GA 1277-2015信息安全技术 互联网交互式服务安全保护要求.pdf

ICS 35.040GAA 90中华人民共和国公共安全行业标准GA息安全技术互联网交互式服务安全保护要求Information security technology-Security protection requirements for internet interactive service2015-10-26 发布2016-01-01实施中华人民共和国公安部发布 GA 1277-2015前言本标准的全部技术内容为强制性。本标准按照GB/T 1.1-2009给出的规则起草。本标准由公安部信息系统安全标准化技术委员会提出并归口。本标准起草单位：公安部网络安全保卫局、公安部第三研究所。本标准主要起草人：金波、毕海滨、赵云霞、高爽、朱英菊、黄道丽、李相龙、陈长松、向朝霞。 GA 1277~-2015参考文献国家突发公共事件总体应急预案L119 中华人民共和国公共安全行业标准信息安全技术互联网交互式服务安全保护要求GA 1277-2015*中国标准出版社出版发行北京市朝阳区和平里西街甲2号（100029）北京市西城区三里河北街16号(100045)网址 总编室：（010行中心：（010者服务部：（010国标准出版社秦皇岛印刷厂印刷各地新华书店经销*开本 880×1230　1/16　印张1字数20千字2015年11月第版2015年11月第一次印刷*书号：155066·2-29633如有印装差错由本社发行中心调换版权专有侵权必究GA 1277-2015举报电话：(010 GA 1277--2015信息安全技术互联网交互式服务安全保护要求1范围本标准规定了互联网交互式服务安全保护的要求本标准适用于互联网交互式服务提供者落实互联网安全保护管理制度和安全保护技术措施。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单)适用于本文件。GA1278一2015信息安全技术互联网服务安全评估基本程序及要求3 术语和是义GA1278一2015界定的以及下列术语和定义适用于本文件。3.1互联网交互式服务internet interactive service为用户提供向社会公众发布信息的服务，发布方式包括文字、图片、音视频等。注：包括但不限于论坛、社区、贴吧、文字或音视频聊天室、微博客、博客、即时通信、移动下载、分享存储、第三方支付等互联网信息服务。3.2违法有害信息illegal and harmful information违反国家法律、法规，危害国家安全、公共安全、公民人身财产安全的信息。3.3破坏性程序destructive program具有对计算机信息系统的功能或存储、处理及传输的数据进行非授权获取、删除、增加、修改、于扰、破坏等功能的程序。3.4个人电子信息personal electronic information能够被知晓和处理，与具体自然人相关，能通过身份证号码、网络标识符或者生理、心理、经济、文化、社会身份中一个或多个要素实现该自然人身份识别的电子信息和涉及该自然人隐私的电子信息。注：包括但不限于姓名、年龄、性别、身份证号码、户籍、通讯地址、电子邮件、电话号码、指纹、婚姻状况、家庭、教育、职业经历、收人、账号、密码、个人爱好和兴趣等。其中账号又包括网络账号、支付账号、电子交易账号等。3.5个人电子信息的处理personal electronic information processing使用信息系统收集、存储、加工、转移、使用、披露、屏蔽、删除或销毁等处置个人电子信息的行为。1 GA 1277—2015安全管理制度要求4:4.1总则4.1.1应建立文件化的安全管理制度，安全管理制度文件应包括：a）安全岗位管理制度；系统操作权限管理；c)安全培训制度；d)用户管理制度；e)新服务、新功能安全评估；f)用户投诉举报处理；信息发布审核、合法资质查验和公共信息巡查；g)h）个人电子信息安全保护；安全事件的监测、报告和应急处置制度；i)现行法律、法规、规章、标准和行政审批文件。j)4.1.2安全管理制度应经过管理层批准，并向所有员工宣贯。4.2文件控制安全管理制度文件应予以保护和控制，包括：b）确保在使用处可获得适用文件的相关版本；c）确保文件保持清晰、易于识别；确保外来文件得到识别，并控制其分发；e)确保文件是现行有效的。4.3记录控制应建立记录并加以保护与控制，以提供符合本标准要求的证据5机构要求5.1法律责任5.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。5.1.2互联网交互式服务提供者从事的信息