本標準按照GB/T 1.1-2009給出的規(guī)則起草。

本標準由公安部信息系統(tǒng)安全標準化技術(shù)委員會提出并歸口。

本標準起草單位：公安部網(wǎng)絡(luò)安全保衛(wèi)局、公安部第三研究所。

本標準主要起草人：金波、畢海濱、趙云霞、高爽、朱英菊、黃道麗、李相龍、陳長松、向朝霞。

1　范圍

本標準規(guī)定了互聯(lián)網(wǎng)交互式服務(wù)安全保護的要求。

本標準適用于互聯(lián)網(wǎng)交互式服務(wù)提供者落實互聯(lián)網(wǎng)安全保護管理制度和安全保護技術(shù)措施。

2　規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GA XXXX-201X 信息安全技術(shù)  互聯(lián)網(wǎng)服務(wù)安全評估基本程序及要求

3　術(shù)語和定義

GA XXXX-201X界定的以及下列術(shù)語和定義適用于本文件。

3.1　 

互聯(lián)網(wǎng)交互式服務(wù) internet interactive service

為用戶提供向社會公眾發(fā)布信息的服務(wù)，發(fā)布方式包括文字、圖片、音視頻等。

注：包括但不限于論壇、社區(qū)、貼吧、文字或音視頻聊天室、微博客、博客、即時通信、移動下載、分享存儲、第

三方支付等互聯(lián)網(wǎng)信息服務(wù)。

3.2　 

違法有害信息  illegal and harmful information

違反國家法律、法規(guī)，危害國家安全、公共安全、公民人身財產(chǎn)安全的信息。

3.3　 

破壞性程序  destructive program

具有對計算機信息系統(tǒng)的功能或存儲、處理及傳輸?shù)臄?shù)據(jù)進行非授權(quán)獲取、刪除、增加、修改、干擾、破壞等功能的程序。

3.4　 

個人電子信息  personal electronic information

能夠被知曉和處理，與具體自然人相關(guān)，能通過身份證號碼、網(wǎng)絡(luò)標識符或者生理、心理、經(jīng)濟、文化、社會身份中一個或多個要素實現(xiàn)該自然人身份識別的電子信息和涉及該自然人隱私的電子信息。  

注：包括但不限于姓名、年齡、性別、身份證號碼、戶籍、通訊地址、電子郵件、電話號碼、指紋、婚姻狀況、家

庭、教育、職業(yè)經(jīng)歷、收入、賬號、密碼、個人愛好和興趣等。其中帳號又包括網(wǎng)絡(luò)帳號、支付帳號、電子交

易帳號等。

3.5　 

個人電子信息的處理  personal electronic information processing

使用信息系統(tǒng)收集、存儲、加工、轉(zhuǎn)移、使用、披露、屏蔽、刪除或銷毀等處置個人電子信息的行為。

4　安全管理制度要求

4.1　總則

4.1.1　應(yīng)建立文件化的安全管理制度，安全管理制度文件應(yīng)包括：

a)   安全崗位管理制度；

b)   系統(tǒng)操作權(quán)限管理；

c)   安全培訓(xùn)制度；

d)   用戶管理制度；

e)   新服務(wù)、新功能安全評估；

f)   用戶投訴舉報處理；

g)   信息發(fā)布審核、合法資質(zhì)查驗和公共信息巡查；

h)   個人電子信息安全保護；

i)   安全事件的監(jiān)測、報告和應(yīng)急處置制度；

j)   現(xiàn)行法律、法規(guī)、規(guī)章、標準和行政審批文件。

4.1.2　安全管理制度應(yīng)經(jīng)過管理層批準，并向所有員工宣貫。

4.2　文件控制

安全管理制度文件應(yīng)予以保護和控制，包括：

a)   應(yīng)按計劃的時間間隔或在發(fā)生重大的變化時評審安全管理制度文件，以確保文件是適當(dāng)?shù)模?/p>

b)   確保在使用處可獲得適用文件的相關(guān)版本；

c)   確保文件保持清晰、易于識別；

d)   確保外來文件得到識別，并控制其分發(fā)；

e)   確保文件是現(xiàn)行有效的。

4.3　記錄控制

應(yīng)建立記錄并加以保護與控制，以提供符合本標準要求的證據(jù)。

5　機構(gòu)要求

5.1　法律責(zé)任

5.1.1　互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)是一個能夠承擔(dān)法律責(zé)任的組織或個人。

5.1.2　互聯(lián)網(wǎng)交互式服務(wù)提供者從事的信息服務(wù)有行政許可的應(yīng)取得相應(yīng)許可。

5.2　信息安全組織

5.2.1　應(yīng)建立與業(yè)務(wù)和規(guī)模相適應(yīng)的信息安全組織機構(gòu)：

a)   組建專職安全管理隊伍；

b)   安全管理人員應(yīng)經(jīng)過安全培訓(xùn)與公安機關(guān)考核，安全管理人員數(shù)量應(yīng)與業(yè)務(wù)規(guī)模相適應(yīng)。

注：安全管理人員數(shù)量原則上按照日均信息發(fā)布量、頻道或欄目數(shù)、同時在線用戶數(shù)等交互式服務(wù)規(guī)模配備，能實現(xiàn)9.3要求的違法有害信息防范與處置能力。

5.2.2　最高管理者應(yīng)在管理層任命一名人員，具有以下方面的職責(zé)和權(quán)力：

a)   負責(zé)安全管理制度的建立、實施與保持；

b)   負責(zé)新服務(wù)、新功能的風(fēng)險評估與安全方案審核；

c)   向最高管理者報告安全狀況與任何改進的需求。

5.2.3　應(yīng)有專門人員負責(zé)配合公安機關(guān)的工作。

5.3　網(wǎng)安警務(wù)室

應(yīng)為公安機關(guān)網(wǎng)安警務(wù)室開展工作提供相應(yīng)的環(huán)境和支持配合，接受網(wǎng)安警務(wù)室的安全管理和指導(dǎo)。

6　人員安全管理

6.1　安全崗位管理制度

應(yīng)建立安全崗位管理制度，明確主辦人、主要負責(zé)人、安全責(zé)任人的職責(zé)；崗位管理制度應(yīng)包括保密管理。

6.2　關(guān)鍵崗位人員

6.2.1　關(guān)鍵崗位人員任用之前的背景核查應(yīng)按照相關(guān)法律、法規(guī)、道德規(guī)范和對應(yīng)的業(yè)務(wù)要求來執(zhí)行，包括：

a)   個人身份核查；

b)   個人履歷的核查；

c)   學(xué)歷、學(xué)位、專業(yè)資質(zhì)證明；

d)   從事關(guān)鍵崗位所必需的能力。

6.2.2　應(yīng)與關(guān)鍵崗位人員簽訂保密協(xié)議。

6.3　安全培訓(xùn)

應(yīng)建立安全培訓(xùn)制度，定期對所有工作人員進行信息安全培訓(xùn)，提高全員的信息安全意識，包括：

a)   上崗前的培訓(xùn)；

b)   安全制度及其修訂后的培訓(xùn)；

c)   與法律、法規(guī)的發(fā)展保持同步的繼續(xù)培訓(xùn)。

6.4　人員離崗

應(yīng)嚴格規(guī)范人員離崗過程：

a)   及時終止離崗員工的所有訪問權(quán)限；

b)   關(guān)鍵崗位人員須承諾調(diào)離后的保密義務(wù)后方可離開；

c)   配合公安機關(guān)工作的人員變動應(yīng)通報公安機關(guān)。

7　訪問控制管理

7.1　訪問管理制度

應(yīng)建立包括物理的和邏輯的系統(tǒng)訪問權(quán)限管理制度。

7.2　權(quán)限分配

應(yīng)按以下原則根據(jù)人員職責(zé)分配不同的訪問權(quán)限：

a)   角色分離，如訪問請求、訪問授權(quán)、訪問管理；

b)   滿足工作需要的最小權(quán)限；

c)   未經(jīng)明確允許，則一律禁止。

7.3　特殊權(quán)限

應(yīng)限制和控制特殊訪問權(quán)限的分配和使用：

a)   標識出每個系統(tǒng)或程序的特殊權(quán)限；

b)   按照“按需使用”、“一事一議”的原則分配特殊權(quán)限；

c)   記錄特殊權(quán)限的授權(quán)與使用過程；

d)   特殊訪問權(quán)限的分配需要管理層的批準。

注：特殊權(quán)限是系統(tǒng)超級用戶、數(shù)據(jù)庫管理等系統(tǒng)管理權(quán)限。

7.4　權(quán)限的檢查

應(yīng)定期對訪問權(quán)限進行檢查，對特殊訪問權(quán)限的授權(quán)情況應(yīng)在更頻繁的時間間隔內(nèi)進行檢查，如發(fā)現(xiàn)不恰當(dāng)?shù)臋?quán)限設(shè)置，應(yīng)及時予以調(diào)整。

8　網(wǎng)絡(luò)與操作安全

8.1　操作規(guī)程

應(yīng)將網(wǎng)絡(luò)與系統(tǒng)操作形成文件化的操作規(guī)程，并對所有需要的用戶可用，操作規(guī)程包括：計算機的啟動和關(guān)機、備份、設(shè)備維護、介質(zhì)處理、日志管理等。

8.2　網(wǎng)絡(luò)與主機系統(tǒng)的安全

應(yīng)維護使用的網(wǎng)絡(luò)與主機系統(tǒng)的安全，包括：

a)   實施計算機病毒等惡意代碼的預(yù)防、檢測和系統(tǒng)被破壞后的恢復(fù)措施；

b)   實施7×24h網(wǎng)絡(luò)入侵行為的預(yù)防、檢測與響應(yīng)措施；

c)   適用時，對重要文件的完整性進行檢測，并具備文件完整性受到破壞后的恢復(fù)措施；

d)   對系統(tǒng)的脆弱性進行評估，并采取適當(dāng)?shù)拇胧┨幚硐嚓P(guān)的風(fēng)險。

注：系統(tǒng)脆弱性評估包括采用安全掃描、滲透測試等多種方式。

8.3　備份

8.3.1　應(yīng)建立備份策略，有足夠的備份設(shè)施，確保必要的信息和軟件在災(zāi)難或介質(zhì)故障時可以恢復(fù)。

8.3.2　網(wǎng)絡(luò)基礎(chǔ)服務(wù)（登錄、消息發(fā)布等）應(yīng)具備容災(zāi)能力。

8.4　安全審計

8.4.1　應(yīng)記錄用戶活動、異常情況、故障和安全事件的日志。

8.4.2　審計日志內(nèi)容應(yīng)包括：

a)   用戶注冊相關(guān)信息，包括：

1)   用戶唯一標識；

2)   用戶名稱及修改記錄；

3)   身份信息，如：姓名、證件類型、證件號碼等；

4)   注冊時間、IP地址及端口號；

5)   電子郵箱地址和手機號碼；

6)   用戶備注信息；

7)   用戶其他信息。

b)   群組、頻道相關(guān)信息，包括：

1)   創(chuàng)建時間、創(chuàng)建人、創(chuàng)建人IP地址及端口號；

2)   刪除時間、刪除人、刪除人IP地址及端口號；

3)   群組組織結(jié)構(gòu)；

4)   群組成員列表。

c)   用戶登錄信息，包括：

1)   用戶唯一標識；

2)   登錄時間；

3)   退出時間；

4)   IP地址及端口號。

d)   用戶信息發(fā)布日志，包括：

1)   用戶唯一標識；

2)   信息標識；

3)   信息發(fā)布時間；

4)   IP地址及端口號；

5)   信息標題或摘要，包括圖片摘要。

e)   用戶行為，包括：

1)   進出群組或頻道；

2)   修改、刪除所發(fā)信息；

3)   上傳、下載文件。

適用時，應(yīng)記錄使用客戶端終端設(shè)備的標識、位置。

8.4.3　應(yīng)確保審計日志內(nèi)容的可溯源性，即可追溯到真實的用戶ID、網(wǎng)絡(luò)地址和協(xié)議。電子郵件、短信息、網(wǎng)絡(luò)電話、即時消息、網(wǎng)絡(luò)聊天等網(wǎng)絡(luò)消息服務(wù)提供者應(yīng)能防范偽造、隱匿發(fā)送者真實標記的消息的措施；涉及地址轉(zhuǎn)換技術(shù)的服務(wù)，如移動上網(wǎng)、網(wǎng)絡(luò)代理、內(nèi)容分發(fā)等應(yīng)審計轉(zhuǎn)換前后的地址與端口信息；涉及短網(wǎng)址服務(wù)的，應(yīng)審計原始URL與短URL之間的映射關(guān)系。

8.4.4　應(yīng)保護審計日志，保證無法單獨中斷審計進程，防止刪除、修改或覆蓋審計日志。

8.4.5　應(yīng)能夠根據(jù)公安機關(guān)要求留存具備指定信息訪問日志的留存功能。

8.4.6　審計日志保存周期：

a)   應(yīng)永久保留用戶注冊信息、好友列表及歷史變更記錄，永久記錄聊天室（頻道、群組）注冊信息、成員列表以及歷史變更記錄；

b)   系統(tǒng)維護日志信息保存12個月以上；

c)   應(yīng)留存用戶日志信息12個月以上；

d)   對用戶發(fā)布的信息內(nèi)容保存6個月以上；

e)   已下線的系統(tǒng)的日志保存周期也應(yīng)符合以上規(guī)定。

9　應(yīng)用安全

9.1　安全評估

應(yīng)建立互聯(lián)網(wǎng)服務(wù)安全評估制度。在互聯(lián)網(wǎng)新服務(wù)、新功能上線前，按照本標準要求評估安全風(fēng)險、制訂信息網(wǎng)絡(luò)安全技術(shù)方案。并向?qū)俚毓矙C關(guān)報備。

9.2　用戶管理

9.2.1　應(yīng)向用戶宣傳法律法規(guī)，應(yīng)在用戶注冊時，與用戶簽訂服務(wù)協(xié)議，告知相關(guān)權(quán)利義務(wù)及需承擔(dān)的法律責(zé)任。

9.2.2　應(yīng)建立用戶管理制度，包括：

a)   用戶實名登記真實身份信息，并對用戶真實身份信息進行有效核驗，有校核驗方法可追溯到用戶登記的真實身份，如：

1)   身份證與姓名實名驗證服務(wù)；

2)   有效的銀行卡；

3)   合法、有效的數(shù)字證書；

4)   已確認真實身份的網(wǎng)絡(luò)服務(wù)的注冊用戶；

5)   經(jīng)電信運營商接入實名認證的用戶。

b)   應(yīng)對用戶注冊的賬號、頭像和備注等信息進行審核，禁止使用違反法律法規(guī)和社會道德的內(nèi)容；

c)   應(yīng)建立用戶黑名單制度，對網(wǎng)站自行發(fā)現(xiàn)以及公安機關(guān)通報的多次、大量發(fā)送傳播違法有害信息的用戶應(yīng)納入黑名單管理。

注：如某網(wǎng)站采用已經(jīng)實名認證的第三方帳戶登錄，可認為該網(wǎng)站的用戶已進行有效核驗。

9.2.3　當(dāng)用戶利用互聯(lián)網(wǎng)從事的服務(wù)需要行政許可時，應(yīng)查驗其合法資質(zhì)，查驗可以通過以下方法進行：

a)   核對行政許可文件；

b)   通過行政許可主管部門的公開信息；

c)   通過行政許可主管部門的驗證電話、驗證平臺。

9.3　違法有害信息防范和處置

9.3.1　應(yīng)采取管理與技術(shù)措施，及時發(fā)現(xiàn)和停止違法有害信息發(fā)布。

9.3.2　應(yīng)采用人工或自動化方式，對發(fā)布的信息逐條審核。

9.3.3　應(yīng)采取技術(shù)措施過濾違法有害信息，包括且不限于：

a)   基于關(guān)鍵詞的文字信息屏蔽過濾；

b)   基于樣本數(shù)據(jù)特征值的文件屏蔽過濾；

c)   基于URL的屏蔽過濾。

9.3.4　應(yīng)采取技術(shù)措施對違法有害信息的來源實施控制，防止繼續(xù)傳播。

注：違法有害信息來源控制技術(shù)措施包括但不限于：封禁特定帳號、禁止新建帳號、禁止分享、禁止留言及回復(fù)、控制特定發(fā)布來源、控制特定地區(qū)或指定IP帳號登陸、禁止客戶端推送、切斷與第三方應(yīng)用的互聯(lián)互通等。

9.3.5　應(yīng)建立7×24h信息巡查制度，及時發(fā)現(xiàn)并處置違法有害信息。

9.3.6　應(yīng)建立涉嫌違法犯罪線索、異常情況報告、安全提示和案件調(diào)查配合制度，包括：

a)   對發(fā)現(xiàn)的違法有害信息，立即停止發(fā)布傳輸，保留相關(guān)證據(jù)（包括用戶注冊信息、用戶登錄信息、用戶發(fā)布信息等記錄），并向?qū)俚毓矙C關(guān)報告；

b)   對于煽動非法聚集、策劃恐怖活動、揚言實施個人極端暴力行為等重要情況或重大緊急事件立即向?qū)俚毓矙C關(guān)報告，同時配合公安機關(guān)做好調(diào)查取證工作；

c)   相關(guān)電子數(shù)據(jù)及時傳送給屬地公安機關(guān)。

9.3.7　應(yīng)與公安機關(guān)建立7×24h違法有害信息快速處置工作機制，有明確URL的單條違法有害信息和特定文本、圖片、視頻、鏈接等信息的源頭以及分享中的任一環(huán)節(jié)應(yīng)能在5min之內(nèi)刪除，相關(guān)的屏蔽過濾措施應(yīng)在10min內(nèi)生效。

9.4　破壞性程序防范

9.4.1　應(yīng)實施破壞性程序的發(fā)現(xiàn)和停止發(fā)布措施，并保留發(fā)現(xiàn)的破壞性程序的相關(guān)證據(jù)。

9.4.2　對軟件下載服務(wù)提供者（包括應(yīng)用軟件商店），應(yīng)檢查用戶發(fā)布的軟件是否是計算機病毒等惡意代碼。

10　個人電子信息保護

10.1　處理規(guī)則

10.1.1　應(yīng)制訂明確、清楚的個人電子信息處理規(guī)則，并在顯著位置予以公示。在用戶注冊時，應(yīng)在與用戶簽訂服務(wù)協(xié)議中明示收集與使用個人電子信息的目的、范圍與方式。

10.1.2　網(wǎng)絡(luò)交互式服務(wù)提供者僅收集為實現(xiàn)正當(dāng)商業(yè)目的和提供網(wǎng)絡(luò)服務(wù)所必需的個人信息；收集個人電子信息時，應(yīng)取得用戶明確授權(quán)同意；將個人電子信息交給第三方處理時，處理方應(yīng)符合本標準要求，并取得用戶明確授權(quán)同意；法律、行政法規(guī)另有規(guī)定的，從其規(guī)定。

10.1.3　修改個人電子信息處理規(guī)則時，應(yīng)告知用戶，并取得其同意。

10.2　技術(shù)措施

應(yīng)建立覆蓋個人電子信息處理的各個環(huán)節(jié)的安全保護制度和技術(shù)措施，防止個人電子信息泄露、損毀、丟失，包括：

a)   采用加密方式保存用戶密碼等重要信息；

b)   審計內(nèi)部員工對涉及個人電子信息的所有操作，并對審計結(jié)果進行分析，預(yù)防內(nèi)部員工故意泄露；

c)   審計個人電子信息上載、存儲或傳輸，作為信息泄露、毀損、丟失的查詢依據(jù)；

d)   建立程序來控制對涉及個人電子信息的系統(tǒng)和服務(wù)的訪問權(quán)的分配。這些程序涵蓋用戶訪問生存周期內(nèi)的各個階段，從新用戶初始注冊到不再需要訪問信息系統(tǒng)和服務(wù)的用戶的最終撤銷；

e)   系統(tǒng)的安全保障技術(shù)措施覆蓋個人電子信息處理的各個環(huán)節(jié)，防止網(wǎng)絡(luò)違法犯罪活動竊取信息，降低個人電子信息泄露的風(fēng)險。

10.3　個人信息泄露事件的處理

當(dāng)發(fā)現(xiàn)個人電子信息泄露事件后，應(yīng)：

a)   立即采取補救措施，防止信息繼續(xù)泄露；

b)   24h內(nèi)告知用戶，根據(jù)用戶初始注冊信息重新激活賬戶，避免造成更大的損失；

c)   立即報告屬地公安機關(guān)。

11　投訴

11.1　投訴制度

應(yīng)建立用戶投訴舉報接收處理制度，明確用戶投訴舉報渠道、處理流程、方式、時限，鼓勵用戶舉報違法有害信息。

11.2　處理原則

應(yīng)當(dāng)遵循合法、合理、公平、公正、及時準確的基本原則，積極維護國家利益、公共利益和行業(yè)利益，尊重用戶的合法權(quán)益。

11.3　投訴渠道

應(yīng)根據(jù)業(yè)務(wù)類型、投訴數(shù)量和投訴內(nèi)容等建立適當(dāng)?shù)耐对V渠道，包括線上投訴、上門投訴、電話、傳真、郵件和快遞投訴等。

應(yīng)以明顯可見的方式向社會公開投訴渠道。

11.4　記錄留存

應(yīng)保存投訴處理的全部記錄，以保證可追溯性。

12　分包服務(wù)

12.1　基本要求

12.1.1　互聯(lián)網(wǎng)交互式服務(wù)提供者可將本標準的安全保護要求分包。

12.1.2　分包安全保護工作時，應(yīng)：

a)   確保分包方的信息安全服務(wù)交付水準；

b)   與分包方簽訂與安全有關(guān)的協(xié)議，明確約定相關(guān)責(zé)任。

12.2　分包商要求

接受安全保護服務(wù)分包的服務(wù)提供商應(yīng)達到本標準的安全保護要求。

12.3　不可分包的項目

互聯(lián)網(wǎng)交互式服務(wù)提供者不應(yīng)分包法律、法規(guī)、標準規(guī)定不可分包的項目。

13　安全事件管理

13.1　安全事件管理制度

13.1.1　應(yīng)建立安全事件的監(jiān)測、報告和應(yīng)急處置制度，確?？焖佟⒂行Ш陀行虻仨憫?yīng)安全事件。

13.1.2　安全事件包括違法有害信息、危害計算機信息系統(tǒng)安全的異常情況及突發(fā)公共事件。

13.2　應(yīng)急預(yù)案

應(yīng)制訂安全事件應(yīng)急處置預(yù)案，向?qū)俚毓矙C關(guān)報備，并定期開展應(yīng)急演練。

13.3　突發(fā)公共事件處理

突發(fā)公共事件分為四級：I級（特別重大）、II級（重大）、III級（較大）、IV級（一般），互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)建立相應(yīng)處置機制，當(dāng)突發(fā)公共事件發(fā)生后，投入相應(yīng)的人力與技術(shù)措施開展處置工作：

a)   I級：應(yīng)投入安全管理等部門80%甚至全部人力開展處置工作；

b)   II級：應(yīng)投入安全管理等部門50% -80%的人力開展處置工作；

c)   III級：應(yīng)投入安全管理等部門30%-50%的人力開展處置工作；

d)   IV級：應(yīng)投入安全管理等部門30%的人力開展處置工作。

13.4　技術(shù)接口

應(yīng)為公安機關(guān)提供符合國家或公共安全行業(yè)標準的技術(shù)接口，確保實時、有效地提供相關(guān)證據(jù)。