电子商务安全政策与评估措施

在安全评估的基础上产生了电子商务的安全政策，安全政策包括以下几个方面。

1.电子商务信息系统安全等级的分类

虽然不存在一个普遍适用的电子商务系统信息安全解决方案和措施，但是基本安全措施和要求是相同的。企业对信息的保密程度是分级的（绝密、机密和秘密），电子商务系统对用户操作权限也是分级的（面向个人和面向群组）。在电子商务建设和运行管理过程中，必须根据电子商务安全需求的特点，正确处理资源投入、系统效能和安全目标三者之间的关系，对电子商务信息系统的安全等级进行分类。针对不同级别商务信息系统所需要保护的信息资产的重要程度，采取不同的安全措施。

2.与安全等级相应的安全措施的要求

不同的电子商务应用系统，对于安全的要求是不同的。根据不同的安全等级，基本的安全措施和安全技术主要有认证、访问控制、加密、数据完整性、不可否认性等5种。至于这些安全技术如何应用，在什么条件下使用取决于不同的应用环境和系统的安全需求。

3.对参与系统开发和运行的企业的要求

国家对从事企业信息安全系统建设的单位有严格的资质管理制度，电子商务系统安全工程的承建单位必须取得国家相关主管部门颁发的相关资质。承建单位内部应建立完善的质量保证体系，以保证电子商务系统安全工程的实施和完成后的质量。在实施过程中，应该严格执行电子商务安全工程监理与质量控制，确保电子商务系统安全的可信度。因为一个不可信的信息安全系统比没有信息安全系统对电子商务的危害更大。(www.xing528.com)

4.系统安全的审计规定

安全审计是电子商务系统的重要环节之一，全面的安全审计应当包括多个方面、多个层次，不是靠一套简单产品就能够全面覆盖的。因此，需要制定电子商务系统安全的审计规定，明确审计的内容和方法。首先要把握和控制好数据的来源，例如，来自网络数据的截获；来自系统、网络、防火墙、中间件等的日志；嵌入模块，主动收集系统内部事件；通过网络主动访问，获取信息；来自应用系统、安全系统等的信息。其次，制定分析评判异常、违规的依据，增加审计的深度。

5.安全问题的报告制度和程序

制定安全问题的报告制度和程序，以便及时研究对策，改进安全措施，一方面可以避免以后不再发生类似的安全问题，另一方面也为及时查找安全漏洞、完善安全机制、查找审计线索、追究责任提供了基础和保证。安全问题报告制度有两种，一种是定期的，如每天、每周报告，另一种是紧急情况报告。报告的程序也分为常规和紧急，以便快速响应安全事件。

6.紧急情况的处理和应急措施

应当制定电子商务系统出现安全问题时的应急处理预案，同时制定应急措施和处理程序，以便在出现重大的安全事故时，尽快恢复系统数据，使损失降至最低，保证电子商务系统信息的机密性和完整性。