mpaa内容安全计划维护内容安全的最佳实践应用程序和云端-分布式环境安全指南.docx

MPAA 全球内容安全计划 2015 年 3 月 17 日 MPAA 最佳实践 — 应用程序和云端/分布式环境安全指南 第 PAGE ii页 MPAA 内容安全计划 维护内容安全的最佳实践  应用程序和云端/分布式环境安全指南 /content-security-program/ 版本 1.0 2015 年 3 月 17 日 文档历史记录 版本 日期 说明 作者 1.0 2015 年 3 月 17 日 首次公开发布 美国电影协会 美国电影协会成员公司 MPAA 全球内容安全计划 2015 年 3 月 17 日 MPAA 最佳实践 — 应用程序和云端/分布式环境安全指南 第 PAGE 19页  目录 TOC \o 1-2 \h \z \u 文档历史记录 ii I. 最佳实践概述 2 II. 提供商概述 3 III. 风险管理 4 IV. 文档结构 5 V. 最佳实践的格式 6 VI. 最佳实践应用程序安全指南 7 VII. 最佳实践云安全指南 23 附录 A — 术语表 31 附录 B — MPPA 影片发行渠道定义 38 附录 C — 常见问题 40 附录 D — 向 MPAA 举报盗版 41 最佳实践概述 简介 三十多年来，美国电影协会有限公司 (MPAA) 代表其成员公司（成员）进行了网站安全测评。其成员公司包括：迪士尼电影、派拉蒙影业公司、索尼影视娱乐公司、二十世纪福克斯电影公司、环球影城有限责任公司及华纳兄弟娱乐公司。 始于 2007 年，这些审查使用标准化测评模式、流程及报告模板。其后，32 个国家与地区的 500 多个机构接受了测评。 MPAA 致力于保护全球范围内为观众创造娱乐内容的公司及人员的权利。从创作型艺术到软件工业，全球范围内越来越多的人凭借其创意的力量谋生。这意味着保护知识产权以及承认这些保障措施是全球信息经济健康发展的基石，正变得越来越重要。 MPAA 内容安全计划旨在强化流程监督，保证其成员的影片内容在拍摄、后期制作、营销和发行的过程中受到保护。其可通过以下方式实现： 机构服务发布一系列最佳实践，概述了标准控制措施，帮助保护成员的内容安全； 请第三方合作伙伴依据发布的最佳实践对内容安全进行评估； 加强对成员影片内容予以安全保障的重视；以及 提供标准的测评手段，以便成员和其商务合作伙伴就内容安全再做具体讨论。 目的和适用范围 本文旨在让与协会成员保持合作关系的当前和未来的第三方供应商，了解我们对内容安全的期望值和当前的行业最佳实践。任何成员对于供应商的选择是由其单独决定的。 制定内容安全最佳实践旨在考虑机构提供的服务，机构处理的内容类型以及机构操作的服务交付时段。 本文中概述的最佳实践受到当地、州、地区、联邦和国家法律法规的约束。 本文中概述的最佳实践，以及此处提及的产业标准或国际标准化组织 (ISO) 的参考标准会定期调整。最佳实践分为应用程序及云端/分布式环境安全指南。供应商必须首先接受最佳实践通用指南的评估。在两份指南均适用的情况下，以更严格的指南为准。 对最佳实践的遵守完全出于自愿，而不作强制委派。 出现例外时的流程 最佳实践不可行时，机构应记录不能实施的原因，并且实施补救措施来替代最佳实践。同时，应就出现的异常，同成员进行直接交流。 问题或意见 若对最佳实践有任何问题或评论，请发送电子邮件至： contentsecurity@ 提供商概述 下表就提供的典型服务、功能类型，以及与每种提供商类型有关的发布窗口做了说明。 编号 提供商类型 典型提供商服务 功能类型 服务交付时段 1 应用程序 应用程序开发 网络应用程序 企业资源规划 (ERP) 信息工作者软件 SaaS（软件即服务） 应用程序开发环境 多样 多样 多样 多样 多样 多样 多样 多样 多样 2 云端 IaaS（基础设施即服务） PaaS（平台即服务） SaaS（软件即服务） 私有云 公共云 混合云 数据存储、计算资源 应用程序开发环境 业务应用程序 多样 多样 多样 多样 多样 多样 多样 多样 多样 控制措施的适用性 本文件中的指南（应用程序安全和云安全指南）适用于所有应用程序和云供应商。 风险管理 风险评估 通过风险评估来预测风险，并执行适当的控制措施将风险降低到可接受范围，确保商业目标的达成。 国际标准化组织 (ISO) 27000 将风险定义为“事件发生的几率和后果的结合”。例如，内容从机构网络中失窃并公开发布会有多大的几率，而如果事件发生，随之对公司及其客户又会带来何种商业后果（如合同违约和/或在服务交付时段中产生收入损失）。ISO 27001 标准亦强调了拥有稳健管理系统的重要性