老板小四合|香港九龙传真-4(手写版)
 
2018-12-06

本標準按照GB/T 1.1-2009給出的規則起草。

本標準由公安部信息系統安全標準化技術委員會提出并歸口。

本標準起草單位:公安部網絡安全保衛局、公安部第三研究所。

本標準主要起草人:畢海濱、金波、趙云霞、高爽、陳長松、朱英菊、李相龍、黃道麗、向朝霞。


1 范圍

本標準規定了互聯網服務提供者實施安全評估的基本程序和要求。

本標準適用于互聯網服務提供者進行安全評估與公安機關對互聯網服務安全進行檢查。

2 術語和定義

下列術語和定義適用于本文件。

2.1  

互聯網服務  internet service

向用戶提供的互聯網接入服務、互聯網數據中心服務、互聯網信息服務、互聯網安全服務和互聯網公共上網服務等服務業務。

2.2  

互聯網服務提供者  internet service provider

向用戶提供互聯網服務的組織或個人。

3 安全評估與安全檢查

互聯網服務上線前,互聯網服務提供者應自行組織開展安全評估,向屬地公安機關提交評估報告,進行安全檢查,具體流程見附錄A。

4 評估流程

4.1 評估的組織

互聯網服務提供者開展互聯網應用服務安全評估,可采取下列方式:

a)   互聯網服務提供者自行組織人員進行安全評估;

b)   互聯網服務提供者委托具備相應資質的第三方安全測評機構進行安全評估;

c)   互聯網服務提供者委托屬地公安網安部門推薦的專家、機構進行安全評估。

注:資質包括國家認可、資質認定或由省級以上網絡安全主管部門頒發的安全測評資質。

4.2 保密要求

參與評估的機構和人員應當與互聯網服務提供者簽訂保密協議,承諾保守企業、商業秘密,并依法承擔因泄密所應承擔的法律責任。

4.3 識別、分析與評價安全符合性

從下列方面識別、分析與評價互聯網服務的安全符合性,并編制安全評估報告:

a)   互聯網服務的合法性、合規性;

b)   互聯網服務安全管理制度、機制是否符合國家現行的規范、標準要求;

c)   互聯網服務安全技術措施是否健全、完善;

d)   受到破壞后會對國家安全、公共安全和公眾利益造成損害的互聯網服務是否符合信息系統等級保護的規范、標準要求;

e)   網絡安全專用產品是否符合國家相關規定。

4.4 不符合整改

如果評估結果發現任何不符合要求的,互聯網服務提供者應:

a)   識別不符合的原因;

b)   實施適當的糾正措施;

c)   評審所采取的糾正措施,驗證其有效性。

5 安全評估報告

5.1 安全評估報告的確認

評估報告應當由法人或法人授權的安全負責人簽字確認。

5.2 安全評估報告的備案

互聯網服務提供者開展互聯網應用服務安全評估后,應當形成書面安全評估報告,并在互聯網應用服務正式上線提供服務之日起5個工作日內,將書面安全評估報告向其所在地市級以上公安機關網安部門備案。

5.3 安全評估報告的內容

評估報告應包含以下內容:

a)   互聯網服務功能、性能描述;

b)   互聯網服務合法性、合規性說明(如提供的服務須獲得相應行政許可的,應包括相關證明文件);

c)   網絡拓撲結構圖(必要時);

d)   技術測試報告,活躍用戶在500萬以上的,應包含壓力測試報告;

e)   已建立的安全管理制度、措施;

f)   評估結論;

g)   不符合整改記錄;

h)   其他應當說明的相關情況。

6 檢查流程

6.1 工作要求

屬地公安機關網安部門收到互聯網服務提供者提交的書面安全評估報告后,應依據現行法律法規和相關標準規范要求,開展以下安全檢查工作:

a)   審閱互聯網服務安全評估報告,必要時可邀請網絡和信息安全方面專家參與審議;

b)   對交互式、交易類互聯網應用服務和軟件下載服務(包括應用軟件商店),組織開展實地安全檢查。

上級公安機關網安部門對下一級網安部門安全檢查工作進行指導。

6.2 重點互聯網服務上報

活躍用戶500萬以上的互聯網服務提供商開通新服務,屬地網安部門應將該服務的安全評估報告上報省級網安部門;活躍用戶3000萬以上的互聯網服務提供商開通新服務,省級網安部門應當將該服務的安全評估報告上報公安部網絡安全保衛局。

6.3 重點互聯網服務專家評審

公安部網絡安全保衛局和各省、自治區、直轄市公安廳、局網安總隊收到下一級網安部門報備的互聯網服務安全評估報告后,對存在較大安全風險、可能影響國家安全、公共安全和公眾利益的互聯網服務,應組織網絡和信息安全方面專家進行評審,必要時應會同屬地公安網安部門開展實地檢查。

6.4 檢查時限

公安網安部門組織開展檢查工作,不應影響互聯網服務的正常運營,檢查時限最長不超過15個工作日。

6.5 日常檢查

公安網安部門組織定期檢查互聯網安全技術與管理措施落實情況。

7 檢查意見使用

7.1 限期整改

公安機關安全檢查發現互聯網服務安全管理制度、措施達不到相關法律法規和標準規范要求的,應責令互聯網服務提供者限期整改。對互聯網服務提供者在1個月內無法完成整改的,應責令暫停該應用服務新用戶注冊。

7.2 暫停服務

檢查中發現互聯網服務存在重大安全隱患,極易引發現實危害的,屬地公安網安部門應責令互聯網服務提供者立即暫停服務并進行整改。

7.3 重新評估

在整改完成后,應重新組織安全評估,評估報告經公安機關檢查確認后,方可恢復由安全整改暫停的服務。

8 變更報備

互聯網服務正式運營期間,其安全策略、技術架構、服務功能等發生調整及變化,應按規定程序向屬地公安機關報備。對涉及以下情況的變更,應重新開展安全評估:

a)    影響國家安全、公共安全、公眾利益的;

b)    影響防范和打擊違法犯罪的;

c)    安全管理制度、措施與處置機制受到影響或發生變化的;

d)    經專家評審認為應開展安全評估的。

  • 云南省公安廳網絡安全保衛總隊 版權所有 Copyright 2009~2019
  • 云南省昆明市五華區五一路149號 郵政編碼:650021
  • 技術支持:昆明固得派信息技術有限公司
  • 建議使用 IE 5.0 以上版本瀏覽器 1024×768分辨率
  • 滇ICP備05002699號
老板小四合 安徽时时快3奖金 1吉林快三开奖结果 内蒙古体彩11选五开奖号码 一万本金一天赢500可行吗 体彩排列3试机号今天 上海时时乐当天基本走势图 四川全七乐走势图 7位数走势图带连线图 重庆时时后二技巧集锦 重庆彩稳定计划专家计划