PAGE互聯(lián)網(wǎng)服務(wù)安全評(píng)估基本程序及要求1范圍本標(biāo)準(zhǔn)規(guī)定了互聯(lián)網(wǎng)服務(wù)提供者實(shí)施安全評(píng)估的基本程序和要求。本標(biāo)準(zhǔn)適用于互聯(lián)網(wǎng)服務(wù)提供者進(jìn)行安全評(píng)估與公安機(jī)關(guān)對(duì)互聯(lián)網(wǎng)服務(wù)安全進(jìn)行檢查。2術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。2.1互聯(lián)網(wǎng)服務(wù)internetservice向用戶(hù)提供的互聯(lián)網(wǎng)接入服務(wù)、互聯(lián)網(wǎng)數(shù)據(jù)中心服務(wù)、互聯(lián)網(wǎng)信息服務(wù)、互聯(lián)網(wǎng)安全服務(wù)和互聯(lián)網(wǎng)公共上網(wǎng)服務(wù)等服務(wù)業(yè)務(wù)。2.2互聯(lián)網(wǎng)服務(wù)提供者internetserviceprovider向用戶(hù)提供互聯(lián)網(wǎng)服務(wù)的組織或個(gè)人。3安全評(píng)估與安全檢查互聯(lián)網(wǎng)服務(wù)上線(xiàn)前，互聯(lián)網(wǎng)服務(wù)提供者應(yīng)自行組織開(kāi)展安全評(píng)估，向?qū)俚毓矙C(jī)關(guān)提交評(píng)估報(bào)告，進(jìn)行安全檢查，具體流程見(jiàn)附錄A。4評(píng)估流程4.1評(píng)估的組織互聯(lián)網(wǎng)服務(wù)提供者開(kāi)展互聯(lián)網(wǎng)應(yīng)用服務(wù)安全評(píng)估，可采取下列方式：a） 互聯(lián)網(wǎng)服務(wù)提供者自行組織人員進(jìn)行安全評(píng)估；b） 互聯(lián)網(wǎng)服務(wù)提供者委托具備相應(yīng)資質(zhì)的第三方安全測(cè)評(píng)機(jī)構(gòu)進(jìn)行安全評(píng)估；c） 互聯(lián)網(wǎng)服務(wù)提供者委托屬地公安網(wǎng)安部門(mén)推薦的專(zhuān)家、機(jī)構(gòu)進(jìn)行安全評(píng)估。注：資質(zhì)包括國(guó)家認(rèn)可、資質(zhì)認(rèn)定或由省級(jí)以上網(wǎng)絡(luò)安全主管部門(mén)頒發(fā)的安全測(cè)評(píng)資質(zhì)。4.2保密要求參與評(píng)估的機(jī)構(gòu)和人員應(yīng)當(dāng)與互聯(lián)網(wǎng)服務(wù)提供者簽訂保密協(xié)議，承諾保守企業(yè)、商業(yè)秘密，并依法承擔(dān)因泄密所應(yīng)承擔(dān)的法律責(zé)任。4.3識(shí)別、分析與評(píng)價(jià)安全符合性從下列方面識(shí)別、分析與評(píng)價(jià)互聯(lián)網(wǎng)服務(wù)的安全符合性，并編制安全評(píng)估報(bào)告：a） 互聯(lián)網(wǎng)服務(wù)的合法性、合規(guī)性；b） 互聯(lián)網(wǎng)服務(wù)安全管理制度、機(jī)制是否符合國(guó)家現(xiàn)行的規(guī)范、標(biāo)準(zhǔn)要求；c） 互聯(lián)網(wǎng)服務(wù)安全技術(shù)措施是否健全、完善；d） 受到破壞后會(huì)對(duì)國(guó)家安全、公共安全和公眾利益造成損害的互聯(lián)網(wǎng)服務(wù)是否符合信息系統(tǒng)等級(jí)保護(hù)的規(guī)范、標(biāo)準(zhǔn)要求；e） 網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品是否符合國(guó)家相關(guān)規(guī)定。4.4不符合整改如果評(píng)估結(jié)果發(fā)現(xiàn)任何不符合要求的，互聯(lián)網(wǎng)服務(wù)提供者應(yīng)：a） 識(shí)別不符合的原因；b） 實(shí)施適當(dāng)?shù)募m正措施；c） 評(píng)審所采取的糾正措施，驗(yàn)證其有效性。5安全評(píng)估報(bào)告5.1安全評(píng)估報(bào)告的確認(rèn)評(píng)估報(bào)告應(yīng)當(dāng)由法人或法人授權(quán)的安全負(fù)責(zé)人簽字確認(rèn)。5.2安全評(píng)估報(bào)告的備案互聯(lián)網(wǎng)服務(wù)提供者開(kāi)展互聯(lián)網(wǎng)應(yīng)用服務(wù)安全評(píng)估后，應(yīng)當(dāng)形成書(shū)面安全評(píng)估報(bào)告，并在互聯(lián)網(wǎng)應(yīng)用服務(wù)正式上線(xiàn)提供服務(wù)之日起5個(gè)工作日內(nèi)，將書(shū)面安全評(píng)估報(bào)告向其所在地市級(jí)以上公安機(jī)關(guān)網(wǎng)安部門(mén)備案。5.3安全評(píng)估報(bào)告的內(nèi)容評(píng)估報(bào)告應(yīng)包含以下內(nèi)容：a） 互聯(lián)網(wǎng)服務(wù)功能、性能描述；b） 互聯(lián)網(wǎng)服務(wù)合法性、合規(guī)性說(shuō)明（如提供的服務(wù)須獲得相應(yīng)行政許可的，應(yīng)包括相關(guān)證明文件）；c） 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖（必要時(shí)）；d） 技術(shù)測(cè)試報(bào)告，活躍用戶(hù)在500萬(wàn)以上的，應(yīng)包含壓力測(cè)試報(bào)告；e） 已建立的安全管理制度、措施；f） 評(píng)估結(jié)論；g） 不符合整改記錄；h） 其他應(yīng)當(dāng)說(shuō)明的相關(guān)情況。6檢查流程6.1工作要求屬地公安機(jī)關(guān)網(wǎng)安部門(mén)收到互聯(lián)網(wǎng)服務(wù)提供者提交的書(shū)面安全評(píng)估報(bào)告后，應(yīng)依據(jù)現(xiàn)行法律法規(guī)和相關(guān)標(biāo)準(zhǔn)規(guī)范要求，開(kāi)展以下安全檢查工作：a） 審閱互聯(lián)網(wǎng)服務(wù)安全評(píng)估報(bào)告，必要時(shí)可邀請(qǐng)網(wǎng)絡(luò)和信息安全方面專(zhuān)家參與審議；b） 對(duì)交互式、交易類(lèi)互聯(lián)網(wǎng)應(yīng)用服務(wù)和軟件下載服務(wù)（包括應(yīng)用軟件商店），組織開(kāi)展實(shí)地安全檢查。上級(jí)公安機(jī)關(guān)網(wǎng)安部門(mén)對(duì)下一級(jí)網(wǎng)安部門(mén)安全檢查工作進(jìn)行指導(dǎo)。6.2重點(diǎn)互聯(lián)網(wǎng)服務(wù)上報(bào)活躍用戶(hù)500萬(wàn)以上的互聯(lián)網(wǎng)服務(wù)提供商開(kāi)通新服務(wù)，屬地網(wǎng)安部門(mén)應(yīng)將該服務(wù)的安全評(píng)估報(bào)告上報(bào)省級(jí)網(wǎng)安部門(mén)；活躍用戶(hù)3000萬(wàn)以上的互聯(lián)網(wǎng)服務(wù)提供商開(kāi)通新服務(wù)，省級(jí)網(wǎng)安部門(mén)應(yīng)當(dāng)將該服務(wù)的安全評(píng)估報(bào)告上報(bào)公安部網(wǎng)絡(luò)安全保衛(wèi)局。6.3重點(diǎn)互聯(lián)網(wǎng)服務(wù)專(zhuān)家評(píng)審公安部網(wǎng)絡(luò)安全保衛(wèi)局和各省、自治區(qū)、直轄市公安廳、局網(wǎng)安總隊(duì)收到下一級(jí)網(wǎng)安部門(mén)報(bào)備的互聯(lián)網(wǎng)服務(wù)安全評(píng)估報(bào)告后，對(duì)存在較XX全風(fēng)險(xiǎn)、可能影響國(guó)家安全、公共安全和公眾利益的互聯(lián)網(wǎng)服務(wù)，應(yīng)組織網(wǎng)絡(luò)和信息安全方面專(zhuān)家進(jìn)行評(píng)審，必要時(shí)應(yīng)XX屬地公安網(wǎng)安部門(mén)開(kāi)展實(shí)地檢查。6.4檢查時(shí)限公安網(wǎng)安部門(mén)組織開(kāi)展檢查工作，不應(yīng)影響互聯(lián)網(wǎng)服務(wù)的正常運(yùn)營(yíng)，檢查時(shí)限最長(zhǎng)不超過(guò)15個(gè)工作日。6.5日常檢查公安網(wǎng)安部門(mén)組織定期檢查互聯(lián)網(wǎng)安全技術(shù)與管理措施落實(shí)情況。7檢查意見(jiàn)使用7.1限期整改公安機(jī)關(guān)安全檢查發(fā)現(xiàn)互聯(lián)網(wǎng)服務(wù)安全管理制度、措施達(dá)不到相關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范要求的，應(yīng)責(zé)令互聯(lián)網(wǎng)服務(wù)提供者限期整改。對(duì)互聯(lián)網(wǎng)服務(wù)提供者在1個(gè)月內(nèi)無(wú)法完成整改的，應(yīng)責(zé)令暫停該應(yīng)用服務(wù)新用戶(hù)注冊(cè)。7.2暫停服務(wù)檢查中發(fā)現(xiàn)互聯(lián)網(wǎng)服務(wù)存在重XX全隱患，極易引發(fā)現(xiàn)實(shí)危害的，屬地公安網(wǎng)安部門(mén)應(yīng)責(zé)令互聯(lián)網(wǎng)服務(wù)提供者立即暫停服務(wù)并進(jìn)行整改。7.3重新評(píng)估在整改完成后，應(yīng)重新組織安全評(píng)估，評(píng)估報(bào)告經(jīng)公安機(jī)關(guān)檢查確認(rèn)后，方可恢復(fù)由安全整改暫停的服務(wù)。8變更報(bào)備互聯(lián)網(wǎng)服務(wù)正式運(yùn)營(yíng)期間，其安全策略、技術(shù)架構(gòu)、服務(wù)功能等發(fā)生調(diào)整及變化，應(yīng)按規(guī)定程序向?qū)俚毓矙C(jī)關(guān)報(bào)備。對(duì)涉及以下情況的變更，應(yīng)重新開(kāi)展安全評(píng)估：a） 影響國(guó)家安全、公共安全、公眾利益的；b） 影響防范和打擊違法犯罪的；c