YD_T 3739-2020 互联网新技术新业务安全评估要求 即时通信业务.docx

ICS 33.040 M10 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T 3739—2020 互联网新技术新业务安全评估要求 即时通信业务 The requirements of information security evaluation of instant communication services 2020-08-31 发布 2020-10-01 实施 中华人民共和国工业和信息化部 发布 I YD/T 3739—2020 目 次 前言 Ⅱ 1 范围 1 2 术语、定义和缩略语 1 3 概 述 2 3.1 即时通信业务信息安全评估对象 2 3.2 即时通信业务信息安全评估方法 2 4 即时通信业务信息安全风险评估指标 2 4.1 风险评估指标及权重赋值 2 4.2 风险数值计算 4 5 企业信息安全保障能力评估 5 5.1 企业信息安全保障能力评估流程 5 5.2 企业信息安全保障要求 5 附录A(资料性附录)评估检查表示例 11 附录B(规范性附录)即时通信业务信息安全风险评估指标权重计算方法 12 Ⅱ YD/T 3739—2020 前 言 本标准是互联网新技术新业务安全评估系列标准之一。该标准系列预计结构及名称如下： - 《互联网新技术新业务安全评估指南》; — 《互联网新技术新业务安全评估实施要求》; — 《互联网新技术新业务安全评估要求即时通信业务》; — 《互联网新技术新业务安全评估要求互联网资源协作服务》; — 《互联网新技术新业务安全评估要求大数据技术应用与服务》; — 《互联网新技术新业务安全评估要求内容分发业务》; — 《互联网新技术新业务安全评估要求移动应用商店业务》; — 《互联网新技术新业务安全评估要求信息社区平台业务》; — 《互联网新技术新业务安全评估要求信息搜索查询服务》; — 《互联网新技术新业务安全评估要求信息发布与递送业务》; — 《互联网新技术新业务安全评估第三方服务机构能力认定准则》。 本标准按照GB/T1.1—2009 给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位：中国信息通信研究院、国家计算机网络应急技术处理协调中心、中国移动通信 集团公司。 本标准主要起草人：陈活、覃庆玲、张媛媛、杜翠兰、陈慧慧、周丽丽、郭建南、刘利军。 YD/T 3739—2020 互联网新技术新业务安全评估要求即时通信业务 1 范围 本标准规定了对即时通信服务业务开展安全风险识别研判、安全保障能力评测判定的相关安全评估 要求。 本标准适用于利用公共互联网(含移动互联网)提供的即时通信服务。 2 术语、定义和缩略语 2.1 术语和定义 下列术语和定义适用于本文件。 2.1.1 即时通信业务 instant communication service 利用互联网，并通过运行在计算机、智能终端等的客户端软件、浏览器等，为用户提供即 时发送和接收信息(包括文本、图片)、文件、音视频等信息的服务，即信息即时交互服务。 2.1.2 企业 enterprise 面向公众开展即时通信业务的组织机构。 2.1.3 信息安全 information Security 包含信息内容安全及数据安全。信息内容安全是指互联网技术、业务、应用制作、复制、发布、传 播的公共信息内容应该满足《互联网信息服务管理办法》等相关法律法规要求。数据安全是保障企业数 据资产的机密性、完整性、可用性，保障企业商业利益；保障企业掌握的个人敏感信息不被篡改、泄露、 损毁、倒卖、违规使用，保障用户合法权益；保障涉及经济正常运行、社会稳定的国家关键敏感数据不 被篡改、泄露、损毁、倒卖、违规使用或公布或流出境外，保障国家安全。 2.1.4 信息安全事件 security incident 由于互联网业务的特性、功能和管理薄弱环节，或被恶意利用，导致违法违规信息的制作、复制、 发布、传播，基础数据的泄露、窃取、篡改、售卖，组织、串联、策划、实施违法犯罪活动等危害活动， 对国家、社会、公众可能造成负面影响的事件。 2.1.5 信息安全风险 security risk 互联网业务及管理薄弱环节被利用导致信息安全事件的发生，及其对国家、社会、公众可能造成的 2 YD/T 3739—2020 负面影响。 2.2 缩略语 下列缩略语适用于本文件。 IP 因特网协议 Internet Protocol 3