互聯(lián)網(wǎng)服務(wù)安全評估基本程序及要求

1、<p>　　互聯(lián)網(wǎng)服務(wù)安全評估基本程序及要求</p><p><b>　　1　范圍</b></p><p>　　本標準規(guī)定了互聯(lián)網(wǎng)服務(wù)提供者實施安全評估的基本程序和要求。</p><p>　　本標準適用于互聯(lián)網(wǎng)服務(wù)提供者進行安全評估與公安機關(guān)對互聯(lián)網(wǎng)服務(wù)安全進行檢查。</p><p><b>　　2　

2、術(shù)語和定義</b></p><p>　　下列術(shù)語和定義適用于本文件。</p><p><b>　　2.1　 </b></p><p>　　互聯(lián)網(wǎng)服務(wù)  internet service</p><p>　　向用戶提供的互聯(lián)網(wǎng)接入服務(wù)、互聯(lián)網(wǎng)數(shù)據(jù)中心服務(wù)、互聯(lián)網(wǎng)信息服務(wù)、互聯(lián)網(wǎng)安全

3、服務(wù)和互聯(lián)網(wǎng)公共上網(wǎng)服務(wù)等服務(wù)業(yè)務(wù)。</p><p><b>　　2.2　 </b></p><p>　　互聯(lián)網(wǎng)服務(wù)提供者  internet service provider</p><p>　　向用戶提供互聯(lián)網(wǎng)服務(wù)的組織或個人。</p><p>　　3　安全評估與安全檢查</p&g

4、t;<p>　　互聯(lián)網(wǎng)服務(wù)上線前，互聯(lián)網(wǎng)服務(wù)提供者應(yīng)自行組織開展安全評估，向?qū)俚毓矙C關(guān)提交評估報告，進行安全檢查，具體流程見附錄A。</p><p><b>　　4　評估流程</b></p><p><b>　　4.1　評估的組織</b></p><p>　　互聯(lián)網(wǎng)服務(wù)提供者開展互聯(lián)網(wǎng)應(yīng)用服務(wù)安全評估，可采

5、取下列方式：</p><p>　　a)   互聯(lián)網(wǎng)服務(wù)提供者自行組織人員進行安全評估；</p><p>　　b)   互聯(lián)網(wǎng)服務(wù)提供者委托具備相應(yīng)資質(zhì)的第三方安全測評機構(gòu)進行安全評估；</p><p>　　c)   互聯(lián)網(wǎng)服務(wù)提供者委托屬地公安網(wǎng)安部門推薦的專家、機構(gòu)進行安全評

6、估。</p><p>　　注：資質(zhì)包括國家認可、資質(zhì)認定或由省級以上網(wǎng)絡(luò)安全主管部門頒發(fā)的安全測評資質(zhì)。</p><p><b>　　4.2　保密要求</b></p><p>　　參與評估的機構(gòu)和人員應(yīng)當與互聯(lián)網(wǎng)服務(wù)提供者簽訂保密協(xié)議，承諾保守企業(yè)、商業(yè)秘密，并依法承擔因泄密所應(yīng)承擔的法律責(zé)任。</p><p>　　4.

7、3　識別、分析與評價安全符合性</p><p>　　從下列方面識別、分析與評價互聯(lián)網(wǎng)服務(wù)的安全符合性，并編制安全評估報告：</p><p>　　a)   互聯(lián)網(wǎng)服務(wù)的合法性、合規(guī)性；</p><p>　　b)   互聯(lián)網(wǎng)服務(wù)安全管理制度、機制是否符合國家現(xiàn)行的規(guī)范、標準要求；</p><

8、p>　　c)   互聯(lián)網(wǎng)服務(wù)安全技術(shù)措施是否健全、完善；</p><p>　　d)   受到破壞后會對國家安全、公共安全和公眾利益造成損害的互聯(lián)網(wǎng)服務(wù)是否符合信息系統(tǒng)等級保護的規(guī)范、標準要求；</p><p>　　e)   網(wǎng)絡(luò)安全專用產(chǎn)品是否符合國家相關(guān)規(guī)定。</p><p

9、><b>　　4.4　不符合整改</b></p><p>　　如果評估結(jié)果發(fā)現(xiàn)任何不符合要求的，互聯(lián)網(wǎng)服務(wù)提供者應(yīng)：</p><p>　　a)   識別不符合的原因；</p><p>　　b)   實施適當?shù)募m正措施；</p><p>　　c) 

10、  評審所采取的糾正措施，驗證其有效性。</p><p><b>　　5　安全評估報告</b></p><p>　　5.1　安全評估報告的確認</p><p>　　評估報告應(yīng)當由法人或法人授權(quán)的安全負責(zé)人簽字確認。</p><p>　　5.2　安全評估報告的備案</p><p>

11、;　　互聯(lián)網(wǎng)服務(wù)提供者開展互聯(lián)網(wǎng)應(yīng)用服務(wù)安全評估后，應(yīng)當形成書面安全評估報告，并在互聯(lián)網(wǎng)應(yīng)用服務(wù)正式上線提供服務(wù)之日起5個工作日內(nèi)，將書面安全評估報告向其所在地市級以上公安機關(guān)網(wǎng)安部門備案。</p><p>　　5.3　安全評估報告的內(nèi)容</p><p>　　評估報告應(yīng)包含以下內(nèi)容：</p><p>　　a)   互聯(lián)網(wǎng)服務(wù)功能、性能描

12、述；</p><p>　　b)   互聯(lián)網(wǎng)服務(wù)合法性、合規(guī)性說明（如提供的服務(wù)須獲得相應(yīng)行政許可的，應(yīng)包括相關(guān)證明文件）；</p><p>　　c)   網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖（必要時）；</p><p>　　d)   技術(shù)測試報告，活躍用戶在500萬以上的，應(yīng)包含壓力測試報告；<

13、;/p><p>　　e)   已建立的安全管理制度、措施；</p><p>　　f)   評估結(jié)論；</p><p>　　g)   不符合整改記錄；</p><p>　　h)   其他應(yīng)當說明的相關(guān)情況。</p>

14、<p><b>　　6　檢查流程</b></p><p><b>　　6.1　工作要求</b></p><p>　　屬地公安機關(guān)網(wǎng)安部門收到互聯(lián)網(wǎng)服務(wù)提供者提交的書面安全評估報告后，應(yīng)依據(jù)現(xiàn)行法律法規(guī)和相關(guān)標準規(guī)范要求，開展以下安全檢查工作：</p><p>　　a)   審閱互聯(lián)網(wǎng)

15、服務(wù)安全評估報告，必要時可邀請網(wǎng)絡(luò)和信息安全方面專家參與審議；</p><p>　　b)   對交互式、交易類互聯(lián)網(wǎng)應(yīng)用服務(wù)和軟件下載服務(wù)（包括應(yīng)用軟件商店），組織開展實地安全檢查。</p><p>　　上級公安機關(guān)網(wǎng)安部門對下一級網(wǎng)安部門安全檢查工作進行指導(dǎo)。</p><p>　　6.2　重點互聯(lián)網(wǎng)服務(wù)上報</p>&l

16、t;p>　　活躍用戶500萬以上的互聯(lián)網(wǎng)服務(wù)提供商開通新服務(wù)，屬地網(wǎng)安部門應(yīng)將該服務(wù)的安全評估報告上報省級網(wǎng)安部門；活躍用戶3000萬以上的互聯(lián)網(wǎng)服務(wù)提供商開通新服務(wù)，省級網(wǎng)安部門應(yīng)當將該服務(wù)的安全評估報告上報公安部網(wǎng)絡(luò)安全保衛(wèi)局。</p><p>　　6.3　重點互聯(lián)網(wǎng)服務(wù)專家評審</p><p>　　公安部網(wǎng)絡(luò)安全保衛(wèi)局和各省、自治區(qū)、直轄市公安廳、局網(wǎng)安總隊收到下一級網(wǎng)安部門報

17、備的互聯(lián)網(wǎng)服務(wù)安全評估報告后，對存在較大安全風(fēng)險、可能影響國家安全、公共安全和公眾利益的互聯(lián)網(wǎng)服務(wù)，應(yīng)組織網(wǎng)絡(luò)和信息安全方面專家進行評審，必要時應(yīng)會同屬地公安網(wǎng)安部門開展實地檢查。</p><p><b>　　6.4　檢查時限</b></p><p>　　公安網(wǎng)安部門組織開展檢查工作，不應(yīng)影響互聯(lián)網(wǎng)服務(wù)的正常運營，檢查時限最長不超過15個工作日。</p>

18、<p><b>　　6.5　日常檢查</b></p><p>　　公安網(wǎng)安部門組織定期檢查互聯(lián)網(wǎng)安全技術(shù)與管理措施落實情況。</p><p><b>　　7　檢查意見使用</b></p><p><b>　　7.1　限期整改</b></p><p>　　公安機關(guān)安全

19、檢查發(fā)現(xiàn)互聯(lián)網(wǎng)服務(wù)安全管理制度、措施達不到相關(guān)法律法規(guī)和標準規(guī)范要求的，應(yīng)責(zé)令互聯(lián)網(wǎng)服務(wù)提供者限期整改。對互聯(lián)網(wǎng)服務(wù)提供者在1個月內(nèi)無法完成整改的，應(yīng)責(zé)令暫停該應(yīng)用服務(wù)新用戶注冊。</p><p><b>　　7.2　暫停服務(wù)</b></p><p>　　檢查中發(fā)現(xiàn)互聯(lián)網(wǎng)服務(wù)存在重大安全隱患，極易引發(fā)現(xiàn)實危害的，屬地公安網(wǎng)安部門應(yīng)責(zé)令互聯(lián)網(wǎng)服務(wù)提供者立即暫停服務(wù)并進行

20、整改。</p><p><b>　　7.3　重新評估</b></p><p>　　在整改完成后，應(yīng)重新組織安全評估，評估報告經(jīng)公安機關(guān)檢查確認后，方可恢復(fù)由安全整改暫停的服務(wù)。</p><p><b>　　8　變更報備</b></p><p>　　互聯(lián)網(wǎng)服務(wù)正式運營期間，其安全策略、技術(shù)架構(gòu)、服務(wù)功

21、能等發(fā)生調(diào)整及變化，應(yīng)按規(guī)定程序向?qū)俚毓矙C關(guān)報備。對涉及以下情況的變更，應(yīng)重新開展安全評估：</p><p>　　a)    影響國家安全、公共安全、公眾利益的；</p><p>　　b)    影響防范和打擊違法犯罪的；</p><p>　　c)   &