本標準按照GB/T 1.1-2009給出的規則起草。

本標準由公安部信息系統安全標準化技術委員會提出并歸口。

本標準起草單位：公安部網絡安全保衛局、公安部第三研究所。

本標準主要起草人：金波、畢海濱、趙云霞、高爽、朱英菊、黃道麗、李相龍、陳長松、向朝霞。

1　范圍

本標準規定了互聯網交互式服務安全保護的要求。

本標準適用于互聯網交互式服務提供者落實互聯網安全保護管理制度和安全保護技術措施。

2　規范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GA XXXX-201X 信息安全技術  互聯網服務安全評估基本程序及要求

3　術語和定義

GA XXXX-201X界定的以及下列術語和定義適用于本文件。

3.1　 

互聯網交互式服務 internet interactive service

為用戶提供向社會公眾發布信息的服務，發布方式包括文字、圖片、音視頻等。

注：包括但不限于論壇、社區、貼吧、文字或音視頻聊天室、微博客、博客、即時通信、移動下載、分享存儲、第

三方支付等互聯網信息服務。

3.2　 

違法有害信息  illegal and harmful information

違反國家法律、法規，危害國家安全、公共安全、公民人身財產安全的信息。

3.3　 

破壞性程序  destructive program

具有對計算機信息系統的功能或存儲、處理及傳輸的數據進行非授權獲取、刪除、增加、修改、干擾、破壞等功能的程序。

3.4　 

個人電子信息  personal electronic information

能夠被知曉和處理，與具體自然人相關，能通過身份證號碼、網絡標識符或者生理、心理、經濟、文化、社會身份中一個或多個要素實現該自然人身份識別的電子信息和涉及該自然人隱私的電子信息。  

注：包括但不限于姓名、年齡、性別、身份證號碼、戶籍、通訊地址、電子郵件、電話號碼、指紋、婚姻狀況、家

庭、教育、職業經歷、收入、賬號、密碼、個人愛好和興趣等。其中帳號又包括網絡帳號、支付帳號、電子交

易帳號等。

3.5　 

個人電子信息的處理  personal electronic information processing

使用信息系統收集、存儲、加工、轉移、使用、披露、屏蔽、刪除或銷毀等處置個人電子信息的行為。

4　安全管理制度要求

4.1　總則

4.1.1　應建立文件化的安全管理制度，安全管理制度文件應包括：

a)   安全崗位管理制度；

b)   系統操作權限管理；

c)   安全培訓制度；

d)   用戶管理制度；

e)   新服務、新功能安全評估；

f)   用戶投訴舉報處理；

g)   信息發布審核、合法資質查驗和公共信息巡查；

h)   個人電子信息安全保護；

i)   安全事件的監測、報告和應急處置制度；

j)   現行法律、法規、規章、標準和行政審批文件。

4.1.2　安全管理制度應經過管理層批準，并向所有員工宣貫。

4.2　文件控制

安全管理制度文件應予以保護和控制，包括：

a)   應按計劃的時間間隔或在發生重大的變化時評審安全管理制度文件，以確保文件是適當的；

b)   確保在使用處可獲得適用文件的相關版本；

c)   確保文件保持清晰、易于識別；

d)   確保外來文件得到識別，并控制其分發；

e)   確保文件是現行有效的。

4.3　記錄控制

應建立記錄并加以保護與控制，以提供符合本標準要求的證據。

5　機構要求

5.1　法律責任

5.1.1　互聯網交互式服務提供者應是一個能夠承擔法律責任的組織或個人。

5.1.2　互聯網交互式服務提供者從事的信息服務有行政許可的應取得相應許可。

5.2　信息安全組織

5.2.1　應建立與業務和規模相適應的信息安全組織機構：

a)   組建專職安全管理隊伍；

b)   安全管理人員應經過安全培訓與公安機關考核，安全管理人員數量應與業務規模相適應。

注：安全管理人員數量原則上按照日均信息發布量、頻道或欄目數、同時在線用戶數等交互式服務規模配備，能實現9.3要求的違法有害信息防范與處置能力。

5.2.2　最高管理者應在管理層任命一名人員，具有以下方面的職責和權力：

a)   負責安全管理制度的建立、實施與保持；

b)   負責新服務、新功能的風險評估與安全方案審核；

c)   向最高管理者報告安全狀況與任何改進的需求。

5.2.3　應有專門人員負責配合公安機關的工作。

5.3　網安警務室

應為公安機關網安警務室開展工作提供相應的環境和支持配合，接受網安警務室的安全管理和指導。

6　人員安全管理

6.1　安全崗位管理制度

應建立安全崗位管理制度，明確主辦人、主要負責人、安全責任人的職責；崗位管理制度應包括保密管理。

6.2　關鍵崗位人員

6.2.1　關鍵崗位人員任用之前的背景核查應按照相關法律、法規、道德規范和對應的業務要求來執行，包括：

a)   個人身份核查；

b)   個人履歷的核查；

c)   學歷、學位、專業資質證明；

d)   從事關鍵崗位所必需的能力。

6.2.2　應與關鍵崗位人員簽訂保密協議。

6.3　安全培訓

應建立安全培訓制度，定期對所有工作人員進行信息安全培訓，提高全員的信息安全意識，包括：

a)   上崗前的培訓；

b)   安全制度及其修訂后的培訓；

c)   與法律、法規的發展保持同步的繼續培訓。

6.4　人員離崗

應嚴格規范人員離崗過程：

a)   及時終止離崗員工的所有訪問權限；

b)   關鍵崗位人員須承諾調離后的保密義務后方可離開；

c)   配合公安機關工作的人員變動應通報公安機關。

7　訪問控制管理

7.1　訪問管理制度

應建立包括物理的和邏輯的系統訪問權限管理制度。

7.2　權限分配

應按以下原則根據人員職責分配不同的訪問權限：

a)   角色分離，如訪問請求、訪問授權、訪問管理；

b)   滿足工作需要的最小權限；

c)   未經明確允許，則一律禁止。

7.3　特殊權限

應限制和控制特殊訪問權限的分配和使用：

a)   標識出每個系統或程序的特殊權限；

b)   按照“按需使用”、“一事一議”的原則分配特殊權限；

c)   記錄特殊權限的授權與使用過程；

d)   特殊訪問權限的分配需要管理層的批準。

注：特殊權限是系統超級用戶、數據庫管理等系統管理權限。

7.4　權限的檢查

應定期對訪問權限進行檢查，對特殊訪問權限的授權情況應在更頻繁的時間間隔內進行檢查，如發現不恰當的權限設置，應及時予以調整。

8　網絡與操作安全

8.1　操作規程

應將網絡與系統操作形成文件化的操作規程，并對所有需要的用戶可用，操作規程包括：計算機的啟動和關機、備份、設備維護、介質處理、日志管理等。

8.2　網絡與主機系統的安全

應維護使用的網絡與主機系統的安全，包括：

a)   實施計算機病毒等惡意代碼的預防、檢測和系統被破壞后的恢復措施；

b)   實施7×24h網絡入侵行為的預防、檢測與響應措施；

c)   適用時，對重要文件的完整性進行檢測，并具備文件完整性受到破壞后的恢復措施；

d)   對系統的脆弱性進行評估，并采取適當的措施處理相關的風險。

注：系統脆弱性評估包括采用安全掃描、滲透測試等多種方式。

8.3　備份

8.3.1　應建立備份策略，有足夠的備份設施，確保必要的信息和軟件在災難或介質故障時可以恢復。

8.3.2　網絡基礎服務（登錄、消息發布等）應具備容災能力。

8.4　安全審計

8.4.1　應記錄用戶活動、異常情況、故障和安全事件的日志。

8.4.2　審計日志內容應包括：

a)   用戶注冊相關信息，包括：

1)   用戶唯一標識；

2)   用戶名稱及修改記錄；

3)   身份信息，如：姓名、證件類型、證件號碼等；

4)   注冊時間、IP地址及端口號；

5)   電子郵箱地址和手機號碼；

6)   用戶備注信息；

7)   用戶其他信息。

b)   群組、頻道相關信息，包括：

1)   創建時間、創建人、創建人IP地址及端口號；

2)   刪除時間、刪除人、刪除人IP地址及端口號；

3)   群組組織結構；

4)   群組成員列表。

c)   用戶登錄信息，包括：

1)   用戶唯一標識；

2)   登錄時間；

3)   退出時間；

4)   IP地址及端口號。

d)   用戶信息發布日志，包括：

1)   用戶唯一標識；

2)   信息標識；

3)   信息發布時間；

4)   IP地址及端口號；

5)   信息標題或摘要，包括圖片摘要。

e)   用戶行為，包括：

1)   進出群組或頻道；

2)   修改、刪除所發信息；

3)   上傳、下載文件。

適用時，應記錄使用客戶端終端設備的標識、位置。

8.4.3　應確保審計日志內容的可溯源性，即可追溯到真實的用戶ID、網絡地址和協議。電子郵件、短信息、網絡電話、即時消息、網絡聊天等網絡消息服務提供者應能防范偽造、隱匿發送者真實標記的消息的措施；涉及地址轉換技術的服務，如移動上網、網絡代理、內容分發等應審計轉換前后的地址與端口信息；涉及短網址服務的，應審計原始URL與短URL之間的映射關系。

8.4.4　應保護審計日志，保證無法單獨中斷審計進程，防止刪除、修改或覆蓋審計日志。

8.4.5　應能夠根據公安機關要求留存具備指定信息訪問日志的留存功能。

8.4.6　審計日志保存周期：

a)   應永久保留用戶注冊信息、好友列表及歷史變更記錄，永久記錄聊天室（頻道、群組）注冊信息、成員列表以及歷史變更記錄；

b)   系統維護日志信息保存12個月以上；

c)   應留存用戶日志信息12個月以上；

d)   對用戶發布的信息內容保存6個月以上；

e)   已下線的系統的日志保存周期也應符合以上規定。

9　應用安全

9.1　安全評估

應建立互聯網服務安全評估制度。在互聯網新服務、新功能上線前，按照本標準要求評估安全風險、制訂信息網絡安全技術方案。并向屬地公安機關報備。

9.2　用戶管理

9.2.1　應向用戶宣傳法律法規，應在用戶注冊時，與用戶簽訂服務協議，告知相關權利義務及需承擔的法律責任。

9.2.2　應建立用戶管理制度，包括：

a)   用戶實名登記真實身份信息，并對用戶真實身份信息進行有效核驗，有校核驗方法可追溯到用戶登記的真實身份，如：

1)   身份證與姓名實名驗證服務；

2)   有效的銀行卡；

3)   合法、有效的數字證書；

4)   已確認真實身份的網絡服務的注冊用戶；

5)   經電信運營商接入實名認證的用戶。

b)   應對用戶注冊的賬號、頭像和備注等信息進行審核，禁止使用違反法律法規和社會道德的內容；

c)   應建立用戶黑名單制度，對網站自行發現以及公安機關通報的多次、大量發送傳播違法有害信息的用戶應納入黑名單管理。

注：如某網站采用已經實名認證的第三方帳戶登錄，可認為該網站的用戶已進行有效核驗。

9.2.3　當用戶利用互聯網從事的服務需要行政許可時，應查驗其合法資質，查驗可以通過以下方法進行：

a)   核對行政許可文件；

b)   通過行政許可主管部門的公開信息；

c)   通過行政許可主管部門的驗證電話、驗證平臺。

9.3　違法有害信息防范和處置

9.3.1　應采取管理與技術措施，及時發現和停止違法有害信息發布。

9.3.2　應采用人工或自動化方式，對發布的信息逐條審核。

9.3.3　應采取技術措施過濾違法有害信息，包括且不限于：

a)   基于關鍵詞的文字信息屏蔽過濾；

b)   基于樣本數據特征值的文件屏蔽過濾；

c)   基于URL的屏蔽過濾。

9.3.4　應采取技術措施對違法有害信息的來源實施控制，防止繼續傳播。

注：違法有害信息來源控制技術措施包括但不限于：封禁特定帳號、禁止新建帳號、禁止分享、禁止留言及回復、控制特定發布來源、控制特定地區或指定IP帳號登陸、禁止客戶端推送、切斷與第三方應用的互聯互通等。

9.3.5　應建立7×24h信息巡查制度，及時發現并處置違法有害信息。

9.3.6　應建立涉嫌違法犯罪線索、異常情況報告、安全提示和案件調查配合制度，包括：

a)   對發現的違法有害信息，立即停止發布傳輸，保留相關證據（包括用戶注冊信息、用戶登錄信息、用戶發布信息等記錄），并向屬地公安機關報告；

b)   對于煽動非法聚集、策劃恐怖活動、揚言實施個人極端暴力行為等重要情況或重大緊急事件立即向屬地公安機關報告，同時配合公安機關做好調查取證工作；

c)   相關電子數據及時傳送給屬地公安機關。

9.3.7　應與公安機關建立7×24h違法有害信息快速處置工作機制，有明確URL的單條違法有害信息和特定文本、圖片、視頻、鏈接等信息的源頭以及分享中的任一環節應能在5min之內刪除，相關的屏蔽過濾措施應在10min內生效。

9.4　破壞性程序防范

9.4.1　應實施破壞性程序的發現和停止發布措施，并保留發現的破壞性程序的相關證據。

9.4.2　對軟件下載服務提供者（包括應用軟件商店），應檢查用戶發布的軟件是否是計算機病毒等惡意代碼。

10　個人電子信息保護

10.1　處理規則

10.1.1　應制訂明確、清楚的個人電子信息處理規則，并在顯著位置予以公示。在用戶注冊時，應在與用戶簽訂服務協議中明示收集與使用個人電子信息的目的、范圍與方式。

10.1.2　網絡交互式服務提供者僅收集為實現正當商業目的和提供網絡服務所必需的個人信息；收集個人電子信息時，應取得用戶明確授權同意；將個人電子信息交給第三方處理時，處理方應符合本標準要求，并取得用戶明確授權同意；法律、行政法規另有規定的，從其規定。

10.1.3　修改個人電子信息處理規則時，應告知用戶，并取得其同意。

10.2　技術措施

應建立覆蓋個人電子信息處理的各個環節的安全保護制度和技術措施，防止個人電子信息泄露、損毀、丟失，包括：

a)   采用加密方式保存用戶密碼等重要信息；

b)   審計內部員工對涉及個人電子信息的所有操作，并對審計結果進行分析，預防內部員工故意泄露；

c)   審計個人電子信息上載、存儲或傳輸，作為信息泄露、毀損、丟失的查詢依據；

d)   建立程序來控制對涉及個人電子信息的系統和服務的訪問權的分配。這些程序涵蓋用戶訪問生存周期內的各個階段，從新用戶初始注冊到不再需要訪問信息系統和服務的用戶的最終撤銷；

e)   系統的安全保障技術措施覆蓋個人電子信息處理的各個環節，防止網絡違法犯罪活動竊取信息，降低個人電子信息泄露的風險。

10.3　個人信息泄露事件的處理

當發現個人電子信息泄露事件后，應：

a)   立即采取補救措施，防止信息繼續泄露；

b)   24h內告知用戶，根據用戶初始注冊信息重新激活賬戶，避免造成更大的損失；

c)   立即報告屬地公安機關。

11　投訴

11.1　投訴制度

應建立用戶投訴舉報接收處理制度，明確用戶投訴舉報渠道、處理流程、方式、時限，鼓勵用戶舉報違法有害信息。

11.2　處理原則

應當遵循合法、合理、公平、公正、及時準確的基本原則，積極維護國家利益、公共利益和行業利益，尊重用戶的合法權益。

11.3　投訴渠道

應根據業務類型、投訴數量和投訴內容等建立適當的投訴渠道，包括線上投訴、上門投訴、電話、傳真、郵件和快遞投訴等。

應以明顯可見的方式向社會公開投訴渠道。

11.4　記錄留存

應保存投訴處理的全部記錄，以保證可追溯性。

12　分包服務

12.1　基本要求

12.1.1　互聯網交互式服務提供者可將本標準的安全保護要求分包。

12.1.2　分包安全保護工作時，應：

a)   確保分包方的信息安全服務交付水準；

b)   與分包方簽訂與安全有關的協議，明確約定相關責任。

12.2　分包商要求

接受安全保護服務分包的服務提供商應達到本標準的安全保護要求。

12.3　不可分包的項目

互聯網交互式服務提供者不應分包法律、法規、標準規定不可分包的項目。

13　安全事件管理

13.1　安全事件管理制度

13.1.1　應建立安全事件的監測、報告和應急處置制度，確保快速、有效和有序地響應安全事件。

13.1.2　安全事件包括違法有害信息、危害計算機信息系統安全的異常情況及突發公共事件。

13.2　應急預案

應制訂安全事件應急處置預案，向屬地公安機關報備，并定期開展應急演練。

13.3　突發公共事件處理

突發公共事件分為四級：I級（特別重大）、II級（重大）、III級（較大）、IV級（一般），互聯網交互式服務提供者應建立相應處置機制，當突發公共事件發生后，投入相應的人力與技術措施開展處置工作：

a)   I級：應投入安全管理等部門80%甚至全部人力開展處置工作；

b)   II級：應投入安全管理等部門50% -80%的人力開展處置工作；

c)   III級：應投入安全管理等部門30%-50%的人力開展處置工作；

d)   IV級：應投入安全管理等部門30%的人力開展處置工作。

13.4　技術接口

應為公安機關提供符合國家或公共安全行業標準的技術接口，確保實時、有效地提供相關證據。