YD_T 3743-2020 互联网新技术新业务安全评估要求 信息搜索查询服务.docx

ICS 33.040 M10 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T 3743—2020 互联网新技术新业务安全评估要求 信息搜索查询服务 The requirements of information security evaluation of information search query service 2020-08-31 发布 2020-10-01 实施 中华人民共和国工业和信息化部 发布 I YD/T 3743—2020 目 次 前言 Ⅱ 1 范围 1 2 术语、定义和缩略语 1 2.1 术语和定义 1 2.2 缩略语 2 3 概述 2 3.1 安全评估对象 2 3.2 安全评估方法 2 4 业务安全风险分析 2 4.1 概 述 2 4.2 用 户 3 4.3 业务类型 4 4.4 网页爬取 4 4.5 搜索查询功能 4 4.6 搜索结果呈现 5 4.7 搜索结果排序 5 4.8 资源调度方式 6 5 企业安全保障能力评估 6 5.1 概述 6 5.2 通用性管理 6 5.3 业务管理 7 5.4 用户个人信息保护管理 8 参考文献 10 Ⅱ YD/T 3743—2020 前 言 本标准是“互联网新技术新业务安全评估体系”系列标准之一。该系列标准预计结构及名称如下： — 《互联网新技术新业务安全评估指南》; — 《互联网新技术新业务安全评估实施要求》; — 《互联网新技术新业务安全评估要求即时通信业务》 — 《互联网新技术新业务安全评估要求互联网资源协作服务》; — 《互联网新技术新业务安全评估要求大数据技术应用与服务》; — 《互联网新技术新业务安全评估要求内容分发业务》; — 《互联网新技术新业务安全评估要求移动应用商店业务》; — 《互联网新技术新业务安全评估要求信息社区平台业务》; — 《互联网新技术新业务安全评估要求信息搜索查询服务》; — 《互联网新技术新业务安全评估要求信息发布与递送业务》; — 《互联网新技术新业务安全评估第三方服务机构能力认定准则》。 本标准按照GB/T1.1—2009 给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位：中国信息通信研究院、华信咨询设计研究院有限公司。 本标准主要起草人：周丽丽、陈慧慧、郭建南、张媛媛、闫希敏、邱云翔。 YD/T 3743—2020 互联网新技术新业务安全评估要求信息搜索查询服务 1 范围 本标准规定了对信息搜索查询服务业务开展信息安全风险识别研判、安全保障能力评测判定的相关 安全评估要求。 本标准适用于利用公共互联网(含移动互联网)提供的信息搜索查询服务业务。 2 术语、定义和缩略语 2.1 术语和定义 下列术语和定义适用于本文件。 2.1.1 信息搜索查询服务 information search and query service 通过公用通信网或互联网，采取信息收集与检索、数据组织与存储、分类索引、整理排序等方式， 为用户提供网页信息、文本、图片、音视频等信息检索查询服务。 2.1.2 信息安全风险 informationsecurity risk 互联网技术、业务、应用被利用导致安全事件的发生及其对经济正常运行、社会稳定、国家安全造 成的影响。 2.1.3 搜索请求 query 用户在信息搜索查询服务业务键入某个关键词搜索并试图取得返回结果的过程，搜索请求代表查询 者的搜索意图。 2.1.4 索引 index 爬虫抓取的页面文件分解、分析，并以巨大表格的形式存入数据库。在索引数据库中，网页文字内 容，关键词出现的位置、字体、颜色、加粗、斜体等相关信息都有相应记录。 2.1.5 个人信息 personal information 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然 人活动情况的各种信息。 2 YD/T 3743—2020 2.1.6 明示同意 explicit consent 个人信息主体通过书面声明或主动做出肯定性动作，对其个人信息进行特定处理做出明确授权的行为。 2.1.7 匿名化 anonymization 通过对个人信息的技术处理，使得个人信息主体无法被识别，且处理后的信息不能被复原的过程。 2.1.8 去标识化 de-identificatio