GB/T 40645-2021 信息安全技术 互联网信息服务安全通用要求.pdf
- 文档部分内容预览:
互联网信息服务提供者应: a)核验注册用户的真实身份信息,包括身份证号码、手机号码、统一社会信用代码、生物特征计 信息等:
b)关联用户注册账号与其登录后的行为,道测用户对互联网信息服务的使用行为
5.2.1信息内容检测
水利工艺、技术交底5.2.1.1信息内容检测规则
互联网信息服务提供者应制定信息内容检测规则,具备实施和更新检测规则的技术措施
5.2.1.2信息内容识别过滤
互联网信息服务提供者应: a 建设并维护与业务规模相适应的违法信息、不良信息样本数据库,包括但不限于文本、图片、音 视频等形式的违法信息、不良信息; b)实现对文本、图片、音视频等形式的违法信息、不良信息准确识别和过滤,保障信息识别效果。
5.2.2信息服务分级分类
5.2.2.1信息内容分级分类
5.2.2.2信息服务用户分
5.3.1信息内容审核
5.3.1.1审核制度管理
互联网信息服务提供者应具备与审核制度相适应
5.3.1.2审核程序管理
互联网信息服务提供者应: a)对法律法规规定的信息内容实施先审后发: b)通过配置不同的审核策略和措施,对信息源信息内容进行分级审核: c)及时对重大事件等关键信息发布进行安全审核
5.3.2信息发布流程管理
5.3.2.1信息发布流程
互联网信息服务提供者应: a)对信息发布相关日志信息进行安全存储和保护,包括但不限于账号信息、发布时间、发布
容等; b)及时对重大事件等关键信息进行安全发布
5.3.2.2信息发布权限管理
联网信息服务提供者应从信息类型、信息内容等方面建立信息发布权限管理
5.4.1信息安全监测预警
5.4.1.1信息安全监测
GB/T 406452021
5.4.1.2信息安全预警
互联网信息服务应对监测到的存在安全风险的信息内容进行预警,并对信息安全预警情况进行及 时处置。
5.4.2安全事件应急处置
5.4.2.1安全事件应急预案
互联网信息服务提供者应建立安全事件应急预案,明确不同安全事件的分类分级和事件处置流程 等,并通过技术手段进行实施
5.4.2.2安全事件响应处置
互联网信息服务提供者应: a 对安全事件及时响应,并进行应急处置,采取关闭账号、删除信息等措施处置违规用户、违法信 息、不良信息等;X b 存储安全事件、处置情况等信息,包括处置人员、时间、对象、方式等; c)能够对服务或平台快速关停; d)通过加强审核等措施对互联网信息服务安全事件进行分级响应处置
5.5.1服务信息存储
5.5.1.1用户个人信息存储
互联网信息服务提供者应: a)按照GB/T35273一2020中第6章规定的要求,对用户个人信息进行存储; b)留存互联网信息服务注册用户信息; c)通过对个人敏感信息采用加密等安全措施,保障个人敏感信息的完整性和保密性
5.5.1.2业务信息存储
互联网信息服务提供者应:
GB/T40645—2021a)存储互联网信息服务中涉及发布、传播、共享等信息,保障业务信息完整性和保密性:b)采用密码技术进行业务信息完整性验证和授权使用;c)通过分布式存储等措施,对存储的业务信息进行备份5.5.2日志存储管理5.5.2.1日志存储互联网信息服务提供者应:a)存储包括用户账号、操作时间、操作类型、网络源地址和目标地址、网络源端口等日志信息;b)保障日志信息完整性、保密性和可用性;c)通过采用密码等技术措施,对日志进行完整性验证和授权查阅。5.5.2.2日志管理互联网信息服务提供者应设置日志访问权限,并进行日志审计。5.6信息销毁5.6.1用户注销管理5.6.1.1用户信息注销互联网信息服务提供者应接照GB/T35273一2020中8.5规定的要求,对用户账户进行注销,5.6.1.22用户信息销毁互联网信息服务提供者应:a)按照GB/T35273一2020中8.3规定的要求,对确认注销的用户个人信息及时删除;b)对用户信息销毁过程存证。5.6.2业务和日志信息销毁5.6.2.1信息销毁策略互联网信息服务提供者应通过逻辑删除等措施对信息进行销毁,5.6.2.2信息销毁记录互联网信息服务提供者应记录信息销毁活动,包括销毁人员、销毁时间、销毁内容、销毁方式等关键信息。6安全保障要求6.1管理制度6.1.1安全制度6.1.1.1信息源制度互联网信息服务提供者应制定信息源和信息采集制度,包括但不限于信息采集来源、采集范围、采集方法、采集流程、信息类别、信息形式等关键信息要素。8
6.1.1.2信息审核发布制度
GB/T 406452021
互联网信息服务提供者应: 对发布的文本、图片、音视频等信息内容,制定审核规则和审核程序,包括信息是否合法合规 等,明确审核轮次、审核策略、审核技术等关键要素; b 建立与信息内容审核制度和程序相适应的信息发布流程,明确一般事件、重天事件等信息的发 布流程; 建立信息审核制度和审核程序的修订机制,并对审核制度和审核程序进行修订更新和版本 控制; d 针对各类信息建立分级审核程序,对普通信息采用初审、复审两级审核,对重大事件等关键信 息采取如初审、复审、交叉审核、盲审、抽审等多级审核方式; e) 建立与信息审核程序相适应的信息安全发布流程,
6.1.2.1监测预警机制
互联网信息服务提供者应具备对存在安全风险的信息内容及时预警的规范和机制保障
6.1.2.2应急处置机制
互联网信息服务提供者应: a)制定安全事件分级预案和响应处置预案,明确安全事件分级制度、分级响应处置人员配备、处 置流程、处置方式、处置时效等; b)建立违法信息、不良信息快速处置工作机制
6.1.2.3投诉举报机制
互联网信息服务提供者应建立面向公众的投诉举报机制,明确处理时限、处理方式等关键要素
6.2.1.1安全管理机构
互联网信息服务提供者应设立专职安全管理机构,指导互联网信息服务管理工作,组织开展互 息服务监督工作。
6.2.1.2安全管理人员
6.2.2从业人员管理
6.2.2.1人员配备
6.2.2.2人员管理
互联网信息服务提供者应加强互联网信息服务人员管理,制定从业人员管理制度,如关键岗位人 保密协议、相关离职要求等
6.2.2.3人员培训
互联网信息服务提供者应: a)对参与互联网信息服务活动的相关人员建立培训制度,制定年度培训计划,组织实施培训与考 核,教育培训内容应包括信息安全相关法律法规、政策措施、技术标准等; b)保障互联网信息服务内容管理的从业人员每年参加至少1次信息安全教育培训; C)对从业人员进行资质审查、定期培训与定期考核
6.3.1.1数据保护
互联网信息服务提供者应: 建立用户个人信息安全管理机制,制定并定期更新隐私保护协议,定期组织开展用户数据保护 自查工作,应遵循GB/T35273一2020中第4章规定的个人信息安全基本原则; b)采用密码等技术对互联网信息服务中涉及用户个人敏感信息和商业秘密等信息进行保护
6.3.1.2数据存储
互联网信息服务提供者应: a)制定个人信息、业务信息、日志信息等信息的存储策略,明确存储策略中信息存储方式、存储流 程、存储时效等关键要素; b)备份存储的日志信息日志留存时间不少于6个月
6.3. 1.3数据销毁
互联网信息服务提供者应: a)按照GB/T35273一2020中8.5规定的要求,制定用户注销相关规范,明确注销用户信息策略; b)制定信息销毁策略,明确信息销毁方式、销毁流程等关键策略要素 c)按照GB/T35273一2020中8.3规定的要求,制定用户个人信息销毁措施,
6.3.2.1信息溯源
互联网信息服务提供者应: a 制定信息溯源的相关流程与机制; D 为满足信息源追溯,特别是事后溯源的需要,信息源相关日志保存时间应不少于6个月; c)按照GB/T35273一2020中的相关要求对用户相关信息的记录与留存
6.3.2.2安全响应处置
互联网信息服务提供者应:
GB/T 406452021
a)制定用户个人信息应急处置措施; b)根据安全事件响应处置情况,对安全事件分级预案和响应处置预案进行修订更新和版本控制; c)对安全事件多级响应处置预案定期进行演练。
6.4.1.1运营策略
互联网信息服务提供者应: a 建立信息内容分级分类规范,从信息的呈现形式、内容类别、传播属性等方面明确信息内容分 级分类规则; b) 制定互联网信息服务用户分类规范,并明确分类依据; 对违法信息、不良信息进行过滤、发现、溯源,及时处置并进行存证
6.4.1.2投诉举报处理
互联网信息服务提供者应: a)接受投诉举报起,受理时间不超过3天,并记录相关处理情况; b)建立7×24h投诉举报受理机制
6.4.2.1设施设备保障
联网信息服务 施设备资源原保,适场地、设施、存堵
6.4.2.2网络安全保障
互联网信息服务提供者应按照GB/T22239一2019的相关要求,建立与其服务相适应的网络环境 通信、建设和运维等安全机制,并定期进行安全评估,及时采取措施保障安全防护强度,
6.4.3外包服务管理
6.4.3.1使用第三方服务
互联网信息服务提供者应: a 制定使用第三方安全接口时遵循的安全管理规范,应通过协议、合同等形式明确合作方式和权 责划分; b)作为责任方,确保使用的第三方服务和接口满足信息服务安全要求
6.4.3.2提供第三方服务
互联网信息服务提供者应对于提供的服务制定相应的安全规范,保障服务和接口的安全。
(规范性) 互联网信息服务安全等级划分 互联网信息服务安全通用要求定义了两个安全级别,分别是基本级和增强级。通过互联网信息服 务所属企业规模、业务范围、用户规模等要素确定其应满足的安全级别。不同产品形态的互联网信息服 务在满足以下条件中的任何一种时,均需按照增强级开展安全建设和安全评估,见表A.1。 ·互联网信息服务企业规模达到中、大型企业规模要求。 ·互联网信息服务业务范围涉及音视频服务。
表A.1互联网信息服务安全等级划分规则
基本级应满足所定制组件中所有的基本要求。增强级应满足所定制组件中的基本要求和增强要 求,若某组件中未定义增强要求,则应满足基本要求。互联网信息服务安全技术要求和安全保障要求等 级划分见表A.2和表A.3。
基本级应满足所定制组件中所有的基本要求。增强级应满足所定制组件中的基本要求和增强要 求,若某组件中未定义增强要求,则应满足基本要求。互联网信息服务安全技术要求和安全保障要求等 级划分见表A.2和表A.3。
表A.2互联网信息服务安全技术要求等级划分
GB/T 406452021
A.2互联网信息服务安全技术要求等级划分(续
表A.3互联网信息服务安全保障要求等级划分
GB/T 406452021
互联网信息服务安全保障要求等级划分(续)
GB/T 406452021
附 录 B (资料性) 互联网信息服务安全通用要求组件包定制示例
(资科性) 互联网信息服务安全通用要求组件包定制示例 互联网信息服务安全通用要求以组件的方式定义了具有开放性、交互性、影响力等特征的互联网信 息生命周期六个阶段的安全通用要求。互联网信息服务提供者可参考表B.1分析产品涵盖的互联网信 息服务形式,如内容发布、评论评价、信息分享、推荐推送、内容搜索、通信群组、网络直播等,并结合服务 实际情况,参考表B.1,对产品提供的各个服务,通过组合组件的方式,定制相应的安全技术要求组件 包,进而通过组合产品所包含的各个服务的组件包,确定产品的安全技术要求。几类常见互联网信息服 务形式的安全技术要求组件包示例见表B.1
表B.1常见互联网信息服务形式的安全技术要求组件包
互联网信息服务形式的安全技术要求组件包(续
附录C (资料性) 互联网信息服务安全评估流程
C.2确定评估对象安全级
根据附录A,通过互联网信息服务所属企业规模、业务范围、用户规模等要素判断该互联网信息服 务的影响力和发生安全事件后的危害程度,从而确定其应满足的安全级别(基本级或增强级)。 当互联网信息服务企业规模达到软件和信息技术服务业的大型、中型企业要求,即从业人员数量 100人及以上且营业收人1000万元及以上,或互联网信息服务业务范围涉及音视频服务,或互联网信 息服务用户规模达到100万以上,则该互联网信息服务应按照增强级要求开展相关评估工作,其余情况 则根据基本级进行评估。
根据评估对象和安全级定制安全功能和安全保障组件集合(组件包)。明确某产品包括的互联网信 息服务形式后,可参考表B.1所示,通过组合组件的方式对各个服务分别定制安全要求。 根据评估对象和安全级定制安全功能和安全保障组件包集合。针对各服务分别定制安全要求(通 过组合组件形成组件包)后发电机标准规范范本,可将该产品包括的所有服务的定制安全要求集合起来(组合组件包),作为 该产品的定制安全要求。
根据定制的评估对象通用要求,自行制定实施安全评估所需的测评表,可包括测评项、通用要求、测 评方法、评分等项内容。 明确测评项检查要求,明确评分规则等
根据制定的安全评估测评表,可依据如下流程实施评估: a 组建包括管理人员、技术人员等在内的评估队伍; D 做好评估准备,做好评估前文档、工具的准备以及工作人员的培训工作; C 拟定评估方案,面向评估对象,制定评估实施总体计划,指导后续工作开展 d)启动评估,按照评估方案,组织评估队伍开展安全评估,做好评估过程和结果记录; e)编制评估报告,整理评估过程和结果,编制完成评估报告
GB/T 406452021
即为评估不通过。 终止项通过评估,通过测评表的综合得分判断是否通过基本级评估。 终止项通过评估,通过测评表的综合得分判断是否通过增强级评估。
即为评估不通过。 终止项通过评估,通过测评表的综合得分判断是否通过基本级评估。 终止项通过评估.通过测评表的综合得分判断是否通过增强级评估。
GB/T 406452021
技术交底[1]GB/T18336.1一2015信息技术安全技术信息技术安全评估准则第1部分:简介和 一般模型 [2]GB/T 18336.2—2015 信息技术安全技术信息技术安全评估准则 第2部分:安全功 能组件 [3]GB/T 18336.3—2015 信息技术安全技术信息技术安全评估准则第3部分:安全保 障组件 4 GB/T 20984—2007 信息安全技术 信息安全风险评估规范 [5] GB/T 22240—2020 信息安全技术 网络安全等级保护定级指南 [6] GB/T 25066—2020 信息安全技术 信息安全产品类别与代码 7 GB/T 28448—2019 信息安全技术 网络安全等级保护测评要求 [8] GB/T 28449—2018 信息安全技术 网络安全等级保护测评过程指南 [9] GB/T 30271— 2013 信息安全技术 信息安全服务能力评估准则 [10] GB/T 30283—2013 信息安全技术信息安全服务分类 [11] GB/T 39276—2020 信息安全技术 网络产品和服务安全通用要求 [12] GA1277—2020(所有部分) 互联网交互式服务安全管理要求 131 GA1278 安女全技不 互联网服务安全评估基本程序及要求
....- 相关专题: 信息安全技术