互联网服务安全评估基本程序及要求.pdf

互联网服务安全评估基本程序及要求

1范围

本标准规定了互联网服务提供者实施安全评估的基本程序和要

求。

本标准适用于互联网服务提供者进行安全评估与公安机关对互

联网服务安全进行检查。

2术语和定义

下列术语和定义适用于本文件。

2.1

互联网服务internetservice

向用户提供的互联网接入服务、互联网数据中心服务、互联网信

息服务、互联网安全服务和互联网公共上网服务等服务业务。

2.2

互联网服务提供者internetserviceprovider

向用户提供互联网服务的组织或个人。

3安全评估与安全检查

互联网服务上线前，互联网服务提供者应自行组织开展安全评估，

向属地公安机关提交评估报告，进行安全检查，具体流程见附录A。

4评估流程

4.1评估的组织

互联网服务提供者开展互联网应用服务安全评估，可采取下列方

式：

1

a）互联网服务提供者自行组织人员进行安全评估；

b）互联网服务提供者委托具备相应资质的第三方安全测评机

构进行安全评估；

c）互联网服务提供者委托属地公安网安部门推荐的专家、机

构进行安全评估。

注：资质包括国家认可、资质认定或由省级以上网络安全主管部

门颁发的安全测评资质。

4.2保密要求

参与评估的机构和人员应当与互联网服务提供者签订保密协议，

承诺保守企业、商业秘密，并依法承担因泄密所应承担的法律责任。

4.3识别、分析与评价安全符合性

从下列方面识别、分析与评价互联网服务的安全符合性，并编制

安全评估报告：

a）互联网服务的合法性、合规性；

b）互联网服务安全管理制度、机制是否符合国家现行的规范、

标准要求；

c）互联网服务安全技术措施是否健全、完善；

d）受到破坏后会对国家安全、公共安全和公众利益造成损害

的互联网服务是否符合信息系统等级保护的规范、标准要求；

e）网络安全专用产品是否符合国家相关规定。

4.4不符合整改

如果评估结果发现任何不符合要求的，互联网服务提供者应：

2

a）识别不符合的原因；

b）实施适当的纠正措施；

c）评审所采取的纠正措施，验证其有效性。

5安全评估报告

5.1安全评估报告的确认

评估报告应当由法人或法人授权的安全负责人签字确认。

5.2安全评估报告的备案

互联网服务提供者开展互联网应用服务安全评估后，应当形成书

面安全评估报告，并在互联网应用服务正式上线提供服务之日起5个

工作日内，将书面安全评估报告向其所在地市级以上公安机关网安部

门备案。

5.3安全评估报告的内容

评估报告应包含以下内容：

a）互联网服务功能、性能描述；

b）互联网服务合法性、合规性说明（如提供的服务须获得相

应行政许可的，应包括相关证明文件）；

c）网络拓扑结构图（必要时）；

d）技术测试报告，活跃用户在500万以上的，应包含压力测

试报告；

e）已建立的安全管理制度、措施；

f）评估结论；

g）不符合整改记录；

3

h）其他应当说明的相关情况。

6检查流程

6.1工作要求

属地公安机关网安部门收到互联网服务提供者提交的书面安全

评估报告后，应依据现行法律法规和相关标准规范要求，开展以下安

全检查工作：

a）审阅互联网服务安全评估报告，必要时可邀请网络和信息

安全方面专家参与审议；

b）对交互式、交易类互联网应用服务和软件下载服务（包括

应用软件商店），组织开展实地安全检查。

上级公安机关网安部