GA 1277-2015 信息安全技术 互联网交互式服务安全保护要求

ICS35.040

A90

中华人民共和国公共安全行业标准

—

GA12772015

信息安全技术

互联网交互式服务安全保护要求

ㅤㅤㅤㅤ

Informationsecurittechnolo—

ygy

Securitrotectionreuirementsforinternetinteractiveservice

ypq

2015-10-26发布2016-01-01实施

中华人民共和国公安部发布

—

GA12772015

信息安全技术

互联网交互式服务安全保护要求

1范围

本标准规定了互联网交互式服务安全保护的要求。

本标准适用于互联网交互式服务提供者落实互联网安全保护管理制度和安全保护技术措施。

2规范性引用文件

。,

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,()。

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

—信息安全技术互联网服务安全评估基本程序及要求

GA12782015

3术语和定义

—

GA12782015界定的以及下列术语和定义适用于本文件。

ㅤㅤㅤㅤ

3.1

互联网交互式服务internetinteractiveservice

,、、。

为用户提供向社会公众发布信息的服务发布方式包括文字图片音视频等

:、、、、、、、、、

注包括但不限于论坛社区贴吧文字或音视频聊天室微博客博客即时通信移动下载分享存储第三方支

付等互联网信息服务。

3.2

违法有害信息illealandharmfulinformation

g

、,、、。

违反国家法律法规危害国家安全公共安全公民人身财产安全的信息

3.3

破坏性程序destructiveroram

pg

、、、、、、

具有对计算机信息系统的功能或存储处理及传输的数据进行非授权获取删除增加修改干扰

破坏等功能的程序。

3.4

个人电子信息ersonalelectronicinformation

p

,,、、、、

能够被知晓和处理与具体自然人相关能通过身份证号码网络标识符或者生理心理经济文

、。

化社会身份中一个或多个要素实现该自然人身份识别的电子信息和涉及该自然人隐私的电子信息

:、、、、、、、、、、、、

注包括但不限于姓名年龄性别身份证号码户籍通讯地址电子邮件电话号码指纹婚姻状况家庭教育

、、、、。、、。

职业经历收入账号密码个人爱好和兴趣等其中账号又包括网络账号支付账号电子交易账号等

3.5

个人电子信息的处理mationrocessin

ersonalelectronicinforpg

p

、、、、、、、。

使用信息系统收集存储加工转移使用披露屏蔽删除或销毁等处置个人电子信息的行为

1

—

GA12772015

4安全管理制度要求

4.1总则

,:

4.1.1应建立文件化的安全管理制度安全管理制度文件应包括

)安全岗位管理制度;

a

b)系统操作权限管理;

)安全培训制度;

c

d)用户管理制度;

)、;

e新服务新功能安全评估

)用户投诉举报处理;

f

)、;

g信息发布审核合法资质查验和公共信息巡查

h)个人电子信息安全保护;

)、;

i安全事件的监测报告和应急处置制度

)、、、。

j现行法律法规规章标准和行政审批文件

,。

4.1.2安全管理制度应经过管理层批准并向所有员工宣贯

4.2文件控制

,:

安全管理制度文件应予以保护和控制包括

),;

a应按计划的时间间隔或在发生重大的变化时评审安全管理制度文件以确保文件是适当的

)ㅤㅤㅤㅤ;

b确保在使用处可获得适用文件的相关版本

)、;

c确保文件保持清晰易于识别

),;

d确保外来文件得到识别并控制其分发

)确保文件是现行有效的。

e

4.3记录控制

,的证据。

应建立记录并加以保护与控制以提供符合本标准要求

5机构要求

5.1法律责任

5.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。

5.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。

5.2信息安全组织

5.2.1应建立与业务和规模相适应的信息安全组织机构:

)组建专职安全管理队伍;

a

),。

b安全管理人员应经过安全培训与公安机关考核安全管理人员数量应与业务规模相适应

:、、,

注安全管理人员数量原则上按照日均信息发布量频道或栏目数同时在线用户数等交互式服务规模配备能实

现9.3要求的违法有害信息防范与处置能力。

,:

5.2.2最高管理者应在管理层任命一名人员具有以下方面的职责和权力

)、;

a负责安全管理制度的建立实施与保持

2

—

GA12772015

)、;

b负责新服务新功能的风险评估与安全方案审核

)向最高管理者报告安全状况与任何改进的需求。

c

5.2.3应有专门人员负责配合公安机关的工作。

5.3网安警务室

,

应为公安机关网安警务室开展工作提供相应的环境和支持配合接受网安警务室的安全管理和

指导。

6人员安全管理

6.1安全岗位管理制度

,、、;

应建立安全岗位管理制度明确主办人主要负责人安全责任人的职责岗位管理制度应包括保密

管理。

6.2关键岗位人员

、、,

6.2.1关键岗位人员任用之前的背景核查应按照相关法律法规道德规范和对应的业务要求来执行

包括:

)个人身份核查;

a

)个人履历的核查;

b

)、、;

c学历学位专业资质证明

)从事关键岗位所必需的能力。ㅤ