YD_T 3169-2020 互联网新技术新业务安全评估指南.docx

ICS 33.040 M10 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T 3169—2020 代替 YD/T 3169—2016 互联网新技术新业务安全评估指南 The guidance of information security evaluation of new services on Internet 2020-08-31 发布 2020-10-01 实施 中华人民共和国工业和信息化部 发布 I YD/T 3169—2020 目 次 前言 Ⅱ 1 范围 1 2 术语、定义和缩略语 1 3 概 述 2 4 安全评估工作要求 3 4.1 安全评估对象 3 4.2 安全评估启动条件 3 4.3 安全评估实施流程 3 4.4 安全评估报告的规范要求 4 5 安全评估总体思路 4 6 业务安全风险评估 4 6.1 业务安全风险评估模型 4 6.2 业务应用安全 5 6.3 业务平台安全 6 6.4 业务运行安全 7 6.5 业务数据安全 8 7 企业安全保障基线要求 9 7.1 业务应用安全保障基线要求 9 7.2 业务平台安全保障基线要求 13 7.3 业务运行安全保障基线要求 14 7.4 数据安全保障基线要求 18 7.5 企业安全保障能力评估方法 28 附录A(资料性附录)评估报告模板 29 Ⅱ YD/T 3169—2020 前 言 本标准是“互联网新技术新业务安全评估”系列标准之一。该标准系列预计结构及名称如下： 本标准是“互联网新技术新业务安全评估”系列标准之一。该系列标准预计结构及名称如下： — 《互联网新技术新业务安全评估指南》 —— 《互联网新技术新业务安全评估实施要求》 —— 《互联网新技术新业务安全评估要求即时通信业务》 — 《互联网新技术新业务安全评估要求互联网资源协作服务》 —— 《互联网新技术新业务安全评估要求大数据技术应用与服务》 —— 《互联网新技术新业务安全评估要求内容分发业务》 —— 《互联网新技术新业务安全评估要求移动应用商店业务》 —— 《互联网新技术新业务安全评估要求信息社区平台业务》 —— 《互联网新技术新业务安全评估要求信息搜索查询服务》 —— 《互联网新技术新业务安全评估要求信息发布与递送业务》 —— 《互联网新技术新业务安全评估第三方服务机构能力认定准则》 本标准按照GB/T1.1—2009 给出的规则起草。 本标准代替YD/T 3169—2016 《互联网新技术新业务安全评估指南》,与 YD/T 3169—2016相比， 主要围绕重点电信业务管理、业务逻辑安全及号码传送规范等明确保障措施基线，增加7.3章节；围绕 数据全生命周期，覆盖采集、传输、存储、共享、应用、交易、安全管理权责等明确保障措施基线，增 加7.4及7.5章节。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位：中国信息通信研究院、国家计算机网络应急技术处理协调中心、中国移动通信集 团公司、中国电信集团公司。 本标准主要起草人：魏薇、张媛媛、姚志杰、尚铁力、陈慧慧、姜宇泽、郭建南、覃庆玲、魏亮、 杜翠兰、张振涛、崔现东、翟羽佳、王红兵、彭志艺、付国强、任彦、周丽丽、刘晓辉、刘利军、王渭 清、周文君、杜伟、黄勤、陈活。 本标准于2016年首次发布；2020年8月第一次修订。 YD/T 3169—2020 互联网新技术新业务安全评估指南 1 范围 本标准对互联网新技术新业务安全评估的工作要求、组织流程、评估内容和方法进行了描述和规范。 本标准涉及的互联网不包括专用网，仅指公用互联网(含移动互联网)。 本标准适用于在通信行业中组织开展的互联网新技术新业务安全评估工作，同样也适用于公用通信 网新业务安全评估工作。 2 术语、定义和缩略语 2.1 术语和定义 下列术语和定义适用于本文件。 2.1.1 信息安全 information security 本标准所称安全包含信息内容安全及数据安全。信息内容安全是指互联网技术、业务、应用制作、 复制、发布、传播的公共信息内容应该满足《互联网信息服务管理办法》等相关法律法规要求。数据安 全是保障企业数据资产的机密性、完整性、可用性，保障企业商业利益；保障企业掌握的个人敏感信息 不被篡改、泄露、损毁、倒卖、违规使用，保障用户合法权益；保障涉及经济正常运行、社会稳定的国 家关键敏感数据不被篡改、泄露、损毁、倒卖、违规使用或公布或流出境外，保障国家安全。 2.1.2 信息安全事件