本標(biāo)準(zhǔn)按照GB/T 1.1-2009給出的規(guī)則起草。
本標(biāo)準(zhǔn)由公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口。
本標(biāo)準(zhǔn)起草單位:公安部網(wǎng)絡(luò)安全保衛(wèi)局、公安部第三研究所。
本標(biāo)準(zhǔn)主要起草人:畢海濱、金波����、趙云霞���、高爽、陳長松����、朱英菊���、李相龍��、黃道麗���、向朝霞��。
1 范圍
本標(biāo)準(zhǔn)規(guī)定了互聯(lián)網(wǎng)服務(wù)提供者實施安全評估的基本程序和要求。
本標(biāo)準(zhǔn)適用于互聯(lián)網(wǎng)服務(wù)提供者進行安全評估與公安機關(guān)對互聯(lián)網(wǎng)服務(wù)安全進行檢查。
2 術(shù)語和定義
下列術(shù)語和定義適用于本文件����。
2.1
互聯(lián)網(wǎng)服務(wù) internet service
向用戶提供的互聯(lián)網(wǎng)接入服務(wù)���、互聯(lián)網(wǎng)數(shù)據(jù)中心服務(wù)����、互聯(lián)網(wǎng)信息服務(wù)��、互聯(lián)網(wǎng)安全服務(wù)和互聯(lián)網(wǎng)公共上網(wǎng)服務(wù)等服務(wù)業(yè)務(wù)。
2.2
互聯(lián)網(wǎng)服務(wù)提供者 internet service provider
向用戶提供互聯(lián)網(wǎng)服務(wù)的組織或個人���。
3 安全評估與安全檢查
互聯(lián)網(wǎng)服務(wù)上線前,互聯(lián)網(wǎng)服務(wù)提供者應(yīng)自行組織開展安全評估��,向?qū)俚毓矙C關(guān)提交評估報告����,進行安全檢查,具體流程見附錄A����。
4 評估流程
4.1 評估的組織
互聯(lián)網(wǎng)服務(wù)提供者開展互聯(lián)網(wǎng)應(yīng)用服務(wù)安全評估��,可采取下列方式:
a) 互聯(lián)網(wǎng)服務(wù)提供者自行組織人員進行安全評估;
b) 互聯(lián)網(wǎng)服務(wù)提供者委托具備相應(yīng)資質(zhì)的第三方安全測評機構(gòu)進行安全評估����;
c) 互聯(lián)網(wǎng)服務(wù)提供者委托屬地公安網(wǎng)安部門推薦的專家����、機構(gòu)進行安全評估��。
注:資質(zhì)包括國家認可���、資質(zhì)認定或由省級以上網(wǎng)絡(luò)安全主管部門頒發(fā)的安全測評資質(zhì)��。
4.2 保密要求
參與評估的機構(gòu)和人員應(yīng)當(dāng)與互聯(lián)網(wǎng)服務(wù)提供者簽訂保密協(xié)議,承諾保守企業(yè)����、商業(yè)秘密���,并依法承擔(dān)因泄密所應(yīng)承擔(dān)的法律責(zé)任����。
4.3 識別��、分析與評價安全符合性
從下列方面識別、分析與評價互聯(lián)網(wǎng)服務(wù)的安全符合性,并編制安全評估報告:
a) 互聯(lián)網(wǎng)服務(wù)的合法性���、合規(guī)性;
b) 互聯(lián)網(wǎng)服務(wù)安全管理制度、機制是否符合國家現(xiàn)行的規(guī)范、標(biāo)準(zhǔn)要求����;
c) 互聯(lián)網(wǎng)服務(wù)安全技術(shù)措施是否健全��、完善;
d) 受到破壞后會對國家安全、公共安全和公眾利益造成損害的互聯(lián)網(wǎng)服務(wù)是否符合信息系統(tǒng)等級保護的規(guī)范���、標(biāo)準(zhǔn)要求;
e) 網(wǎng)絡(luò)安全專用產(chǎn)品是否符合國家相關(guān)規(guī)定���。
4.4 不符合整改
如果評估結(jié)果發(fā)現(xiàn)任何不符合要求的,互聯(lián)網(wǎng)服務(wù)提供者應(yīng):
a) 識別不符合的原因;
b) 實施適當(dāng)?shù)募m正措施����;
c) 評審所采取的糾正措施��,驗證其有效性��。
5 安全評估報告
5.1 安全評估報告的確認
評估報告應(yīng)當(dāng)由法人或法人授權(quán)的安全負責(zé)人簽字確認。
5.2 安全評估報告的備案
互聯(lián)網(wǎng)服務(wù)提供者開展互聯(lián)網(wǎng)應(yīng)用服務(wù)安全評估后���,應(yīng)當(dāng)形成書面安全評估報告,并在互聯(lián)網(wǎng)應(yīng)用服務(wù)正式上線提供服務(wù)之日起5個工作日內(nèi)���,將書面安全評估報告向其所在地市級以上公安機關(guān)網(wǎng)安部門備案。
5.3 安全評估報告的內(nèi)容
評估報告應(yīng)包含以下內(nèi)容:
a) 互聯(lián)網(wǎng)服務(wù)功能����、性能描述��;
b) 互聯(lián)網(wǎng)服務(wù)合法性����、合規(guī)性說明(如提供的服務(wù)須獲得相應(yīng)行政許可的,應(yīng)包括相關(guān)證明文件);
c) 網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖(必要時)���;
d) 技術(shù)測試報告,活躍用戶在500萬以上的��,應(yīng)包含壓力測試報告���;
e) 已建立的安全管理制度���、措施���;
f) 評估結(jié)論��;
g) 不符合整改記錄��;
h) 其他應(yīng)當(dāng)說明的相關(guān)情況。
6 檢查流程
6.1 工作要求
屬地公安機關(guān)網(wǎng)安部門收到互聯(lián)網(wǎng)服務(wù)提供者提交的書面安全評估報告后,應(yīng)依據(jù)現(xiàn)行法律法規(guī)和相關(guān)標(biāo)準(zhǔn)規(guī)范要求,開展以下安全檢查工作:
a) 審閱互聯(lián)網(wǎng)服務(wù)安全評估報告,必要時可邀請網(wǎng)絡(luò)和信息安全方面專家參與審議����;
b) 對交互式���、交易類互聯(lián)網(wǎng)應(yīng)用服務(wù)和軟件下載服務(wù)(包括應(yīng)用軟件商店)���,組織開展實地安全檢查��。
上級公安機關(guān)網(wǎng)安部門對下一級網(wǎng)安部門安全檢查工作進行指導(dǎo)。
6.2 重點互聯(lián)網(wǎng)服務(wù)上報
活躍用戶500萬以上的互聯(lián)網(wǎng)服務(wù)提供商開通新服務(wù),屬地網(wǎng)安部門應(yīng)將該服務(wù)的安全評估報告上報省級網(wǎng)安部門;活躍用戶3000萬以上的互聯(lián)網(wǎng)服務(wù)提供商開通新服務(wù)����,省級網(wǎng)安部門應(yīng)當(dāng)將該服務(wù)的安全評估報告上報公安部網(wǎng)絡(luò)安全保衛(wèi)局����。
6.3 重點互聯(lián)網(wǎng)服務(wù)專家評審
公安部網(wǎng)絡(luò)安全保衛(wèi)局和各省����、自治區(qū)����、直轄市公安廳、局網(wǎng)安總隊收到下一級網(wǎng)安部門報備的互聯(lián)網(wǎng)服務(wù)安全評估報告后���,對存在較大安全風(fēng)險、可能影響國家安全����、公共安全和公眾利益的互聯(lián)網(wǎng)服務(wù)����,應(yīng)組織網(wǎng)絡(luò)和信息安全方面專家進行評審���,必要時應(yīng)會同屬地公安網(wǎng)安部門開展實地檢查����。
6.4 檢查時限
公安網(wǎng)安部門組織開展檢查工作���,不應(yīng)影響互聯(lián)網(wǎng)服務(wù)的正常運營���,檢查時限最長不超過15個工作日���。
6.5 日常檢查
公安網(wǎng)安部門組織定期檢查互聯(lián)網(wǎng)安全技術(shù)與管理措施落實情況��。
7 檢查意見使用
7.1 限期整改
公安機關(guān)安全檢查發(fā)現(xiàn)互聯(lián)網(wǎng)服務(wù)安全管理制度����、措施達不到相關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范要求的,應(yīng)責(zé)令互聯(lián)網(wǎng)服務(wù)提供者限期整改��。對互聯(lián)網(wǎng)服務(wù)提供者在1個月內(nèi)無法完成整改的���,應(yīng)責(zé)令暫停該應(yīng)用服務(wù)新用戶注冊���。
7.2 暫停服務(wù)
檢查中發(fā)現(xiàn)互聯(lián)網(wǎng)服務(wù)存在重大安全隱患���,極易引發(fā)現(xiàn)實危害的���,屬地公安網(wǎng)安部門應(yīng)責(zé)令互聯(lián)網(wǎng)服務(wù)提供者立即暫停服務(wù)并進行整改���。
7.3 重新評估
在整改完成后����,應(yīng)重新組織安全評估,評估報告經(jīng)公安機關(guān)檢查確認后���,方可恢復(fù)由安全整改暫停的服務(wù)。
8 變更報備
互聯(lián)網(wǎng)服務(wù)正式運營期間��,其安全策略����、技術(shù)架構(gòu)、服務(wù)功能等發(fā)生調(diào)整及變化���,應(yīng)按規(guī)定程序向?qū)俚毓矙C關(guān)報備。對涉及以下情況的變更��,應(yīng)重新開展安全評估:
a) 影響國家安全��、公共安全、公眾利益的���;
b) 影響防范和打擊違法犯罪的;
c) 安全管理制度、措施與處置機制受到影響或發(fā)生變化的���;
d) 經(jīng)專家評審認為應(yīng)開展安全評估的。