(高清版)GBT 40645-2021 信息安全技術(shù) 互聯(lián)網(wǎng)信息服務(wù)安全通 用要求

信息安全技術(shù)互聯(lián)網(wǎng)信息服務(wù)安全通用要求2021-10-11發(fā)布2022-05-01實(shí)施GB/T40645—2021 I 12規(guī)范性引用文件 3術(shù)語(yǔ)和定義 14概述 5安全技術(shù)要求 5.1信息生成 55.2信息處理 65.3信息發(fā)布 65.4信息傳播 75.5信息存儲(chǔ) 75.6信息銷毀 86安全保障要求 86.1管理制度 86.2機(jī)構(gòu)和人員 96.3業(yè)務(wù)連續(xù)性 6.4運(yùn)行和維護(hù) 附錄A(規(guī)范性)互聯(lián)網(wǎng)信息服務(wù)安全等級(jí)劃分 附錄B(資料性)互聯(lián)網(wǎng)信息服務(wù)安全通用要求組件包定制示例 附錄C(資料性)互聯(lián)網(wǎng)信息服務(wù)安全評(píng)估流程 C.1確定評(píng)估對(duì)象 C.2確定評(píng)估對(duì)象安全級(jí) C.3定制通用要求 C.4制定測(cè)評(píng)表 C.5實(shí)施評(píng)估 C.6認(rèn)定結(jié)果 參考文獻(xiàn) I本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)提出并歸口。本文件起草單位：中國(guó)科學(xué)院信息工程研究所、公安部第三研究所、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、中國(guó)信息通信研究院、中國(guó)電子科技集團(tuán)公司第十五研究所、北京理工大學(xué)、中國(guó)信息安全測(cè)評(píng)中心、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心、國(guó)家信息技術(shù)安全研究中心、浙江大學(xué)、工業(yè)和信息化部計(jì)算機(jī)與微電子發(fā)展研究中心(中國(guó)軟件測(cè)評(píng)中心)、陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心、四川省信息安全測(cè)評(píng)中心、云南省信息安全測(cè)評(píng)中心、湖北大學(xué)、北京百度網(wǎng)訊科技有限公司、阿里巴巴(北京)軟件服務(wù)有限公司、深圳市騰訊計(jì)算機(jī)系統(tǒng)有限公司、杭州網(wǎng)易易盾科技有限公司、北京小米移動(dòng)軟件有限公司、杭州趣鏈科技有限公司、網(wǎng)神信息技術(shù)(北京)股份有限公司、北京北信源軟件股份有限公司、OPPO廣東移動(dòng)通信有限公司、杭州梵為科技有限公司、貝殼找房(北京)科技有限公司、奇安信科技集團(tuán)股份有限公司。本文件主要起草人：孟丹、郭濤、張瀟丹、顧健、周熙、胡靜遠(yuǎn)、韓冀中、趙云霞、賀瀅睿、姚相振、1信息安全技術(shù)互聯(lián)網(wǎng)信息服務(wù)安全通用要求本文件規(guī)定了互聯(lián)網(wǎng)信息服務(wù)的安全通用要求，包括安全技術(shù)要求和安全保障要求。本文件適用于互聯(lián)網(wǎng)信息服務(wù)提供者開(kāi)展互聯(lián)網(wǎng)信息服務(wù)安全建設(shè)和安全評(píng)估，包括安全管理制度和技術(shù)保障措施等。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T25069信息安全技術(shù)術(shù)語(yǔ)GB/T35273—2020信息安全技術(shù)個(gè)人信息安全規(guī)范3術(shù)語(yǔ)和定義GB/T25069和GB/T35273—2020界定的以及下列術(shù)語(yǔ)和定義適用于本文件。互聯(lián)網(wǎng)信息服務(wù)internetinformationservice基于信息發(fā)布、交互、傳播等相關(guān)技術(shù)和功能屬性，通過(guò)互聯(lián)網(wǎng)面向社會(huì)公眾提供的公開(kāi)場(chǎng)景信息服務(wù)。以提供互聯(lián)網(wǎng)信息服務(wù)為目的，對(duì)信息進(jìn)行采集、編輯等操作的活動(dòng)。信息處理informationprocessing按照既定規(guī)則對(duì)信息進(jìn)行識(shí)別過(guò)濾、分級(jí)分類等操作的活動(dòng)。信息發(fā)布informationrelease在公開(kāi)場(chǎng)景下利用互聯(lián)網(wǎng)為個(gè)人或組織提供信息的活動(dòng)。通過(guò)互聯(lián)網(wǎng)傳遞擴(kuò)散信息的活動(dòng)。2信息存儲(chǔ)informationstorage將個(gè)人信息、業(yè)務(wù)信息、日志信息等保存在特定載體中，并保證所存儲(chǔ)信息安全性的活動(dòng)。信息銷毀informationdestruction對(duì)信息進(jìn)行技術(shù)處理，實(shí)現(xiàn)信息不可恢復(fù)性清除的活動(dòng)?；ヂ?lián)網(wǎng)信息服務(wù)中信息的提供者及信息內(nèi)容。互聯(lián)網(wǎng)信息服務(wù)中生成信息的個(gè)人或組織?；ヂ?lián)網(wǎng)信息服務(wù)用戶internetinformationserviceuser使用互聯(lián)網(wǎng)信息服務(wù)的個(gè)人或組織。注：互聯(lián)網(wǎng)信息服務(wù)用戶包括注冊(cè)用戶和非注冊(cè)用戶。互聯(lián)網(wǎng)信息服務(wù)提供者internetinformationserviceprovider為用戶提供互聯(lián)網(wǎng)信息服務(wù)的組織或機(jī)構(gòu)。信息溯源informationtracing互聯(lián)網(wǎng)信息服務(wù)提供者根據(jù)自身服務(wù)內(nèi)相關(guān)數(shù)據(jù)，查找用戶注冊(cè)信息及其他相關(guān)信息的活動(dòng)。4概述本文件基于互聯(lián)網(wǎng)信息服務(wù)形式，從安全技術(shù)要求和安全保障要求兩個(gè)方面，系統(tǒng)地闡述了互聯(lián)網(wǎng)信息服務(wù)安全通用要求，見(jiàn)圖1。圖1互聯(lián)網(wǎng)信息服務(wù)安全通用要求模型3多種服務(wù)形式。安全技術(shù)要求方面，定義了信息生命周期，包括信息生成、信息處理、信息發(fā)布、信息傳播、信息存儲(chǔ)、信息銷毀六個(gè)階段，針對(duì)各階段提出了面向開(kāi)放性、交互性、影響力等特征的互聯(lián)網(wǎng)信息服務(wù)的安全技術(shù)要求，涵蓋了信息生命周期中的主要安全要素。安全保障要求方面，從管理制度、機(jī)構(gòu)和人員、業(yè)務(wù)連續(xù)性、運(yùn)行和維護(hù)等四個(gè)維度，提出了互聯(lián)網(wǎng)信息服務(wù)的安全保障要求。本文件采用類、族、組件的層次化結(jié)構(gòu)定義方法，提出互聯(lián)網(wǎng)信息服務(wù)的安全技術(shù)要求和安全保障要求。安全技術(shù)要求各類、族、組件對(duì)應(yīng)關(guān)系見(jiàn)表1,安全保障要求各類、族、組件對(duì)應(yīng)關(guān)系見(jiàn)表2。類族組件信息生成信息源安全要求信息源要求信息采集要求信息源追溯信息生成主體信息服務(wù)用戶注冊(cè)信息生成主體保護(hù)信息生成主體溯源信息處理信息內(nèi)容檢測(cè)信息內(nèi)容檢測(cè)規(guī)則信息內(nèi)容識(shí)別過(guò)濾信息服務(wù)分級(jí)分類信息內(nèi)容分級(jí)分類信息服務(wù)用戶分類信息發(fā)布信息內(nèi)容審核審核制度管理審核程序管理信息發(fā)布流程管理信息發(fā)布流程信息發(fā)布權(quán)限管理信息傳播信息安全監(jiān)測(cè)預(yù)警信息安全監(jiān)測(cè)信息安全預(yù)警安全事件應(yīng)急處置安全事件應(yīng)急預(yù)案安全事件響應(yīng)處置信息存儲(chǔ)服務(wù)信息存儲(chǔ)用戶個(gè)人信息存儲(chǔ)業(yè)務(wù)信息存儲(chǔ)日志存儲(chǔ)管理日志存儲(chǔ)日志管理信息銷毀用戶注銷管理用戶信息注銷用戶信息銷毀業(yè)務(wù)與日志信息銷毀信息銷毀策略信息銷毀記錄4類族組件管理制度安全制度信息源制度信息審核發(fā)布制度安全機(jī)制監(jiān)測(cè)預(yù)警機(jī)制應(yīng)急處置機(jī)制投訴舉報(bào)機(jī)制機(jī)構(gòu)和人員組織機(jī)構(gòu)安全管理機(jī)構(gòu)安全管理人員從業(yè)人員管理人員配備人員管理人員培訓(xùn)業(yè)務(wù)連續(xù)性數(shù)據(jù)管理數(shù)據(jù)保護(hù)數(shù)據(jù)存儲(chǔ)數(shù)據(jù)銷毀應(yīng)急處理信息溯源應(yīng)急響應(yīng)處置運(yùn)行和維護(hù)服務(wù)運(yùn)營(yíng)運(yùn)營(yíng)策略投訴舉報(bào)處理保障措施設(shè)施設(shè)備保障網(wǎng)絡(luò)安全保障外包服務(wù)管理使用第三方服務(wù)提供第三方服務(wù)為滿足不同開(kāi)放程度、交互能力、影響力的互聯(lián)網(wǎng)信息服務(wù)的差異化安全要求，本文件在組件中定義了基本要求和增強(qiáng)要求?；ヂ?lián)網(wǎng)信息服務(wù)提供者應(yīng)對(duì)擬提供的互聯(lián)網(wǎng)信息服務(wù)所屬產(chǎn)品形態(tài)、業(yè)務(wù)范圍和用戶規(guī)模等屬性進(jìn)行分析，選擇相應(yīng)的安全要求開(kāi)展安全建設(shè)和評(píng)估活動(dòng)。本文件在每個(gè)安全要求族中設(shè)置了“自定義組件”,作為已有安全要求組件的擴(kuò)展?；ヂ?lián)網(wǎng)信息服務(wù)提供者可在實(shí)際安全建設(shè)和安全評(píng)估工作中自行定義安全組件及其應(yīng)滿足的安全要求?；ヂ?lián)網(wǎng)信息服務(wù)所屬的產(chǎn)品形態(tài)、業(yè)務(wù)范圍和用戶規(guī)模等屬性與安全等級(jí)之間的對(duì)應(yīng)關(guān)系應(yīng)按照附錄A要求。本文件提出了互聯(lián)網(wǎng)信息服務(wù)安全通用要求組件包定制示例(見(jiàn)附錄B)和互聯(lián)網(wǎng)信息服務(wù)安全評(píng)估流程(見(jiàn)附錄C)?；ヂ?lián)網(wǎng)信息服務(wù)提供者根據(jù)附錄A確定產(chǎn)品和信息服務(wù)應(yīng)滿足的安全要求級(jí)別，可參考附錄B分析產(chǎn)品涵蓋的互聯(lián)網(wǎng)信息服務(wù)形式，如內(nèi)容發(fā)布、評(píng)論評(píng)價(jià)等，并通過(guò)組合組件的方式，定制相應(yīng)的安全要求組件包，確定產(chǎn)品安全要求，開(kāi)展安全建設(shè)和安全評(píng)估。在本文件中，加黑部分表示互聯(lián)網(wǎng)信息服務(wù)應(yīng)滿足的增強(qiáng)要求。55安全技術(shù)要求5.1信息生成5.1.1信息源安全要求互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)通過(guò)信息標(biāo)識(shí)、檢索、篩選等措施，保障符合信息源管理相關(guān)規(guī)范的要求。互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)：a)按照GB/T35273—2020中5.1,5.2,5.3和5.4規(guī)定的要求采集個(gè)人信息；b)規(guī)范第三方開(kāi)放接口獲取或提供信息等行為；c)通過(guò)數(shù)字簽名、信息備份等措施，保障采集信息完整性?；ヂ?lián)網(wǎng)信息服務(wù)提供者應(yīng)：a)記錄并留存信息源的相關(guān)信息，如信息的采集時(shí)間、采集渠道、采集用途、信息編輯歷史等；b)通過(guò)日志追溯等措施實(shí)現(xiàn)對(duì)信息的追溯。5.1.2信息生成主體5.1.2.1信息服務(wù)用戶注冊(cè)互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)：a)明確用戶注冊(cè)信息字段，并與用戶簽訂服務(wù)使用協(xié)議；b)審核用戶昵稱、頭像、簡(jiǎn)介等注冊(cè)信息，具備先審后發(fā)等安全機(jī)制；c)建立對(duì)注冊(cè)信息中違法信息、不良信息的處理措施，如警示整改、限制功能、暫停更新、關(guān)閉賬號(hào)等；d)對(duì)新增和存量注冊(cè)用戶采取身份證號(hào)碼、手機(jī)號(hào)碼、統(tǒng)一社會(huì)信用代碼、生物特征識(shí)別等方式中的一種或多種進(jìn)行真實(shí)身份信息認(rèn)證?；ヂ?lián)網(wǎng)信息服務(wù)提供者應(yīng)：a)按照GB/T35273—2020中5.5規(guī)定的要求，建立用戶個(gè)人信息保護(hù)措施，防止用戶個(gè)人信息b)通過(guò)如加密、去標(biāo)識(shí)化等措施，對(duì)用戶個(gè)人信息進(jìn)行保護(hù)；c)在信息生成主體敏感信息發(fā)生或者可能發(fā)生泄露、毀損、丟失的情況時(shí)，立即采取數(shù)據(jù)追溯、查驗(yàn)、處置等補(bǔ)救技術(shù)措施，并向相關(guān)部門報(bào)告?；ヂ?lián)網(wǎng)信息服務(wù)提供者應(yīng)：a)核驗(yàn)注冊(cè)用戶的真實(shí)身份信息，包括身份證號(hào)碼、手機(jī)號(hào)碼、統(tǒng)一社會(huì)信用代碼、生物特征識(shí)別信息等；6b)關(guān)聯(lián)用戶注冊(cè)賬號(hào)與其登錄后的行為，追溯用戶對(duì)互聯(lián)網(wǎng)信息服務(wù)的使用行為；c)具備實(shí)現(xiàn)抗抵賴性的相關(guān)技術(shù)措施。5.2信息處理5.2.1信息內(nèi)容檢測(cè)互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)制定信息內(nèi)容檢測(cè)規(guī)則，具備實(shí)施和更新檢測(cè)規(guī)則的技術(shù)措施。5.2.1.2信息內(nèi)容識(shí)別過(guò)濾互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)：a)建設(shè)并維護(hù)與業(yè)務(wù)規(guī)模相適應(yīng)的違法信息、不良信息樣本數(shù)據(jù)庫(kù)，包括但不限于文本、圖片、音視頻等形式的違法信息、不良信息；b)實(shí)現(xiàn)對(duì)文本、圖片、音視頻等形式的違法信息、不良信息準(zhǔn)確識(shí)別和過(guò)濾，保障信息識(shí)別效果。5.2.2信息服務(wù)分級(jí)分類互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)從安全風(fēng)險(xiǎn)、業(yè)務(wù)特征、內(nèi)容質(zhì)量等方面對(duì)信息內(nèi)容實(shí)行分級(jí)分類。互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)：b)從誠(chéng)信度、真實(shí)性、原創(chuàng)性等方面的對(duì)注冊(cè)用戶進(jìn)行評(píng)價(jià)；c)對(duì)不同類別的互聯(lián)網(wǎng)信息服務(wù)用戶，從獲取、使用、傳播信息等方面進(jìn)行權(quán)限設(shè)置。5.3信息發(fā)布互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)具備與審核制度相適應(yīng)的技術(shù)措施?；ヂ?lián)網(wǎng)信息服務(wù)提供者應(yīng)：a)對(duì)法律法規(guī)規(guī)定的信息內(nèi)容實(shí)施先審后發(fā)；b)通過(guò)配置不同的審核策略和措施，對(duì)信息源信息內(nèi)容進(jìn)行分級(jí)審核；c)及時(shí)對(duì)重大事件等關(guān)鍵信息發(fā)布進(jìn)行安全審核。5.3.2信息發(fā)布流程管理互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)：a)對(duì)信息發(fā)布相關(guān)日志信息進(jìn)行安全存儲(chǔ)和保護(hù)，包括但不限于賬號(hào)信息、發(fā)布時(shí)間、發(fā)布內(nèi)7容等；b)及時(shí)對(duì)重大事件等關(guān)鍵信息進(jìn)行安全發(fā)布。5.3.2.2信息發(fā)布權(quán)限管理互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)從信息類型、信息內(nèi)容等方面建立信息發(fā)布權(quán)限管理。5.4信息傳播5.4.1信息安全監(jiān)測(cè)預(yù)警互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)：a)針對(duì)信息內(nèi)容在傳播過(guò)程中可能存在的安全風(fēng)險(xiǎn)，通過(guò)主動(dòng)巡查等措施，對(duì)信息內(nèi)容的傳播范圍、影響力等信息進(jìn)行監(jiān)測(cè)；b)提供投訴舉報(bào)渠道，包括有效的電話、電子郵箱、網(wǎng)頁(yè)反饋入口等?；ヂ?lián)網(wǎng)信息服務(wù)應(yīng)對(duì)監(jiān)測(cè)到的存在安全風(fēng)險(xiǎn)的信息內(nèi)容進(jìn)行預(yù)警，并對(duì)信息安全預(yù)警情況進(jìn)行及時(shí)處置。5.4.2安全事件應(yīng)急處置5.4.2.1安全事件應(yīng)急預(yù)案互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)建立安全事件應(yīng)急預(yù)案，明確不同安全事件的分類分級(jí)和事件處置流程等，并通過(guò)技術(shù)手段進(jìn)行實(shí)施。5.4.2.2安全事件響應(yīng)處置互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)：a)對(duì)安全事件及時(shí)響應(yīng)，并進(jìn)行應(yīng)急處置，采取關(guān)閉賬號(hào)、刪除信息等措施處置違規(guī)用戶、違法信c)能夠?qū)Ψ?wù)或平臺(tái)快速關(guān)停；d)通過(guò)加強(qiáng)審核等措施對(duì)互聯(lián)網(wǎng)信息服務(wù)安全事件進(jìn)行分級(jí)響應(yīng)處置。5.5信息存儲(chǔ)5.5.1服務(wù)信息存儲(chǔ)互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)：a)按照GB/T35273—2020中第6章規(guī)定的要求，對(duì)用戶個(gè)人信息進(jìn)行存儲(chǔ)；b)留存互聯(lián)網(wǎng)信息服務(wù)注冊(cè)用戶信息；c)通過(guò)對(duì)個(gè)人敏感信息采用加密等安全措施，保障個(gè)人敏感信息的完整性和保密性?；ヂ?lián)網(wǎng)信息服務(wù)提供者應(yīng)：8a)存儲(chǔ)互聯(lián)網(wǎng)信息服務(wù)中涉及發(fā)布、傳播、共享等信息，保障業(yè)務(wù)信息完整性和保密性；b)采用密碼技術(shù)進(jìn)行業(yè)務(wù)信息完整性驗(yàn)證和授權(quán)使用；c)通過(guò)分布式存儲(chǔ)等措施，對(duì)存儲(chǔ)的業(yè)務(wù)信息進(jìn)行備份。互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)：a)存儲(chǔ)包括用戶賬號(hào)、操作時(shí)間、操作類型、網(wǎng)絡(luò)源地址和目標(biāo)地址、網(wǎng)絡(luò)源端口等日志信息；b)保障日志信息完整性、保密性和可用性；c)通過(guò)采用密碼等技術(shù)措施，對(duì)日志進(jìn)行完整性驗(yàn)證和授權(quán)查閱?；ヂ?lián)網(wǎng)信息服務(wù)提供者應(yīng)設(shè)置日志訪問(wèn)權(quán)限，并進(jìn)行日志審計(jì)。5.6信息銷毀5.6.1用戶注銷管理互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)按照GB/T35273—2020中8.5規(guī)定的要求，對(duì)用戶賬戶進(jìn)行注銷?；ヂ?lián)網(wǎng)信息服務(wù)提供者應(yīng)：a)按照GB/T35273—2020中8.3規(guī)定的要求，對(duì)確認(rèn)注銷的用戶個(gè)人信息及時(shí)刪除；b)對(duì)用戶信息銷毀過(guò)程存證。5.6.2業(yè)務(wù)和日志信息銷毀互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)通過(guò)邏輯刪除等措施對(duì)信息進(jìn)行銷毀?；ヂ?lián)網(wǎng)信息服務(wù)提供者應(yīng)記錄信息銷毀活動(dòng)，包括銷毀人員、銷毀時(shí)間、銷毀內(nèi)容、銷毀方式等關(guān)鍵信息。6安全保障要求6.1管理制度互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)制定信息源和信息采集制度，包括但不限于信息采集來(lái)源、采集范圍、采9互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)：a)對(duì)發(fā)布的文本、圖片、音視頻等信息內(nèi)容，制定審核規(guī)則和審核程序，包括信息是否合法合規(guī)b)建立與信息內(nèi)容審核制度和程序相適應(yīng)的信息發(fā)布流程，明確一般事件、重大事件等信息的發(fā)布流程；c)建立信息審核制度和審核程序的修訂機(jī)制，并對(duì)審核制度和審核程序進(jìn)行修訂更新和版本d)針對(duì)各類信息建立分級(jí)審核程序，對(duì)普通信息采用初審、復(fù)審兩級(jí)審核，對(duì)重大事件等關(guān)鍵信e)建立與信息審核程序相適應(yīng)的信息安全發(fā)布流程。互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)具備對(duì)存在安全風(fēng)險(xiǎn)的信息內(nèi)容及時(shí)預(yù)警的規(guī)范和機(jī)制保障。互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)：a)制定安全事件分級(jí)預(yù)案和響應(yīng)處置預(yù)案，明確安全事件分級(jí)制度、分級(jí)響應(yīng)處置人員配備、處b)建立違法信息、不良信息快速處置工作機(jī)制?；ヂ?lián)網(wǎng)信息服務(wù)提供者應(yīng)建立面向公眾的投訴舉報(bào)機(jī)制，明確處理時(shí)限、處理方式等關(guān)鍵要素。6.2機(jī)構(gòu)和人員互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)設(shè)立專職安全管理機(jī)構(gòu)，指導(dǎo)互聯(lián)網(wǎng)信息服務(wù)管理工作，組織開(kāi)展互聯(lián)網(wǎng)信息服務(wù)監(jiān)督工作?；ヂ?lián)網(wǎng)信息服務(wù)提供者應(yīng)：a)指定至少1名主管，負(fù)責(zé)領(lǐng)導(dǎo)相關(guān)工作，包括為互聯(lián)網(wǎng)信息服務(wù)安全工作提供資源保障等；b)配備與業(yè)務(wù)規(guī)模相適應(yīng)的專職工作人員；c)配備處置互聯(lián)網(wǎng)信息服務(wù)安全事件的人員。6.2.2從業(yè)人員管理互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)在服務(wù)中提供與業(yè)務(wù)規(guī)模相適應(yīng)的從事信息安全相關(guān)人員?；ヂ?lián)網(wǎng)信息服務(wù)提供者應(yīng)加強(qiáng)互聯(lián)網(wǎng)信息服務(wù)人員管理，制定從業(yè)人員管理制度，如關(guān)鍵崗位人員簽訂保密協(xié)議、相關(guān)離職要求等。互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)：a)對(duì)參與互聯(lián)網(wǎng)信息服務(wù)活動(dòng)的相關(guān)人員建立培訓(xùn)制度，制定年度培訓(xùn)計(jì)劃，組織實(shí)施培訓(xùn)與考核，教育培訓(xùn)內(nèi)容應(yīng)包括信息安全相關(guān)法律法規(guī)、政策措施、技術(shù)標(biāo)準(zhǔn)等；b)保障互聯(lián)網(wǎng)信息服務(wù)內(nèi)容管理的從業(yè)人員每年參加至少1次信息安全教育培訓(xùn)；c)對(duì)從業(yè)人員進(jìn)行資質(zhì)審查、定期培訓(xùn)與定期考核。6.3業(yè)務(wù)連續(xù)性互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)：a)建立用戶個(gè)人信息安全管理機(jī)制，制定并定期更新隱私保護(hù)協(xié)議，定期組織開(kāi)展用戶數(shù)據(jù)保護(hù)自查工作，應(yīng)遵循GB/T35273—2020中第4章規(guī)定的個(gè)人信息安全基本原則；b)采用密碼等技術(shù)對(duì)互聯(lián)網(wǎng)信息服務(wù)中涉及用戶個(gè)人敏感信息和商業(yè)秘密等信息進(jìn)行保護(hù)?；ヂ?lián)網(wǎng)信息服務(wù)提供者應(yīng)：a)制定個(gè)人信息、業(yè)務(wù)信息、日志信息等信息的存儲(chǔ)策略，明確存儲(chǔ)策略中信息存儲(chǔ)方式、存儲(chǔ)流b)備份存儲(chǔ)的日志信息，日志留存時(shí)間不少于6個(gè)月?；ヂ?lián)網(wǎng)信息服務(wù)提供者應(yīng)：a)按照GB/T35273—2020中8.5規(guī)定的要求，制定用戶注銷相關(guān)規(guī)范，明確注銷用戶信息策略；b)制定信息銷毀策略，明確信息銷毀方式、銷毀流程等關(guān)鍵策略要素；c)按照GB/T35273—2020中8.3規(guī)定的要求，制定用戶個(gè)人信息銷毀措施?；ヂ?lián)網(wǎng)信息服務(wù)提供者應(yīng)：a)制定信息溯源的相關(guān)流程與機(jī)制；b)為滿足信息源追溯，特別是事后溯源的需要，信息源相關(guān)日志保存時(shí)間應(yīng)不少于6個(gè)月；c)按照GB/T35273—2020中的相關(guān)要求對(duì)用戶相關(guān)信息的記錄與留存?；ヂ?lián)網(wǎng)信息服務(wù)提供者應(yīng)：a)制定用戶個(gè)人信息應(yīng)急處置措施；b)根據(jù)安全事件響應(yīng)處置情況，對(duì)安全事件分級(jí)預(yù)案和響應(yīng)處置預(yù)案進(jìn)行修訂更新和版本控制；c)對(duì)安全事件多級(jí)響應(yīng)處置預(yù)案定期進(jìn)行演練。6.4運(yùn)行和維護(hù)互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)：a)建立信息內(nèi)容分級(jí)分類規(guī)范，從信息的呈現(xiàn)形式、內(nèi)容類別、傳播屬性等方面明確信息內(nèi)容分級(jí)分類規(guī)則；b)制定互聯(lián)網(wǎng)信息服務(wù)用戶分類規(guī)范，并明確分類依據(jù)；c)對(duì)違法信息、不良信息進(jìn)行過(guò)濾、發(fā)現(xiàn)、溯源，及時(shí)處置并互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)：a)接受投訴舉報(bào)起，受理時(shí)間不超過(guò)3天，并記錄相關(guān)處理情況；b)建立7×24h投訴舉報(bào)受理機(jī)制。互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)提供與業(yè)務(wù)規(guī)模相適應(yīng)的設(shè)施設(shè)備資源保障，包括場(chǎng)地、設(shè)施、存儲(chǔ)和網(wǎng)絡(luò)資源等，允許互聯(lián)網(wǎng)信息服務(wù)提供者使用第三方提供的設(shè)施設(shè)備?；ヂ?lián)網(wǎng)信息服務(wù)提供者應(yīng)按照GB/T22239—2019的相關(guān)要求，建立與其服務(wù)相適應(yīng)的網(wǎng)絡(luò)環(huán)境、通信、建設(shè)和運(yùn)維等安全機(jī)制，并定期進(jìn)行安全評(píng)估，及時(shí)采取措施保障安全防護(hù)強(qiáng)度。6.4.3外包服務(wù)管理互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)：a)制定使用第三方安全接口時(shí)遵循的安全管理規(guī)范，應(yīng)通過(guò)協(xié)議、合同等形式明確合作方式和權(quán)責(zé)劃分；b)作為責(zé)任方，確保使用的第三方服務(wù)和接口滿足信息服務(wù)安全要求?；ヂ?lián)網(wǎng)信息服務(wù)提供者應(yīng)對(duì)于提供的服務(wù)制定相應(yīng)的安全規(guī)范，保障服務(wù)和接口的安全?；ヂ?lián)網(wǎng)信息服務(wù)安全等級(jí)劃分互聯(lián)網(wǎng)信息服務(wù)安全通用要求定義了兩個(gè)安全級(jí)別，分別是基本級(jí)和增強(qiáng)級(jí)。通過(guò)互聯(lián)網(wǎng)信息服務(wù)所屬企業(yè)規(guī)模、業(yè)務(wù)范圍、用戶規(guī)模等要素確定其應(yīng)滿足的安全級(jí)別。不同產(chǎn)品形態(tài)的互聯(lián)網(wǎng)信息服務(wù)在滿足以下條件中的任何一種時(shí)，均需按照增強(qiáng)級(jí)開(kāi)展安全建設(shè)和安全評(píng)估，見(jiàn)表A.1?！窕ヂ?lián)網(wǎng)信息服務(wù)企業(yè)規(guī)模達(dá)到中、大型企業(yè)規(guī)模要求?！窕ヂ?lián)網(wǎng)信息服務(wù)業(yè)務(wù)范圍涉及音視頻服務(wù)?！窕ヂ?lián)網(wǎng)信息服務(wù)用戶規(guī)模達(dá)到100萬(wàn)以上。表A.1互聯(lián)網(wǎng)信息服務(wù)安全等級(jí)劃分規(guī)則分級(jí)要素安全級(jí)基本級(jí)增強(qiáng)級(jí)企業(yè)規(guī)模小、微型企業(yè)√中型企業(yè)√大型企業(yè)√業(yè)務(wù)范圍文字√圖片√音視頻√用戶規(guī)模100萬(wàn)及以下√100萬(wàn)以上√基本級(jí)應(yīng)滿足所定制組件中所有的基本要求。增強(qiáng)級(jí)應(yīng)滿足所定制組件中的基本要求和增強(qiáng)要求，若某組件中未定義增強(qiáng)要求，則應(yīng)滿足基本要求?；ヂ?lián)網(wǎng)信息服務(wù)安全技術(shù)要求和安全保障要求等級(jí)劃分見(jiàn)表A.2和表A.3。表A.2互聯(lián)網(wǎng)信息服務(wù)安全技術(shù)要求等級(jí)劃分安全技術(shù)要求安全級(jí)基本級(jí)增強(qiáng)級(jí)信息生成信息源安全要求信息源要求信息采集要求信息源追溯信息生成主體信息服務(wù)用戶注冊(cè)信息生成主體保護(hù)信息生成主體溯源安全技術(shù)要求安全級(jí)基本級(jí)增強(qiáng)級(jí)信息處理信息內(nèi)容檢測(cè)信息內(nèi)容檢測(cè)規(guī)則信息內(nèi)容識(shí)別過(guò)濾信息服務(wù)分級(jí)分類信息內(nèi)容分級(jí)分類信息服務(wù)用戶分類信息發(fā)布信息內(nèi)容審核審核制度管理審核程序管理信息發(fā)布流程管理信息發(fā)布流程信息發(fā)布權(quán)限管理信息傳播信息安全監(jiān)測(cè)預(yù)警信息安全監(jiān)測(cè)信息安全預(yù)警安全事件應(yīng)急處置安全事件應(yīng)急預(yù)案安全事件響應(yīng)處置信息存儲(chǔ)服務(wù)信息存儲(chǔ)用戶個(gè)人信息存儲(chǔ)業(yè)務(wù)信息存儲(chǔ)日志存儲(chǔ)管理日志存儲(chǔ)日志管理信息銷毀用戶注銷管理用戶信息注銷用戶信息銷毀業(yè)務(wù)和日志信息銷毀信息銷毀策略信息銷毀記錄安全保障要求安全級(jí)基本級(jí)增強(qiáng)級(jí)管理制度安全制度信息源制度信息審核發(fā)布制度安全機(jī)制監(jiān)測(cè)預(yù)警機(jī)制應(yīng)急處置機(jī)制投訴舉報(bào)機(jī)制表A.3互聯(lián)網(wǎng)信息服務(wù)安全保障要求等級(jí)劃分(續(xù))安全保障要求安全級(jí)基本級(jí)增強(qiáng)級(jí)機(jī)構(gòu)和人員組織機(jī)構(gòu)安全管理機(jī)構(gòu)安全管理人員從業(yè)人員管理人員配備人員管理人員培訓(xùn)業(yè)務(wù)連續(xù)性數(shù)據(jù)管理數(shù)據(jù)保護(hù)數(shù)據(jù)存儲(chǔ)數(shù)據(jù)銷毀應(yīng)急處理信息溯源安全響應(yīng)處置運(yùn)行和維護(hù)服務(wù)運(yùn)營(yíng)運(yùn)營(yíng)策略投訴舉報(bào)處理保障措施設(shè)施設(shè)備保障網(wǎng)絡(luò)安全保障外包服務(wù)管理使用第三方服務(wù)提供第三方服務(wù)互聯(lián)網(wǎng)信息服務(wù)安全通用要求組件包定制示例互聯(lián)網(wǎng)信息服務(wù)安全通用要求以組件的方式定義了具有開(kāi)放性、交互性、影響力等特征的互聯(lián)網(wǎng)信息生命周期六個(gè)階段的安全通用要求?；ヂ?lián)網(wǎng)信息服務(wù)提供者可參考表B.1分析產(chǎn)品涵蓋的互聯(lián)網(wǎng)信實(shí)際情況，參考表B.1,對(duì)產(chǎn)品提供的各個(gè)服務(wù)，通過(guò)組合組件的方式，定制相應(yīng)的安全技術(shù)要求組件包，進(jìn)而通過(guò)組合產(chǎn)品所包含的各個(gè)服務(wù)的組件包，確定產(chǎn)品的安全技術(shù)要求。幾類常見(jiàn)互聯(lián)網(wǎng)信息服務(wù)形式的安全技術(shù)要求組件包示例見(jiàn)表B.1。表B.1常見(jiàn)互聯(lián)網(wǎng)信息服務(wù)形式的安全技術(shù)要求組件包組件服務(wù)形式內(nèi)容發(fā)布評(píng)論評(píng)價(jià)信息分享推薦推送內(nèi)容搜索通信群組網(wǎng)絡(luò)直播信息源要求√√√√√信息采集要求√√√√√信息源追溯√√√√√√信息服務(wù)用戶注冊(cè)√√√√√信息生成主體保護(hù)√√√√√信息生成主體溯源√√√√√信息內(nèi)容檢測(cè)規(guī)則√√√√√√√信息內(nèi)容識(shí)別過(guò)濾√√√√√√√信息內(nèi)容分級(jí)分類√√√√√信息服務(wù)用戶分類√√√√√√審核制度管理√√√√√√審核程序管理√√√√√√信息發(fā)布流程√√√√√√信息發(fā)布權(quán)限管理√√√√√√信息安全監(jiān)測(cè)√√√√√√√信息安全預(yù)警√√√√√√√安全事件應(yīng)急預(yù)案√√√√√√√安全事件響應(yīng)處置√√√√√√√用戶個(gè)人信息存儲(chǔ)√√√√√√業(yè)務(wù)信息存儲(chǔ)√√√√√√√日志存儲(chǔ)√√√√√√√日志管理√√√√√√√用戶信息注銷√√√√√√表B.1常見(jiàn)互聯(lián)網(wǎng)信息服務(wù)形式的安全技術(shù)要求組件包(續(xù))組件服務(wù)形式內(nèi)容發(fā)布評(píng)論評(píng)價(jià)信息分享推薦推送內(nèi)容搜索通信群組網(wǎng)絡(luò)直播用戶信息銷毀√√√√√√信息銷毀策略√√√√√√信息銷毀記錄√√√√√√針對(duì)表B.1定制出的各項(xiàng)安全技術(shù)要求，應(yīng)從管理制度、機(jī)構(gòu)和人員、業(yè)務(wù)連續(xù)性、運(yùn)行和維護(hù)四個(gè)維度，配套相應(yīng)的基本級(jí)或增強(qiáng)級(jí)安全保障要求?；ヂ?lián)網(wǎng)信息服務(wù)提供者可根據(jù)附錄A和附錄B定制具體產(chǎn)品的安全要求，以微博客產(chǎn)品為例，其互聯(lián)網(wǎng)信息服務(wù)安全要求的具體定制方法如下：根據(jù)表A.1,該產(chǎn)品屬于微博客產(chǎn)品形態(tài)，應(yīng)滿足增強(qiáng)級(jí)要求，其提供的服務(wù)包括以下5類：內(nèi)容發(fā)布、評(píng)論評(píng)價(jià)、信息分享、推薦推送、內(nèi)容搜索。根據(jù)表B.1,可對(duì)5類服務(wù)分別定制安全技術(shù)要求組件包，最后集成多個(gè)組件包形成針對(duì)該產(chǎn)品的安全技術(shù)要求組件包集合。針對(duì)各項(xiàng)安全技術(shù)要求，按照第6章內(nèi)容，從管理制度、機(jī)構(gòu)和人員、業(yè)務(wù)連續(xù)性、運(yùn)行和維護(hù)四個(gè)維度配套相應(yīng)的增強(qiáng)級(jí)安全保障要求，共同組合形成微博客產(chǎn)品的安全要求?；ヂ?lián)網(wǎng)信息服務(wù)安全評(píng)估流程C.1確定評(píng)估對(duì)象確定評(píng)估對(duì)象所屬的產(chǎn)品形態(tài)和提供的服務(wù)形式。產(chǎn)品形態(tài)包括但不限于互聯(lián)網(wǎng)站、應(yīng)用程序、聊天室、公眾賬號(hào)、即時(shí)通信工具(不包括私密通信)、服務(wù)形式包括但不限于內(nèi)容發(fā)布、評(píng)論評(píng)價(jià)、信息分享、推薦推送、內(nèi)容搜索、通信群組、網(wǎng)絡(luò)直播等。某一種產(chǎn)品可能包括一種或多種服務(wù)形式。C.2確定評(píng)估對(duì)象安全級(jí)根據(jù)附錄A,通過(guò)互聯(lián)網(wǎng)信息服務(wù)所屬企業(yè)規(guī)模、業(yè)務(wù)范圍、用戶規(guī)模等要素判斷該互聯(lián)網(wǎng)信息服務(wù)的影響力和發(fā)生安全事件后的危害程度，從而確定其應(yīng)滿足的安全級(jí)別(基本級(jí)或增強(qiáng)級(jí))。當(dāng)互聯(lián)網(wǎng)信息服務(wù)企業(yè)規(guī)模達(dá)到軟件和信息技術(shù)服務(wù)業(yè)的大型、中型企業(yè)要求，即從業(yè)人員數(shù)量100人及以上且營(yíng)業(yè)收入1000萬(wàn)元及以上，或互聯(lián)網(wǎng)信息服務(wù)業(yè)務(wù)范圍涉及音視頻服務(wù)，或互聯(lián)網(wǎng)信息服務(wù)用戶規(guī)模達(dá)到100萬(wàn)以上，則該互聯(lián)網(wǎng)信息服務(wù)應(yīng)按照增強(qiáng)級(jí)要求開(kāi)展相關(guān)評(píng)估工作，其余情況則根據(jù)基本級(jí)進(jìn)行評(píng)估。C.3定制通用要求根據(jù)評(píng)估對(duì)象和安全級(jí)定制安全功能和安全保障組件集合(