GB/T 40640.2-2021 化学品管理信息化 第2部分：信息安全

ICS 71
CCS G07
中华人民共和国国家标雅
GB/T40640.2—2021
化学品管理信息化
第2部分：信息安全
Informationalized management of chemicals-Part 2:Information security

2021-10-11发布 2022-05-01实施
国家市场监督管理总局 国家标准化管理委员会 发布

1范围
本文件规定了化学品管理信息化信息安全的基本要求和技术要求。
本文件适用于化学品管理信息化的信息安全管理。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T2887计算机场地通用规范
GB/T5271.8信息技术词汇第8部分：安全
GB17859计算机信息系统安全保护等级划分准则
GB/T20269信息安全技术信息系统安全管理要求
GB/T20270信息安全技术网络基础安全技术要求
GB/T21052信息安全技术信息系统物理安全技术要求
GB/T22080信息技术安全技术信息安全管理体系要求
GB/T22240信息安全技术网络安全等级保护定级指南
GB/T30283信息安全技术
信息安全服务分类
3术语和定义
GB/T5271.8、GB17859界定的以及下列术语和定义适用于本文件。

3.1
访问控制access control
按确定的规则，对实体之间的访问活动进行控制、防止未授权使用资源的安全机制。
3.2
令牌tokens
由系统创建的包含登录进程返回的安全标识符和由本地安全策略分配给用户和用户的安全组的特权列表。
4基本要求
4.1安全目标
4.1.1应通过整体安全体系规划，综合运用各种安全技术和手段，从侵害程度、侵害对象两个方面划分
化学品信息管理系统的信息安全等级，其安全要求应不低于对应安全等级应符合GB17859和GB/T22240的规定。
4.1.2在化学品信息采集、信息存储、信息加工、信息交换、信息应用、信息消亡过程中应研究目标化学

品的信息安全特征，确定相对应的安全目标，分为静态安全目标和动态安全目标。
4.1.3静态安全目标保证系统实体平台安全，应包括整个系统的物理环境、系统软硬件结构和可用的信息资源。
4.1.4动态安全目标保障系统的软环境安全，应包括安全管理、安全服务、安全意识和人员的安全专业素质。
4.2安全体系
信息安全体系应包括：
a)安全管理：建立信息安全管理相关的制度和规定，实现管理上的安全；
b)安全服务：建立信息安全体系不仅应依靠现有的安全机制和设备，还应全方位地提供各类安全服务；
c)数据安全：保证数据库的安全和数据本身及网络传输安全；
d)应用系统安全：系统内部的应用安全，是系统实现时最被关注的部分；
e)软件平台安全：保证软件平台系统（如操作系统和应用系统基础服务软件等）安全；
f)网络安全：把被保护的网络从自由开放、无边界的环境中独立出来，使网络成为可控制、可管理的内部系统；
g)物理安全：从物理上保证系统设备的安全。

投稿会员：芳华