ICS 33.050 CCS M 30 团体 标准 T/TAF 101.3-2021 冷链物流可信溯源服务技术要求 第3部 分：信息系统安全 Trusted and traceable service technical requirement for the cold chain logistics —Part 3: Information system security 2021-12-13发布 2021-12-13实施 电信终端产业协会 发布 T/TAF 101.3-2021 I 目 次 前言 ................................ ................................ ................ II 引言 ................................ ................................ ............... III 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 缩略语 ................................ ................................ ............. 1 5 信息系统安全要求 ................................ ................................ ... 2 5.1 鉴权与安全防护要求 ................................ ............................. 2 5.2 软件安全要求 ................................ ................................ ... 2 5.3 数据安全要求 ................................ ................................ ... 3 5.4 通信安全要求 ................................ ................................ ... 3 5.5 个人隐私信息安全要求 ................................ ........................... 3 5.6 系统审计安全要求 ................................ ............................... 3 附录A（规范性）冷链物流追溯信息内 容 ................................ .................. 5 附录B（规范性）特定物品冷链物流追溯信息内 容 ................................ .......... 6 T/TAF 101.3-2021 II 前 言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由电信终端产业 协会提出并归口。 本文件起草单位 ：百度在线网络技术（北京）有限公司、中国信息通信研究院、联想（北京）有限 公司、 郑州信大捷安信息技术股份有限公司、 四川长虹电子控股集团有限公司、 青岛海信通信有限公司 。 本文件主要起草人 ：王海棠、郭建领、吴月升 、国炜、徐晓娜 、李汝鑫、林巍巍 、康亮、刘献伦、 刘为华、黄德俊、罗阿文 、郑梁、高仁忠 。 T/TAF 101.3-2021 III 引 言 信息系统是冷链业务信息流的关键载体，从企业核心的企业 资源计划（ ERP）系统到过程管理的订 单管理系统（ OMS）、仓库管理系 统（WMS）、运输管理系统（ TMS）与结算管理系统（ BMS），信息系统 对冷链物流业务起着非常重要的支撑作用。但冷链物流是长链条场景，在整个作业过程中会涉及多类 数据的存储与访问需求，更会对接不同厂商、不同品牌、不同语言、不同架构、不同服务目标的信息 系统，因此为完善冷链物流长链条服务的可拓展性、流畅性、流转数据的安全性以及提供完整的信息 可溯源目标，就需要规范和约束数据传输、存储、访问、共享的技术要求，落实冷链物流过程中数据 产生到消亡的安全管控， 实现可鉴权、可接入、可存储、可查询、可留痕、可分析、可共享的管理目 的。 因此，建议开展信息系统安全要求标准的立项，且该标准会作为冷链物流可信溯源服务技术系列规 范的一部分，完善标准体系化建设。 本文件作为冷链可信溯源服务技术系列规范的一部分， 旨在对冷链物流过程中涉及到的信息系统的 通用安全技术要求进行约束，主要包括鉴权与安全防护要求、软件安全要求、数据安全要求、通信安全 要求、个人隐私信息安全要求、系统审计安全要求六个技术安全要求。 T/TAF 101.3-2021 1 冷链物流可信溯源服务技术要求 第3部分：信息系统安全 1 范围 本文件规定了冷链物 流可信溯源技术服务 的信息系统（如 ERP、OMS、WMS、TMS等）在鉴权接入、 软件系统、数据、通信及个人隐私方面的安全要求。 本文件适用于冷链物流技术服务提供商规范信息系统安全防护能力，也适用于冷链物流运营者、第 三方评估机构对信息系统安全防护能力进行评估时参考。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本 (包括所有的修改单 )适用于本文 件。 GB/T 18354 -2006 物流术语 GB/T 21028 -2007 信息安全技术 服务器安全技术要求 GB/T 22240-2008 信息系统 GB/T 28577 -2012 冷链物流分类与基本要求 GB/T 28843 -2012 食品冷链物流追溯管理要求 GB/T 35273 -2020 信息安全技术 个人信息安全规范 GB/T 38155 -2019 重要产品追溯 追溯术语 GB/T 38674 -2020 信息安全技术 应用软件安全编程指南 GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求 3 术语和定义 GB/T 18354 -2006和GB/T 39786-2021界定的以及下列术语和定义适用于本文件。 3.1 冷链物流 cold chain logistics 以冷冻工艺为基础、制冷技术为手段，使冷链物品从生产、流通、销售到消费者的各个环节中始终 处于规定的温度环境下以保证冷链物品质量，减少冷链物品损耗的物流活动 。 [来源：GB/T 28577 -2012，定义3.4] 3.2 追溯 traceability 通过记录和标识，追踪和溯源客体的历史、应用情况或所处位置的活动。 [来源：GB/T 38155 -2019，定义2.2] 4 缩略语 下列缩略语适用于本文件。 T/TAF 101.3-2021 2 ERP：企业资源 计划系统（ Enterprise Resource Planning ） OMS：订单管理系统（ Order Management System ） WMS：仓库管理系统（ Warehouse Management System） TMS：运输管理系统（ Transportatio n Management System ） API：应用程序接口（ Application Programming Interface ） 5 信息系统安全要求 5.1 鉴权与安全防护要求 5.1.1 身份认证与鉴权要求 信息系统 中身份认证与鉴权应满足以下要求： a) 应在用户登录系统之前进行鉴权，并在每次登录时就身份进行认证与鉴权 ； b) 系统应具备远程控制请求的身份验证和接入认证机制，避免非法用户或应用控制系统，并对授 权用户的远程会话进行加密保护； c) 不同组织间通过 API传输敏感数据时，应至少使用白名单（ IP、域名等）方式进行控制， 同 时应使用数字签名、开放标准认证（ OAuth）等方式对调用的信息系统进行认证，确保对接口 调用的鉴权 ； d) 密钥、身份凭证等认证信息应具有时效性并限定作用域，认