GA 1278-2015信息安全技术 互联网服务安全评估基本程序及要求.pdf

ICS 35.040GAA 90中华人民共和国公共安全行业标准GA 1278—2015信息安全技术互联网服务安全评估基本程序及要求Information security technology-Basic procedures andrequirements for internet service security evaluation2015-10-26 发布2016-01-01实施中华人民共和国公安部发布 GA 1278-2015前言本标准的全部技术内容为强制性，本标准按照GB/T1.1一2009给出的规则起草本标准由公安部信息系统安全标准化技术委员会提出并归口。本标准起草单位：公安部网络安全保卫局、公安部第三研究所。本标准主要起草人：毕海滨、金波、赵云霞、高爽、陈长松、朱英菊、李相龙、黄道丽、向朝霞。 GA 1278—2015信息安全技术互联网服务安全评估基本程序及要求1 范围本标准规定了互联网服务提供者实施安全评估的基本程序和要求。本标准适用于互联网服务提供者进行安全评估与公安机关对互联网服务安全进行检查。2 术语和定义下列术语和定义适用于本文件。2.1互联网服务internet service向用户提供的互联网接人服务、互联网数据中心服务、互联网信息服务、互联网安全服务和互联网公共上网服务等服务业务。2.2互联网服务提供者 internet service provider向用户提供互联网服务的组织或个人。3安全评估与安全检查互联网服务上线前，互联网服务提供者应自行组织开展安全评估，向属地公安机关提交评估报告，进行安全检查，具体流程见附录A。4评估流程4.1评估的组织互联网服务提供者开展互联网应用服务安全评估，可采取下列方式：a）互联网服务提供者自行组织人员进行安全评估；b）互联网服务提供者委托具备相应资质的第三方安全测评机构进行安全评估；c）互联网服务提供者委托属地公安网安部门推荐的专家、机构进行安全评估。注：资质包括国家认可、资质认定或由省级以上网络安全主管部门颁发的安全测评资质4.2必威体育官网网址要求参与评估的机构和人员应当与互联网服务提供者签订必威体育官网网址协议，承诺保守企业、商业秘密，并依法承担因泄密所应承担的法律责任。4.3识别、分析与评价安全符合性从下列方面识别、分析与评价互联网服务的安全符合性，并编制安全评报告：1 GA 1278—2015互联网服务的合法性、合规性；a)b）互联网服务安全管理制度、机制是否符合国家现行的规范、标准要求；互联网服务安全技术措施是否健全、完善；c)(p受到破坏后会对国家安全、公共安全和公众利益造成损害的互联网服务是否符合信息系统等级保护的规范、标准要求；e）网络安全专用产品是否符合国家相关规定。4.4不符合整改如果评估结果发现任何不符合要求的，互联网服务提供者应：a）识别不符合的原因；b）实施适当的纠正措施；c）评审所采取的纠正措施，验证其有效性。5安全评估报告5.1安全评估报告的确认评估报告应当由法人或法人授权的安全负责人签字确认。5.2安全评估报告的备案互联网服务提供者开展互联网应用服务安全评估后，应当形成书面安全评估报告，并在互联网应用服务正式上线提供服务之日起5个工作日内，将书面安全评估报告向其所在地市级以上公安机关网安部门备案。5.3安全评估报告的内容评估报告应包含以下内容：a）互联网服务功能、性能描述；b）互联网服务合法性、合规性说明（如提供的服务须获得相应行政许可的，应包括相关证明文件);c）网络拓扑结构图（必要时）；d）技术测试报告，活跃用户在500万以上的，应包含压力测试报告；e)已建立的安全管理制度、措施；f)评估结论；g)不符合整改记录；h)，其他应当说明的相关情况。6检查流程6.1 工作要求属地公安机关网安部门收到互联网服务提供者提交的书面安全评估报告后，应依据现行法律法规和相关标准规范要求，开展以下安全检查工作：a）审阅互联网服务安全评估报告，必要时可邀请网络和信息安全方面专家参与审议；2 GA 1278—2015b）对交互式、交易类互联网应用服务和软件下载服务（包括应用软件商店），组织开展实地安全检查。上级公安机关网安部门对下一级网安部门安全检查工作进行指导。6.2董点互联网服务上报活跃用户500万以上的互联网服务提供商开通新服务，属地网安部门应将该服务的安全评估报告上报省级网安部门；活跃用户3000万以上的互联网服务提供商开通新服务，省级网安部门应当将该服务的安全评估报告上报公安部网络安全保卫局6.3重点互联网服务专家评审公安部网络安全保卫局和各省、自治区、直辖市公安厅、局网安总队收到下一级网安部门报备的互联网服务安全评估报告后，对存在较大安全风险、可能影响国家安全、公共安全和公众利益的互联网服务，应组织网络和信息安全方面专家进行评审，必要时应会同属地