互联网新技术新业务信息安全评估管理办法.docxVIP

互联网新技术新业务信息安全评估管理办法

一、总则

为规范互联网新技术新业务的信息安全评估工作，防范化解新技术应用带来的安全风险，保障网络数据安全和用户合法权益，促进互联网产业健康有序发展，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》等法律法规及国家相关政策，制定本办法。

本办法旨在建立覆盖互联网新技术新业务全生命周期的信息安全评估管理体系，明确评估主体、内容、程序及责任要求，通过科学、规范、动态的评估机制，有效识别、分析和控制安全风险，为新技术新业务的合规应用提供安全保障，同时平衡安全与发展关系，支持技术创新与产业升级。

本办法适用于在中华人民共和国境内从事互联网新技术新业务研发、服务提供、运营维护的各类组织和个人（以下统称“运营者”）。所称互联网新技术新业务，包括但不限于人工智能、大数据、云计算、物联网、区块链、元宇宙、工业互联网、车联网、生成式人工智能服务等具有技术前沿性、应用创新性、风险不确定性的互联网业务形态。运营者开展上述新技术新业务的测试、上线、运营、升级、下架等全生命周期活动，均需遵守本办法规定的信息安全评估要求。

互联网新技术新业务信息安全评估工作遵循以下原则：

（一）风险导向原则：以识别和防控安全风险为核心，聚焦新技术新业务应用中的数据安全、算法安全、系统安全、内容安全等关键风险领域，科学确定评估重点和方法。

（二）科学客观原则：采用符合技术特点和管理需求的评估标准和方法，确保评估过程规范、数据真实、结论客观，避免主观臆断和形式主义。

（三）分级分类原则：根据新技术新业务的技术成熟度、应用场景、影响范围及风险等级，实施分级分类评估管理，对高风险业务实施严格评估，对低风险业务简化评估流程，提升评估效率。

（四）动态管理原则：建立评估结果动态调整机制，根据技术演进、业务变化、安全威胁及政策要求，定期组织复评和更新，确保评估工作的时效性和适应性。

（五）协同共治原则：明确运营者主体责任，强化行业自律，鼓励第三方专业机构参与评估，形成政府监管、企业主责、社会监督的协同治理格局。

本办法所称信息安全评估，是指运营者对新技术新业务应用中可能存在的安全风险进行识别、分析、研判，并采取技术和管理措施控制风险，确保业务符合国家法律法规及标准规范要求的活动。评估内容涵盖技术安全、数据安全、管理安全、人员安全等多个维度，包括但不限于安全架构设计、漏洞检测、数据分类分级、个人信息保护、算法合规性、应急处置能力等方面。

本办法所称安全风险，是指由于新技术新业务自身特性或外部环境因素，可能导致网络数据泄露、篡改、损毁，或危害国家安全、公共利益、个人合法权益的潜在可能性。风险等级从高到低划分为重大、较大、一般、低四个级别，具体划分标准由国家网信部门会同国务院有关部门另行制定。

本办法所称运营者，是指从事互联网新技术新业务研发、服务提供、运营维护的互联网企业、科研机构、行业组织及其他相关单位。运营者是新技术新业务信息安全评估的第一责任人，负责组织开展评估工作，落实安全风险防控措施，并对评估结果的真实性和准确性负责。

本办法所称第三方专业机构，是指具备相应资质和能力，独立开展信息安全评估服务的检测机构、认证机构或咨询机构。第三方机构应当客观、公正地履行评估职责，对评估过程和结果保密，并承担相应法律责任。

互联网新技术新业务信息安全评估工作坚持发展与安全并重，鼓励技术创新与安全保障相协调，在确保安全底线的前提下，为新技术新业务应用提供规范指引，推动互联网产业高质量发展。

二、评估组织与职责

评估组织与职责是互联网新技术新业务信息安全评估工作的核心环节，旨在明确各方在评估过程中的角色和任务，确保评估工作有序开展、责任清晰。评估主体包括运营者、第三方专业机构、政府部门和行业组织等，各方需依据法律法规和本办法要求，履行相应职责。评估职责分工则细化了不同主体的具体任务，避免职责重叠或遗漏。评估工作机制通过设立评估小组和建立协同管理机制，促进各方高效协作，保障评估工作的科学性和实效性。以下从评估主体、评估职责分工和评估工作机制三个方面进行详细论述。

2.1评估主体

评估主体是信息安全评估工作的执行者和责任承担者，包括运营者和第三方专业机构。运营者作为新技术新业务的直接提供者，承担评估的第一责任；第三方专业机构则提供专业支持，确保评估的客观性和公正性。评估主体的确定基于业务的技术复杂性和风险等级，高风险业务需由运营者主导并引入第三方参与，低风险业务可简化流程。

2.1.1运营者责任

运营者是信息安全评估的首要责任主体，负责组织、实施和监督评估全过程。运营者需成立内部评估团队，团队成员应包括技术专家、安全工程师和管理人员，确保覆盖技术、数据和管理等关键领域。例如，人工智能