T_TAF 101.3-2021 冷链物流可信溯源服务技术要求 第3部分：信息系统安全.docxVIP

ICS33.050CCSM30

团体标准

T/TAF101.3-2021

T/TAF101.3-2021

2021-12-13发布2021-12-13实施

电信终端产业协会发布

I

T/TAF101.3-2021

目次

前言 II

引言 III

1范围 1

2规范性引用文件 1

3术语和定义 1

4缩略语 1

5信息系统安全要求 2

5.1鉴权与安全防护要求 2

5.2软件安全要求 2

5.3数据安全要求 3

5.4通信安全要求 3

5.5个人隐私信息安全要求 3

5.6系统审计安全要求 3

附录A（规范性）冷链物流追溯信息内容 5

附录B（规范性）特定物品冷链物流追溯信息内容 6

T/TAF101.3-2021

II

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由电信终端产业协会提出并归口。

本文件起草单位：百度在线网络技术（北京）有限公司、中国信息通信研究院、联想（北京）有限公司、郑州信大捷安信息技术股份有限公司、四川长虹电子控股集团有限公司、青岛海信通信有限公司。

本文件主要起草人：王海棠、郭建领、吴月升、国炜、徐晓娜、李汝鑫、林巍巍、康亮、刘献伦、刘为华、黄德俊、罗阿文、郑梁、高仁忠。

T/TAF101.3-2021

III

引言

信息系统是冷链业务信息流的关键载体，从企业核心的企业资源计划（ERP）系统到过程管理的订单管理系统（OMS）、仓库管理系统（WMS）、运输管理系统（TMS）与结算管理系统（BMS），信息系统对冷链物流业务起着非常重要的支撑作用。但冷链物流是长链条场景，在整个作业过程中会涉及多类数据的存储与访问需求，更会对接不同厂商、不同品牌、不同语言、不同架构、不同服务目标的信息系统，因此为完善冷链物流长链条服务的可拓展性、流畅性、流转数据的安全性以及提供完整的信息可溯源目标，就需要规范和约束数据传输、存储、访问、共享的技术要求，落实冷链物流过程中数据产生到消亡的安全管控，实现可鉴权、可接入、可存储、可查询、可留痕、可分析、可共享的管理目的。

因此，建议开展信息系统安全要求标准的立项，且该标准会作为冷链物流可信溯源服务技术系列规范的一部分，完善标准体系化建设。

本文件作为冷链可信溯源服务技术系列规范的一部分，旨在对冷链物流过程中涉及到的信息系统的通用安全技术要求进行约束，主要包括鉴权与安全防护要求、软件安全要求、数据安全要求、通信安全要求、个人隐私信息安全要求、系统审计安全要求六个技术安全要求。

T/TAF101.3-2021

1

冷链物流可信溯源服务技术要求第3部分：信息系统安全

1范围

本文件规定了冷链物流可信溯源技术服务的信息系统（如ERP、OMS、WMS、TMS等）在鉴权接入、软件系统、数据、通信及个人隐私方面的安全要求。

本文件适用于冷链物流技术服务提供商规范信息系统安全防护能力，也适用于冷链物流运营者、第三方评估机构对信息系统安全防护能力进行评估时参考。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB/T

18354-2006

物流术语

GB/T

21028-2007

信息安全技术服务器安全技术要求

GB/T

22240-2008

信息系统

GB/T

28577-2012

冷链物流分类与基本要求

GB/T

28843-2012

食品冷链物流追溯管理要求

GB/T

35273-2020

信息安全技术个人信息安全规范

GB/T

38155-2019

重要产品追溯追溯术语

GB/T

38674-2020

信息安全技术应用软件安全编程指南

GB/T

39786-2021

信息安全技术信息系统密码应用基本要求

3术语和定义

GB/T18354-2006和GB/T39786-2021界定的以及下列术语和定义适用于本文件。

3.1

冷链物流coldchainlogistics

以冷冻工艺为基础、制冷技术为手段，使冷链物品从生产、流通、销售到消费者的各个环节中始终处于规定的温度环境下以保证冷链物品质量，减少冷链物品损耗的物流活动。

[来