YDT 3739-2020 互联网新技术新业务安全评估要求 即时通信业务 .pdf

ICS 33.040 YD M10 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T 3739—2020 互联网新技术新业务安全评估要求 即时通信业务 The requirements of information security evaluation of instant communication services 中华人民共和国工业和信息化部 发布 3739—2020 目 次 前 言II 1 范围 3 2 术语、定义和缩略语 3 2.1 术语和定义 3 2.2 缩略语 4 3 概述 4 3.1 即时通信业务信息安全评估对象 4 3.2 即时通信业务信息安全评估方法 4 4 即时通信业务信息安全风险评估指标 4 4.1 风险评估指标及权重赋值 5 4.2 风险数值计算 6 5 企业信息安全保障能力评估 7 5.1 企业信息安全保障能力评估流程 7 5.1.1 保障要求确定阶段 7 5.1.2 评估实施阶段 7 5.1.3 评估总结阶段 7 5.2 企业信息安全保障要求 8 5.2.1 通用性管理 8 5.2.2 账号管理 9 5.2.3 群组管理 10 5.2.4 业务管理 10 5.2.5 用户信息保护管理11 附 录 A （资料性附录）评估检查表示例 14 附 录 B （规范性附录）即时通信业务信息安全风险评估指标权重计算方法 16 I YD/T 3739—2020 前 言 II YD/T 3739—2020 互联网新技术新业务安全评估要求 即时通信业务 1 范围 本标准规定了对即时通信服务业务开展安全风险识别研判、安全保障能力评测判定的相关安 全评估要求。 本标准适用于利用公共互联网 （含移动互联网）提供的即时通信服务。 2 术语、定义和缩略语 2.1 术语和定义 下列术语和定义适用于本文件。 2.1.1 即时通信业务 instant communication service 利用互联网，并通过运行在计算机、智能终端等的客户端软件、浏览器等，为用户提 供即时发送和接收信息（包括文本、图片）、文件、音视频等信息的服务, 即信息即时交 互服务。 2.1.2 企业 enterprise 面向公众开展即时通信业务的组织机构。 2.1.3 信息安全 information Security 包含信息内容安全及数据安全。信息内容安全是指互联网技术、业务、应用制作、复制、发 布、传播的公共信息内容应该满足《互联网信息服务管理办法》等相关法律法规要求。数据安全 是保障企业数据资产的机密性、完整性、可用性，保障企业商业利益；