YD_T 3738-2020 互联网新技术新业务安全评估实施要求.docx

ICS 33.040 M10 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T 3738—2020 互联网新技术新业务安全评估实施要求 The implementation requirements of information security evaluation of new technology and services on Internet 2020-08-31 发布 2020-10-01 实施 中华人民共和国工业和信息化部 发布 I YD/T 3738—2020 目 次 前言 Ⅱ 1 范围 1 2 规范性引用文件 1 3 术语、定义和缩略语 1 4 评估实施要求 2 4.1 评估前沟通指引 2 4.2 评估方法指引 3 4.3 评估流程指引 4 4.4 评估操作指引 5 4.5 评估报告规范指引 42 4.6 评估后整改复核 42 5 安全评估与企业业务安全风险管理 42 Ⅱ YD/T 3738—2020 前 言 本标准是互联网新技术新业务安全评估系列标准之一。该系列标准预计结构及名称如下： — 《互联网新技术新业务安全评估指南》; — 《互联网新技术新业务安全评估实施要求》; — 《互联网新技术新业务安全评估要求即时通信业务》; — 《互联网新技术新业务安全评估要求互联网资源协作服务》; — 《互联网新技术新业务安全评估要求大数据技术应用与服务》; — 《互联网新技术新业务安全评估要求内容分发业务》; — 《互联网新技术新业务安全评估要求移动应用商店业务》; — 《互联网新技术新业务安全评估要求信息社区平台业务》; — 《互联网新技术新业务安全评估要求信息搜索查询服务》; — 《互联网新技术新业务安全评估要求信息发布与递送业务》; — 《互联网新技术新业务安全评估第三方服务机构能力认定准则》。 本标准按照GB/T1.1—2009 给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位：中国信息通信研究院、国家计算机网络应急技术处理协调中心、中国移动通信集 团公司、中国电信集团公司、华信咨询设计研究院有限公司。 本标准主要起草人：陈慧慧、郭建南、陈活、张媛媛、王红兵、王映、周丽丽、刘晓辉、庞妹、张 琳、赵蓓、王渭清、邱云翔。 YD/T 3738—2020 互联网新技术新业务安全评估实施要求 1 范围 本标准提出了开展互联网新技术新业务安全评估实践的具体操作规范，包括评估前、评估过程中和 评估后三阶段的指引，是对YD/T3169 《互联网新技术新业务安全评估指南》的细化和补充。 本标准适用于依照YD/T3169 《互联网新技术新业务安全评估指南》开展评估的互联网新技术新业务。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的 修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究 是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 YD/T 3169 《互联网新技术新业务安全评估指南》 3 术语、定义和缩略语 3.1 术语和定义 下列术语和定义适用于本文件。 3.1.1 企业 enterprise 面向公众运营提供互联网技术、业务及应用的组织机构，在本标准中指接受评估服务的业务运营单 位，即评估业务运营单位。 3.1.2 评估单位 evaluation implementation organization 具体开展评估服务的机构，包括第三方评估机构及企业内信息安全管理部门组建的评估项目组。 3.1.3 信息安全 information security 包含信息内容安全及数据安全。信息内容安全是指互联网技术、业务、应用制作、复制、发布、传 播的公共信息内容应该满足《互联网信息服务管理办法》等相关法律法规要求。数据安全是保障企业数 据资产的机密性、完整性、可用性，保障企业商业利益；保障企业掌握的个人敏感信息不被篡改、泄露、 损毁、倒卖、违规使用，保障用户合法权益；保障涉及经济正常运行、社会稳定的国家关键敏感数据不 被篡改、泄露、损毁、倒卖、违规使用或公布或流出境外，保障国家安全。 2 YD/T 3738—2020 3.1.4 信息安全事件 information security incident 由于互联网技术、业务、应用的特性、功能和管理薄弱环节，或被恶意利用，导致违法违规信息的 制作、复制、发布、传播，基础数据的泄露、窃取、篡改、售卖、组织、串联、