互联网新关键技术新业务安全评估新规制度.docVIP

互联网新技术新业务安全评定制度文本 目录 TOC \o 1-2 \h \z \u 1 范围 2 2术语、定义和缩略语 2 3概述 3 4安全评定工作要求 4 5安全评定总体思绪 6 6业务安全风险评定 7 7企业安全保障能力评定 13 1 范围 本制度适适用于成全部****科技（以下简称“本企业”）************互联网新技术新业务安全评定工作要求、组织步骤、评定内容和方法进行了描述和规范，本制度包含互联网不包含专用网，仅指公众互联网（含移动互联网）。 本制度适适用于在通信行业中组织开展互联网新技术新业务安全评定工作。 2术语、定义和缩略语 2.1术语和定义 下列术语和定义适适用于本文件。 2.1.1 信息安全security 信息安全是指互联网技术、业务、应用制作、复制、公布、传输公共信息内容应该满足《互联网信息服务管理措施》等相关法律法规要求。 2.1.2 信息安全事件security incident 因为互联网技术、业务、应用本身特征和功效，或被恶意使用，造成互联网技术、业务、应用被利用制作、复制、公布、传输违法信息，组织非法串联等，对信息安全危害情况。 2.1.3 信息安全风险security risk 互联网技术、业务、应用被利用造成安全事件发生及其对经济正常运行、社会稳定、国家安全造成影响 2.2缩略语 下列缩略语适适用于本文件。 IP Internel Protocol 互联网协议 3概述 本企业************互联网新技术新业务安全评定（以下简称“安全评定”）是指利用科学方法和手段，系统地识别和分析互联网技术、业务、应用可能引发信息安全风险。评定信息安全事件一旦发生可能造成危害程度，评定本企业配套信息安全保障能力是否能够将风险控制在可接收水平，提出有针对性预防信息安全事件发生管理对策和安全方法，为最大程度地保障互联网技术、业务、应用信息安全提供科学依据。 互联网新技术新业务安全评定目标是为了深入加强对互联网技术、业务、应用管理，帮助本企业提早防范潜在安全风险，提早布署安全保障方法，促进互联网创新健康发展。 4安全评定工作要求 4.1安全评定对象 安全评定对象是基础电信企业及增值电信企业（含三网融合包含广电企业）运行互联网技术、业务或应用。 4.2安全评定开启条件 互联网技术、业务或应用满足下列情形之一，应立即开启安全评定： a）互联网技术、业务或应用上线前（含合作推广、试点、试商用） b）互联网技术、业务或应用运行阶段定时开展评定，或在基础资源配置、技术实现方法、业务功效或用户规模等方面发生较大改变时开展评定。 其中，基础资源配置发生较大改变，是指IP地址、域名等网络资源分配方法发生较大改变；技术实现方法发生较大改变，是指采取新技术.或技术升级改造，或网络拓扑结构发生较大改变。或网络设备升级改造等情况：业务功效发生较大改变.造成互联网技术、业务、应用信息传输渠道、传输能力发生较大改变：用户规模发生较大改变。包含互联网技术、业务、或应用用户数量发生较大改变，或接入网站数量发生较大改变。 c）应行业主管部门要求，或行业主管部门要求其它情况。 4.3安全评定实施步骤 安全评定实施步骤包含以下三个阶段， a） 评定准备阶段 评定准备阶段包含成立评定组。确定小组组员；准备评定材料，包含相关技术文档、管理文档等. 和业务、技术或应用市场发展情况、本企业已经有安全管理描述和技术保障方法情况等。 b） 组织实施阶段 组织实施阶段包含评定组依据评定准备阶段搜集评定材料，采取文档分折、人员访谈、会议质询、 检验测试等方法，实施业务安全风险评定步骤和本企业安全保障能力评定步骤，并统计结果。 c） 评定总结阶段 评定总结阶段包含对评定结果进行判定，评定组召开评定总结会对评定结果进行评审和确定，完成评定汇报。 4.4安全评定汇报规范要求 安全评定汇报应该包含以下组成部分: a） 业务基础情况，包含业务名称、业务功效、技术实现方法、（潜在）用户规模及市场发展情况等： b） 安全评定情况，包含评定工作情况概述、评定人员组成、评定实施步骤、评定结果（包含业务安全风险评定结果和企业安全保障能力评定结果）和整改落实情况： c） 配套安全管理方法。包含本企业配套日常管理方法、应急管理方法、对同类业务监管提议等； d） 评定结论确定签宇表 4.5安全评定汇报报备要求 本企业应在安全评定完成后30个工作日之内。将书面评定汇报向对本企业颁发电信业务经营许可证或进行电信业务立案行业主管部门立案。 5安全评定总体思绪 本企业************互联网新技术新业务安全评定应和安全管理工作紧密结合，一直围绕违法信息监测发觉、定位处理、追踪溯源等关键监管步骤开展安全评定工作，关键包含业务安全风