介安全 ， 包括媒介本身的安全及媒介数据的安全 。 ５ ． １ ． ２ 　 环境安全应符合 ＧＢ