GBT 40640.2-2021 化学品管理信息化 第2部分 信息安全.pdf

书 书 书犐犆犛７１犆犆犛犌０７ 中华人民共和国国家标准犌犅／犜４０６４０．２—２０２１化学品管理信息化　第２部分：信息安全犐狀犳狅狉犿犪狋犻狅狀犪犾犻狕犲犱犿犪狀犪 犵犲犿犲狀狋狅犳犮犺犲犿犻犮犪犾狊—犘犪狉狋２：犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋 狔２０２１?１０?１１发布２０２２?０５?０１实施国家市场监督管理总局 国家标准化管理委员会发布 书 书 书 前　　言　　本文件按照ＧＢ／Ｔ１．１—２０２０《标准化工作导则　第１部分：标准化文件的结构和起草规则》的规定 起草。本文件是ＧＢ／Ｔ４０６４０《化学品管理信息化》的第２部分。ＧＢ／Ｔ４０６４０《化学品管理信息化》已经发 布了以下部分： ———第１部分：数据交换； ———第２部分：信息安全； ———第３部分：电子标签应用； ———第４部分：化学品定位系统通用规范； ———第５部分：化学品数据中心。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国危险化学品管理标准化技术委员会（ＳＡＣ／ＴＣ２５１）提出并归口。本文件起草单位：中国化工经济技术发展中心、中华人民共和国合肥海关、安徽省征信股份有限公 司、合肥诚益信息科技有限公司、重庆知行数联智能科技有限责任公司、中国石油化工股份有限公司青 岛安全工程研究院、青岛卫戈斯供应链管理有限公司、上海化工院检测有限公司、广东宏川智慧物流股 份有限公司、中山市利达斯供应链管理有限公司、佛山小林智慧科技发展有限公司、江门市泽信润业科 技有限公司、华峰集团有限公司、江阴澄星实业集团有限公司、国化低碳技术工程中心、生态环境部固体 废物与化学品管理技术中心。本文件主要起草人：刘振、盛旋、周典兵、郑平、俞阳国、商照聪、温涛、张蕾、孙昊、刘建围、杨杰群、傅强、包剑、施红勋、冷!源、周荃、曹梦然、林海川、赖博、雷初泽、黄贤业、王波。Ⅰ犌犅／犜４０６４０．２—２０２１ 引　　言　　信息化是实现化学品管理现代化的重要手段。随着物联网及大数据应用技术的发展，现代信息技 术的应用为提升管理效率、促进信息共享、消除管理盲区、有效遏制化学品事故发生提供了技术支撑。在这方面，我国已经建立了化学品管理信息化的国家标准体系。在该标准体系中，ＧＢ／Ｔ４０６４０《化学品管理信息化》是规范我国相关机构从事化学品管理信息化系 统建设开发活动时的方法和依据，拟由五部分构成，目的在于确立实施化学品管理信息数据交换、维护 信息安全、电子标签应用、定位系统应用以及化学品数据中心建设时的方法和依据。 ———第１部分：数据交换； ———第２部分：信息安全； ———第３部分：电子标签应用； ———第４部分：化学品定位系统通用规范； ———第５部分：化学品数据中心。本文件是ＧＢ／Ｔ４０６４０《化学品管理信息化》的第２部分。信息安全是实现管理信息化的基础，有效 的信息安全管理可以提高信息化管理系统的隐私性、真实性、完整性、可用性，避免对系统服务连续性产 生不利影响。本次制定对化学品管理信息化有关的信息安全要求进行了详细的规定，以更好的规范和 促进化学品管理信息化系统相关建设。Ⅱ犌犅／犜４０６４０．２—２０２１ 化学品管理信息化　第２部分：信息安全１　范围本文件规定了化学品管理信息化信息安全的基本要求和技术要求。本文件适用于化学品管理信息化的信息安全管理。２　规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件。ＧＢ／Ｔ２８８７　计算机场地通用规范ＧＢ／Ｔ５２７１．８　信息技术　词汇　第８部分：安全ＧＢ１７８５９　计算机信息系统　安全保护等级划分准则ＧＢ／Ｔ２０２６９　信息安全技术　信息系统安全管理要求ＧＢ／Ｔ２０２７０　信息安全技术　网络基础安全技术要求ＧＢ／Ｔ２１０５２　信息安全技术　信息系统物理安全技术要求ＧＢ／Ｔ２２０８０　信息技术　安全技术　信息安全管理体系　要求ＧＢ／Ｔ２２２４０　信息安全技术　网络安全等级保护定级指南ＧＢ／Ｔ３０２８３　信息安全技术　信息安全服务　分类３　术语和定义ＧＢ／Ｔ５２７１．８、ＧＢ１７８５９界定的以及下列术语和定义适用于本文件。３．１访问控制　犪犮犮犲狊狊犮狅狀狋狉狅犾按确定的规则，对实体之间的访问活动进行控制、防止未授权使用资源的安全机制。３．２令牌　狋狅犽犲狀狊由系统创建的包含登录进程返回的安全标识符和由本地安全策略分配给用户和用户的安全组的特 权列表。４　基本要求４．１　安全目标４．１．１　应通过整体安全体系规划，综合运用各种安全技术和手段，从侵害程度、侵害对象两个方面划分 化学品信息管理系统的信息安全等级，其安全要求应不低于对应安全等级应符合ＧＢ１７８５９和ＧＢ／Ｔ２２２４０的规定。４．１．２　在化学品信息采集、信息存储、信息加工、信息交换、信息