T/TSIA 001-2019 互联网软件运营安全管理规范

范围:本管理规范提出的安全管理和技术措施的相关要点和方法，可用于网络安全相关监管部门以及网络安全第三方服务机构开展网络安全监督管理与评估等工作，可作为“联网软件”的网络运营者开展安全自查的参考依据; 主要技术内容:1、基本要求网络运营者作为“联网软件”的运营主体，包括网络的管理者、使用者和利用他人网络从事相关服务的网络服务提供者，作为网络安全第一责任人，在开展经营和服务活动时，必须遵守法律法规、遵守商业道德、诚实守信，提倡健康文明的网络活动，履行网络安全保护义务，建立网络安全管理制度、加强网络安全技术保护措施、定期进行网络安全评估、落实个人信息安全保护机制，严格执行网络实名校验要求确认相关身份信息的真实有效，所采用的安全专用产品和服务应当符合国家和行业标准规范，当发生网络安全威胁事件时应及时处置并上报至监管机构和行业组织。《互联网软件运营安全管理规范》是依据“规范引用文件及参考文献”中的国家法律法规和国家标准具体要求进行能力认定，“联网软件”在进行安全评估时应在监管单位或行业组织的指导下进行，对发现的安全隐患，应当及时整改，直至消除相关安全隐患。2、安全评估2.1 基本要求提供“联网软件”的网络运营者应担负网络安全保护的责任，接受行业指导，遵守企业承诺与社会监督相结合，自评估、第三方安全评估与政府监管相结合，实验室检测、现场检查、在线监测、背景审查相结合，承诺所提供的“联网软件”或服务无后门及已知明显安全隐患。提供“联网软件”的网络运营者原则上应在业务上线前展开安全评估，对已上线的重要 “联网软件”应在不影响“联网软件”的正常运行下开展安全评估工作。提供“联网软件”的网络运营者在系统正式上线前，应组织对设备和功能进行安全验收，对系统整体安全状况进行检测和评估。检测评估材料及相关报告应作为验收文件的组成部分。安全评估要求应符合GB/T 20984、GB/T 31509相关要求。3、整改和评价3.1 提供“联网软件”的网络运营者在“联网软件”上线时应按照监管机构和行业组织的要求开展安全评估，并具备合格的安全评估报告，对于评估过程中发现安全风险隐患的“联网软件”应按照法律法规的相关规定以及相应的国家标准进行整改，在整改完成前不得提供相关服务。3.2 提供“联网软件”的网络运营者拒不履行网络安全保护义务的，不开展安全评估的，应由行业组织通过相关平台向公众公示该“联网软件”存