标准规范下载简介
GB/T 40645-2021 信息安全技术 互联网信息服务安全通用要求.pdf5.1.1.2信息采集要求
互联网信息服务提供者应: a)按照GB/T35273—2020中5.1,5.2,5.3和5.4规定的要求采集个人信息; b)规范第三方开放接口获取或提供信息等行为; c)通过数字签名、信息备份等措施,保障采集信息完整性。
临近既有线工程施工方案5.1.1.3信息源追溯
互联网信息服务提供者应: a)记录并留存信息源的相关信息,如信息的采集时间采集渠道、采集用途、信息编辑历史等; b)通过日志追溯等措施实现对信息的追溯。
5.1.2信息生成主体
5.1.2.1信息服务用户注册
互联网信息服务提供者应: a 明确用户注册信息字段,并与用户签订服务使用协议; b 审核用户昵称、头像、简介等注册信息,具备先审后发等安全机制; 建立对注册信息中违法信息、不良信息的处理措施,如警示整改、限制功能、暂停更新、关闭账 号等; d 对新增和存量注册用户采取身份证号码、手机号码、统一社会信用代码、生物特征识别等方式 中的一种或多种进行真实身份信息认证
5.1.2.2信息生成主体保护
互联网信息服务提供者应: a 按照GB/T35273一2020中5.5规定的要求,建立用户个人信息保护措施,防止用户个人信息 泄露、毁损、丢失; b 通过如加密、去标识化等措施,对用户个人信息进行保护; C 在信息生成主体敏感信息发生或者可能发生泄露、毁损、丢失的情况时,立即采取数据追溯、查 验、处置等补救技术措施,并向相关部门报告
5.1.2.3信息生成主体溯源
互联网信息服务提供者应: a)核验注册用户的真实身份信息,包括身份证号码、手机号码、统一社会信用代码、生物特征计 信息等:
b)关联用户注册账号与其登录后的行为,道测用户对互联网信息服务的使用行为
5.2.1信息内容检测
5.2.1.1信息内容检测规则
互联网信息服务提供者应制定信息内容检测规则,具备实施和更新检测规则的技术措施
5.2.1.2信息内容识别过滤
互联网信息服务提供者应: a 建设并维护与业务规模相适应的违法信息、不良信息样本数据库,包括但不限于文本、图片、音 视频等形式的违法信息、不良信息; b)实现对文本、图片、音视频等形式的违法信息、不良信息准确识别和过滤,保障信息识别效果。
5.2.2信息服务分级分类
5.2.2.1信息内容分级分类
5.2.2.2信息服务用户分
5.3.1信息内容审核
5.3.1.1审核制度管理
互联网信息服务提供者应具备与审核制度相适应
5.3.1.2审核程序管理
5.3.2信息发布流程管理
5.3.2.1信息发布流程
互联网信息服务提供者应: a)对信息发布相关日志信息进行安全存储和保护,包括但不限于账号信息、发布时间、发布
5.3.2.2信息发布权限管理
联网信息服务提供者应从信息类型、信息内容等方面建立信息发布权限管理
5.4.1信息安全监测预警
5.4.1.1信息安全监测
GB/T 406452021
5.4.1.2信息安全预警
互联网信息服务应对监测到的存在安全风险的信息内容进行预警,并对信息安全预警情况进行及 时处置。
5.5.1服务信息存储
5.5.1.1用户个人信息存储
互联网信息服务提供者应: a)按照GB/T35273一2020中第6章规定的要求,对用户个人信息进行存储; b)留存互联网信息服务注册用户信息; c)通过对个人敏感信息采用加密等安全措施,保障个人敏感信息的完整性和保密性
5.5.1.2业务信息存储
互联网信息服务提供者应:
GB/T40645—2021a)存储互联网信息服务中涉及发布、传播、共享等信息,保障业务信息完整性和保密性:b)采用密码技术进行业务信息完整性验证和授权使用;c)通过分布式存储等措施,对存储的业务信息进行备份5.5.2日志存储管理5.5.2.1日志存储互联网信息服务提供者应:a)存储包括用户账号、操作时间、操作类型、网络源地址和目标地址、网络源端口等日志信息;b)保障日志信息完整性、保密性和可用性;c)通过采用密码等技术措施,对日志进行完整性验证和授权查阅。5.5.2.2日志管理互联网信息服务提供者应设置日志访问权限,并进行日志审计。5.6信息销毁5.6.1用户注销管理5.6.1.1用户信息注销互联网信息服务提供者应接照GB/T35273一2020中8.5规定的要求,对用户账户进行注销,5.6.1.22用户信息销毁互联网信息服务提供者应:a)按照GB/T35273一2020中8.3规定的要求,对确认注销的用户个人信息及时删除;b)对用户信息销毁过程存证。5.6.2业务和日志信息销毁5.6.2.1信息销毁策略互联网信息服务提供者应通过逻辑删除等措施对信息进行销毁,5.6.2.2信息销毁记录互联网信息服务提供者应记录信息销毁活动,包括销毁人员、销毁时间、销毁内容、销毁方式等关键信息。6安全保障要求6.1管理制度6.1.1安全制度6.1.1.1信息源制度互联网信息服务提供者应制定信息源和信息采集制度,包括但不限于信息采集来源、采集范围、采集方法、采集流程、信息类别、信息形式等关键信息要素。8
6.1.1.2信息审核发布制度
GB/T 406452021
6.1.2.1监测预警机制
互联网信息服务提供者应具备对存在安全风险的信息内容及时预警的规范和机制保障
6.1.2.2应急处置机制
6.1.2.3投诉举报机制
互联网信息服务提供者应建立面向公众的投诉举报机制,明确处理时限、处理方式等关键要素
6.2.1.1安全管理机构
互联网信息服务提供者应设立专职安全管理机构,指导互联网信息服务管理工作,组织开展互 息服务监督工作。
6.2.1.2安全管理人员
6.2.2从业人员管理
6.2.2.1人员配备
6.2.2.2人员管理
互联网信息服务提供者应加强互联网信息服务人员管理,制定从业人员管理制度,如关键岗位人 保密协议、相关离职要求等
6.2.2.3人员培训
互联网信息服务提供者应: a)对参与互联网信息服务活动的相关人员建立培训制度,制定年度培训计划,组织实施培训与考 核,教育培训内容应包括信息安全相关法律法规、政策措施、技术标准等; b)保障互联网信息服务内容管理的从业人员每年参加至少1次信息安全教育培训; C)对从业人员进行资质审查、定期培训与定期考核
6.3.1.1数据保护
互联网信息服务提供者应: 建立用户个人信息安全管理机制,制定并定期更新隐私保护协议,定期组织开展用户数据保护 自查工作,应遵循GB/T35273一2020中第4章规定的个人信息安全基本原则; b)采用密码等技术对互联网信息服务中涉及用户个人敏感信息和商业秘密等信息进行保护
6.3.1.2数据存储
互联网信息服务提供者应: a)制定个人信息、业务信息、日志信息等信息的存储策略,明确存储策略中信息存储方式、存储流 程、存储时效等关键要素; b)备份存储的日志信息日志留存时间不少于6个月
6.3. 1.3数据销毁
互联网信息服务提供者应: a)按照GB/T35273一2020中8.5规定的要求,制定用户注销相关规范,明确注销用户信息策略; b)制定信息销毁策略,明确信息销毁方式、销毁流程等关键策略要素 c)按照GB/T35273一2020中8.3规定的要求,制定用户个人信息销毁措施,
6.3.2.1信息溯源
互联网信息服务提供者应: a 制定信息溯源的相关流程与机制; D 为满足信息源追溯,特别是事后溯源的需要,信息源相关日志保存时间应不少于6个月; c)按照GB/T35273一2020中的相关要求对用户相关信息的记录与留存
6.3.2.2安全响应处置
互联网信息服务提供者应:
GB/T 406452021
6.4.1.1运营策略
互联网信息服务提供者应: a 建立信息内容分级分类规范,从信息的呈现形式、内容类别、传播属性等方面明确信息内容分 级分类规则; b) 制定互联网信息服务用户分类规范,并明确分类依据; 对违法信息、不良信息进行过滤、发现、溯源,及时处置并进行存证
6.4.1.2投诉举报处理
互联网信息服务提供者应: a)接受投诉举报起,受理时间不超过3天,并记录相关处理情况; b)建立7×24h投诉举报受理机制
6.4.2.1设施设备保障
联网信息服务 施设备资源原保,适场地、设施、存堵
6.4.2.2网络安全保障
互联网信息服务提供者应按照GB/T22239一2019的相关要求,建立与其服务相适应的网络环境 通信、建设和运维等安全机制,并定期进行安全评估,及时采取措施保障安全防护强度,
6.4.3外包服务管理
6.4.3.1使用第三方服务
互联网信息服务提供者应: a 制定使用第三方安全接口时遵循的安全管理规范,应通过协议、合同等形式明确合作方式和权 责划分; b)作为责任方,确保使用的第三方服务和接口满足信息服务安全要求
6.4.3.2提供第三方服务
互联网信息服务提供者应对于提供的服务制定相应的安全规范,保障服务和接口的安全。
(规范性) 互联网信息服务安全等级划分 互联网信息服务安全通用要求定义了两个安全级别,分别是基本级和增强级。通过互联网信息服 务所属企业规模、业务范围、用户规模等要素确定其应满足的安全级别。不同产品形态的互联网信息服 务在满足以下条件中的任何一种时,均需按照增强级开展安全建设和安全评估,见表A.1。 ·互联网信息服务企业规模达到中、大型企业规模要求。 ·互联网信息服务业务范围涉及音视频服务。
表A.1互联网信息服务安全等级划分规则
基本级应满足所定制组件中所有的基本要求。增强级应满足所定制组件中的基本要求和增强要 求,若某组件中未定义增强要求,则应满足基本要求。互联网信息服务安全技术要求和安全保障要求等 级划分见表A.2和表A.3。
基本级应满足所定制组件中所有的基本要求。增强级应满足所定制组件中的基本要求和增强要 求,若某组件中未定义增强要求,则应满足基本要求。互联网信息服务安全技术要求和安全保障要求等 级划分见表A.2和表A.3。
表A.2互联网信息服务安全技术要求等级划分
GB/T 406452021
A.2互联网信息服务安全技术要求等级划分(续
表A.3互联网信息服务安全保障要求等级划分
GB/T 406452021
互联网信息服务安全保障要求等级划分(续)
GB/T 406452021
附 录 B (资料性) 互联网信息服务安全通用要求组件包定制示例
(资科性) 互联网信息服务安全通用要求组件包定制示例 互联网信息服务安全通用要求以组件的方式定义了具有开放性、交互性、影响力等特征的互联网信 息生命周期六个阶段的安全通用要求。互联网信息服务提供者可参考表B.1分析产品涵盖的互联网信 息服务形式,如内容发布、评论评价、信息分享、推荐推送、内容搜索、通信群组、网络直播等,并结合服务 实际情况,参考表B.1,对产品提供的各个服务,通过组合组件的方式,定制相应的安全技术要求组件 包,进而通过组合产品所包含的各个服务的组件包,确定产品的安全技术要求。几类常见互联网信息服 务形式的安全技术要求组件包示例见表B.1
表B.1常见互联网信息服务形式的安全技术要求组件包
互联网信息服务形式的安全技术要求组件包(续
附录C (资料性) 互联网信息服务安全评估流程
高支模施工方案范例C.2确定评估对象安全级
根据评估对象和安全级定制安全功能和安全保障组件集合(组件包)。明确某产品包括的互联网信 息服务形式后,可参考表B.1所示,通过组合组件的方式对各个服务分别定制安全要求。 根据评估对象和安全级定制安全功能和安全保障组件包集合。针对各服务分别定制安全要求(通 过组合组件形成组件包)后,可将该产品包括的所有服务的定制安全要求集合起来(组合组件包),作为 该产品的定制安全要求。
根据定制的评估对象通用要求,自行制定实施安全评估所需的测评表,可包括测评项、通用要求、测 评方法、评分等项内容。 明确测评项检查要求,明确评分规则等
根据制定的安全评估测评表,可依据如下流程实施评估: a 组建包括管理人员、技术人员等在内的评估队伍; D 做好评估准备,做好评估前文档、工具的准备以及工作人员的培训工作; C 拟定评估方案,面向评估对象,制定评估实施总体计划,指导后续工作开展 d)启动评估,按照评估方案,组织评估队伍开展安全评估,做好评估过程和结果记录; e)编制评估报告,整理评估过程和结果,编制完成评估报告
GB/T 406452021
即为评估不通过。 终止项通过评估,通过测评表的综合得分判断是否通过基本级评估。 终止项通过评估,通过测评表的综合得分判断是否通过增强级评估。
即为评估不通过。 终止项通过评估某合同段架梁施工方案(由石铁提供),通过测评表的综合得分判断是否通过基本级评估。 终止项通过评估.通过测评表的综合得分判断是否通过增强级评估。
GB/T 406452021
[1]GB/T18336.1一2015信息技术安全技术信息技术安全评估准则第1部分:简介和 一般模型 [2]GB/T 18336.2—2015 信息技术安全技术信息技术安全评估准则 第2部分:安全功 能组件 [3]GB/T 18336.3—2015 信息技术安全技术信息技术安全评估准则第3部分:安全保 障组件 4 GB/T 20984—2007 信息安全技术 信息安全风险评估规范 [5] GB/T 22240—2020 信息安全技术 网络安全等级保护定级指南 [6] GB/T 25066—2020 信息安全技术 信息安全产品类别与代码 7 GB/T 28448—2019 信息安全技术 网络安全等级保护测评要求 [8] GB/T 28449—2018 信息安全技术 网络安全等级保护测评过程指南 [9] GB/T 30271— 2013 信息安全技术 信息安全服务能力评估准则 [10] GB/T 30283—2013 信息安全技术信息安全服务分类 [11] GB/T 39276—2020 信息安全技术 网络产品和服务安全通用要求 [12] GA1277—2020(所有部分) 互联网交互式服务安全管理要求 131 GA1278 安女全技不 互联网服务安全评估基本程序及要求