ICS35.240.99 L 67 中华人民共和国国家标准 GB/T 36316—2018 电子商务平台数据开放 第三方软件提供商评价准则 Data openness for E-commerce platform- Third party software provider evaluation criteria 2018-10-01实施 2018-06-07发布 国家市场监督管理总局 发布 中国国家标准化管理委员会 GB/T36316—2018 目 次 前言 1 范围 2 规范性引用文件 3术语和定义、缩略语· 3.1术语和定义 3.2缩略语 4评价总体框架和评价指标 4.1 评价总体框架 4.2 评价模块和子模块表 5评价方法和结果表示 5.1 评价方法 5.2 评价方式 5.3 结果表示 6判定规则 6.1 功能实现评价模块 6.2 环境部署评价模块 6.3 使用指导评价模块 6.4 经营管理评价模块… 6.5 运维管理评价模块… 12 6.6 评价结论 评价报告 扩展原则与方法· 8 14 参考文献 SAC GB/T36316—2018 前言 本标准按照GB/T1.1—2009给出的规则起草 本标准由全国电子业务标准化技术委员会（SAC/TC83）提出并归口。 中心、任我行网络技术有限公司、上海百胜软件股份有限公司、北京淘宝科技有限公司、友盟同欣（北京） 科技有限公司、泉州市晋科技术检测有限公司、福州优之创科技有限公司、安徽艺标信息科技有限公司、 东莞快创信息科技有限公司、广东潮族实业有限公司、四川红世财智网络科技有限公司、成都口口鲜猫 信息技术有限公司。 本标准主要起草人：朱红儒、李克鹏、孙旭东、张弛、邓二平、张世长、咸奎桐、王志民、隋媛、李奕飞、 叶琳、韩桃玲、贾科、杨军、陈艳军、周悦、楼莉、张啸、程东、崔从俊、安伟、董丽、罗显发、柴治、郑伟山、 黄平。 GB/T363162018 电子商务平台数据开放 第三方软件提供商评价准则 1范围 本标准规定了电子商务平台数据开放中的第三方软件提供商评价的总体框架和评价指标、评价方 法、结果表示、判定规则、评价报告以及扩展原则与方法 本标准适用于对电子商务第三方软件提供商进行评价。 2规范性引用文件 2 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T18811—2012电子商务基本术语 GB/T35408一2017电子商务质量管理 ！术语 GB/T36318—2018电子商务平台数据开放 总体要求 3术语和定义、缩略语 3 3.1术语和定义 GB/T35408—2017、GB/T18811—2012和GB/T36318—2018界定的以及下列术语和定义适用 于本文件。 3.1.1 评价模块 evaluationmodule 用于测量第三方软件提供商特性、子特性或属性的评价技术包 注：包括评价方法和技术、评价的输入、待测量和待收集的数据以及支持规程和工具。 3.1.2 5evaluator 评价方 实施评价的个体或组织。 3.2 2缩略语 下列缩略语适用于本文件。 API：应用程序接口（ApplicationProgramInterface） ARP：地址解释协议（AddressResolutionProtocol) DDOS：分布式拒绝服务攻击（DistributedDenialofService） FTP：文件传输协议（FileTransferProtocol)） IP：互联网协议（InternetProtocol) SQL：结构化查询语言（StructuredQueryLanguage） VPN：虚拟专用网络（VirtualPrivateNetwork） 1 GB/T36316—2018 4评价总体框架和评价指标 4.1评价总体框架 评价总体框架应符合GB/T36318一2018中第6章的要求。 评价总体框架应包括技术要求评价和管理要求评价 技术要求的评价包括功能实现、环境部署、使用指导三个评价模块，具体解释如下： 功能进行评价； 环境部署评价模块是对第三方软件提供商需具备的第三方软件的部署环境进行评价； 使用指导评价模块是对第三方软件提供商需提供的对第三方软件的使用指导进行评价。 管理要求的评价包括经营管理和运维管理两个评价模块，具体解释如下： 经营管理评价模块是对第三方软件提供商在资质、经营、服务等方面进行评价； 运维管理评价模块是对第三方软件提供商需提供的对第三方软件的运维管理方面进行评价。 各个评价模块由若干个评价子模块以及评价内容构成，实际评价时不限于上述评价模块、评价子模 块和评价内容。 4.2评价模块和子模块表 评价模块和子模块及其评价条件见表1。 其中：必备项是指应对电子商务第三方软件提供商进行评价的项目；可选项是指对电子商务第三方 软件提供商进行评价时的项目；条件可选项是指在一定的条件下需要对电子商务第三方软件提供商进 行评价的项目，比如Web应用防护子模块，仅适用于提供Web应用软件的第三方软件提供商。 对于可选项的评价，不影响对电子商务第三方软件提供商的评价结果，会影响电子商务平台对电子 商务第三方软件提供商进行选择性的数据开放。第三方软件提供商对于可选项的支持程度越高，能从 电子商务平台获得的数据级别越高。 表1第三方软件提供商评价模块和子模块及其评价条件 评价类别 评价模块 评价子模块 评价条件 账号体系 必备项 账号口令 必备项 功能实现 会话及权限管理 必备项 审计管理 必备项 数据安全 必备项 服务器环境 必备项 技术要求 数据库环境 必备项 管理后台 必备项 主机系统配置 必备项 环境部署 软件系统配置 可选项 基础攻击防御 可选项 入侵检测 可选项 Web应用防护 条件可选项 2 GB/T36316—2018 表1 (续) 评价类别 评价模块 评价子模块 评价条件 系统提示 必备项 技术要求 使用指导 用户手册 评价可选项 资质要求 必备项 经营管理 经营要求 必备项 服务管理 必备项 运维保障 必备项 管理要求 漏洞管理 必备项 运维管理 变更管理 必备项 应急响应 必备项 文档管理 可选项 5评价方法和结果表示 5.1 评价方法 对电子商务第三方软件提供商的评价方法如下： 确定各子模块的评价内容，评价内容是最小评价单元； 组合使用多种审查方式，对评价内容进行评价，给出评价结果； 依据评价内容的评价结果，给出子模块的评价结果： 依据子模块的评价结果，按照评价规则给出模块的评价结果； 依据所有模块的评价结果，按照评价规则给出评价结论，并提供相应的评价报告。 5.2评价方式 评价方式是对评价内容作出评价结论的主要手段，在评价过程中可使用一种评价方式，也可使用多 种评价方式的结合形式。主要的评价方式有： 文件审查：对所提供的审核文件的真实性和有效性进行审查，审核文件是指在第三方软件提供 商评价过程中，被评价的提供商根据评价要求需提供的自我声明、相关文件、证件或证明等 材料； 人员访谈：对相关人员，针对评价内容进行访谈； 现场巡查：赴现场了解有关内容，对事实相符性进行查验； 功能检查：对软件进行使用，对软件功能进行检查、核验和测试。 5.3结果表示 符合评价规则要求的评价内容、评价子模块和评价模块，其结果表示为“通过”；不符合评价规则要 求的评价内容，评价子模块和评价模块，其结果表示为“不通过”。评价内容不适用的情况下，不需要评 价的内容结果表示为“不适用”。 对于第三方软件提供商，整体的评价结论为“合格”或“不合格”。 3 GB/T36316—2018 6判定规则 6.1J 功能实现评价模块 6.1.1账号体系评价子模块 6.1.1.1评价内容 账号体系为评价必备项，其评价内容包括但不限于： a） 软件系统应为不同的用户分配不同的账号，确保一个用户一个账号，应禁止多人使用同一个 账号； b) 软件系统应及时冻结或禁用多余的、过期的用户账号，避免共享账号的存在； c） 软件系统应及时清理和回收软件系统相关的开发账号、测试账号和后台管理账号及权限，如离 职或转岗时； 软件系统应维护自有账号和电子商务平台账号的对应关系； d 软件系统宜具备保护和管理平台账号安全的能力，能及时地识别账号的异常风险（包括但不限 e) 于账号被盗、暴力破解等问题），并给与及时管控； 软件系统宜在识别到用户账号存在登录异常风险时，对用户账号进行锁定一定时间，或者直到 管理员启用该用户账号。 6.1.1.2评价规则与结果判定 6.1.1.1a)～d)的要求为评价必备要求，同时满足a)～d)的要求，则6.1.1的评价结果为通过；否则 为不通过。 6.1.1.1e)、f)的要求，为评价可选要求。 6.1.2账号口令评价子模块 6.1.2.1评价内容 账号口令为评价必备项，其评价内容包括但不限于： 软件系统管理员账号的初始口令应为系统随机产生的满足口令强度要求的口令。 a) b) 软件系统应定期提醒用户对口令进行修改。 c) 口令强度同时满足如下要求： 1）软件系统应保存加密后的口令历史，并要求新口令与前四次使用的口令不同； 2) 口令不能为空； 3) 不得使用默认口令； 口令长度至少8位以上； 5） 包括字母大写、字母小写、数字、特殊字符其中的三种或以上，不能使用连续字母或单纯数 字，不能使用键盘上连续字符； 6）不能使用与用户自身强关联（如生日、姓名）的单词 d)车 认或者经过“组合鉴别”通过才能生效，且重置后的口令应通过短信、邮件等用户绑定的可信任 的渠道告知用户。