本標(biāo)準(zhǔn)按照GB/T 1.1-2009給出的規(guī)則起草。

本標(biāo)準(zhǔn)由公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口。

本標(biāo)準(zhǔn)起草單位：公安部網(wǎng)絡(luò)安全保衛(wèi)局、公安部第三研究所。

本標(biāo)準(zhǔn)主要起草人：畢海濱、金波、趙云霞、高爽、陳長(zhǎng)松、朱英菊、李相龍、黃道麗、向朝霞。

1　范圍

本標(biāo)準(zhǔn)規(guī)定了互聯(lián)網(wǎng)服務(wù)提供者實(shí)施安全評(píng)估的基本程序和要求。

本標(biāo)準(zhǔn)適用于互聯(lián)網(wǎng)服務(wù)提供者進(jìn)行安全評(píng)估與公安機(jī)關(guān)對(duì)互聯(lián)網(wǎng)服務(wù)安全進(jìn)行檢查。

2　術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

2.1　 

互聯(lián)網(wǎng)服務(wù)  internet service

向用戶提供的互聯(lián)網(wǎng)接入服務(wù)、互聯(lián)網(wǎng)數(shù)據(jù)中心服務(wù)、互聯(lián)網(wǎng)信息服務(wù)、互聯(lián)網(wǎng)安全服務(wù)和互聯(lián)網(wǎng)公共上網(wǎng)服務(wù)等服務(wù)業(yè)務(wù)。

2.2　 

互聯(lián)網(wǎng)服務(wù)提供者  internet service provider

向用戶提供互聯(lián)網(wǎng)服務(wù)的組織或個(gè)人。

3　安全評(píng)估與安全檢查

互聯(lián)網(wǎng)服務(wù)上線前，互聯(lián)網(wǎng)服務(wù)提供者應(yīng)自行組織開展安全評(píng)估，向?qū)俚毓矙C(jī)關(guān)提交評(píng)估報(bào)告，進(jìn)行安全檢查，具體流程見附錄A。

4　評(píng)估流程

4.1　評(píng)估的組織

互聯(lián)網(wǎng)服務(wù)提供者開展互聯(lián)網(wǎng)應(yīng)用服務(wù)安全評(píng)估，可采取下列方式：

a)   互聯(lián)網(wǎng)服務(wù)提供者自行組織人員進(jìn)行安全評(píng)估；

b)   互聯(lián)網(wǎng)服務(wù)提供者委托具備相應(yīng)資質(zhì)的第三方安全測(cè)評(píng)機(jī)構(gòu)進(jìn)行安全評(píng)估；

c)   互聯(lián)網(wǎng)服務(wù)提供者委托屬地公安網(wǎng)安部門推薦的專家、機(jī)構(gòu)進(jìn)行安全評(píng)估。

注：資質(zhì)包括國(guó)家認(rèn)可、資質(zhì)認(rèn)定或由省級(jí)以上網(wǎng)絡(luò)安全主管部門頒發(fā)的安全測(cè)評(píng)資質(zhì)。

4.2　保密要求

參與評(píng)估的機(jī)構(gòu)和人員應(yīng)當(dāng)與互聯(lián)網(wǎng)服務(wù)提供者簽訂保密協(xié)議，承諾保守企業(yè)、商業(yè)秘密，并依法承擔(dān)因泄密所應(yīng)承擔(dān)的法律責(zé)任。

4.3　識(shí)別、分析與評(píng)價(jià)安全符合性

從下列方面識(shí)別、分析與評(píng)價(jià)互聯(lián)網(wǎng)服務(wù)的安全符合性，并編制安全評(píng)估報(bào)告：

a)   互聯(lián)網(wǎng)服務(wù)的合法性、合規(guī)性；

b)   互聯(lián)網(wǎng)服務(wù)安全管理制度、機(jī)制是否符合國(guó)家現(xiàn)行的規(guī)范、標(biāo)準(zhǔn)要求；

c)   互聯(lián)網(wǎng)服務(wù)安全技術(shù)措施是否健全、完善；

d)   受到破壞后會(huì)對(duì)國(guó)家安全、公共安全和公眾利益造成損害的互聯(lián)網(wǎng)服務(wù)是否符合信息系統(tǒng)等級(jí)保護(hù)的規(guī)范、標(biāo)準(zhǔn)要求；

e)   網(wǎng)絡(luò)安全專用產(chǎn)品是否符合國(guó)家相關(guān)規(guī)定。

4.4　不符合整改

如果評(píng)估結(jié)果發(fā)現(xiàn)任何不符合要求的，互聯(lián)網(wǎng)服務(wù)提供者應(yīng)：

a)   識(shí)別不符合的原因；

b)   實(shí)施適當(dāng)?shù)募m正措施；

c)   評(píng)審所采取的糾正措施，驗(yàn)證其有效性。

5　安全評(píng)估報(bào)告

5.1　安全評(píng)估報(bào)告的確認(rèn)

評(píng)估報(bào)告應(yīng)當(dāng)由法人或法人授權(quán)的安全負(fù)責(zé)人簽字確認(rèn)。

5.2　安全評(píng)估報(bào)告的備案

互聯(lián)網(wǎng)服務(wù)提供者開展互聯(lián)網(wǎng)應(yīng)用服務(wù)安全評(píng)估后，應(yīng)當(dāng)形成書面安全評(píng)估報(bào)告，并在互聯(lián)網(wǎng)應(yīng)用服務(wù)正式上線提供服務(wù)之日起5個(gè)工作日內(nèi)，將書面安全評(píng)估報(bào)告向其所在地市級(jí)以上公安機(jī)關(guān)網(wǎng)安部門備案。

5.3　安全評(píng)估報(bào)告的內(nèi)容

評(píng)估報(bào)告應(yīng)包含以下內(nèi)容：

a)   互聯(lián)網(wǎng)服務(wù)功能、性能描述；

b)   互聯(lián)網(wǎng)服務(wù)合法性、合規(guī)性說(shuō)明（如提供的服務(wù)須獲得相應(yīng)行政許可的，應(yīng)包括相關(guān)證明文件）；

c)   網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖（必要時(shí)）；

d)   技術(shù)測(cè)試報(bào)告，活躍用戶在500萬(wàn)以上的，應(yīng)包含壓力測(cè)試報(bào)告；

e)   已建立的安全管理制度、措施；

f)   評(píng)估結(jié)論；

g)   不符合整改記錄；

h)   其他應(yīng)當(dāng)說(shuō)明的相關(guān)情況。

6　檢查流程

6.1　工作要求

屬地公安機(jī)關(guān)網(wǎng)安部門收到互聯(lián)網(wǎng)服務(wù)提供者提交的書面安全評(píng)估報(bào)告后，應(yīng)依據(jù)現(xiàn)行法律法規(guī)和相關(guān)標(biāo)準(zhǔn)規(guī)范要求，開展以下安全檢查工作：

a)   審閱互聯(lián)網(wǎng)服務(wù)安全評(píng)估報(bào)告，必要時(shí)可邀請(qǐng)網(wǎng)絡(luò)和信息安全方面專家參與審議；

b)   對(duì)交互式、交易類互聯(lián)網(wǎng)應(yīng)用服務(wù)和軟件下載服務(wù)（包括應(yīng)用軟件商店），組織開展實(shí)地安全檢查。

上級(jí)公安機(jī)關(guān)網(wǎng)安部門對(duì)下一級(jí)網(wǎng)安部門安全檢查工作進(jìn)行指導(dǎo)。

6.2　重點(diǎn)互聯(lián)網(wǎng)服務(wù)上報(bào)

活躍用戶500萬(wàn)以上的互聯(lián)網(wǎng)服務(wù)提供商開通新服務(wù)，屬地網(wǎng)安部門應(yīng)將該服務(wù)的安全評(píng)估報(bào)告上報(bào)省級(jí)網(wǎng)安部門；活躍用戶3000萬(wàn)以上的互聯(lián)網(wǎng)服務(wù)提供商開通新服務(wù)，省級(jí)網(wǎng)安部門應(yīng)當(dāng)將該服務(wù)的安全評(píng)估報(bào)告上報(bào)公安部網(wǎng)絡(luò)安全保衛(wèi)局。

6.3　重點(diǎn)互聯(lián)網(wǎng)服務(wù)專家評(píng)審

公安部網(wǎng)絡(luò)安全保衛(wèi)局和各省、自治區(qū)、直轄市公安廳、局網(wǎng)安總隊(duì)收到下一級(jí)網(wǎng)安部門報(bào)備的互聯(lián)網(wǎng)服務(wù)安全評(píng)估報(bào)告后，對(duì)存在較大安全風(fēng)險(xiǎn)、可能影響國(guó)家安全、公共安全和公眾利益的互聯(lián)網(wǎng)服務(wù)，應(yīng)組織網(wǎng)絡(luò)和信息安全方面專家進(jìn)行評(píng)審，必要時(shí)應(yīng)會(huì)同屬地公安網(wǎng)安部門開展實(shí)地檢查。

6.4　檢查時(shí)限

公安網(wǎng)安部門組織開展檢查工作，不應(yīng)影響互聯(lián)網(wǎng)服務(wù)的正常運(yùn)營(yíng)，檢查時(shí)限最長(zhǎng)不超過(guò)15個(gè)工作日。

6.5　日常檢查

公安網(wǎng)安部門組織定期檢查互聯(lián)網(wǎng)安全技術(shù)與管理措施落實(shí)情況。

7　檢查意見使用

7.1　限期整改

公安機(jī)關(guān)安全檢查發(fā)現(xiàn)互聯(lián)網(wǎng)服務(wù)安全管理制度、措施達(dá)不到相關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范要求的，應(yīng)責(zé)令互聯(lián)網(wǎng)服務(wù)提供者限期整改。對(duì)互聯(lián)網(wǎng)服務(wù)提供者在1個(gè)月內(nèi)無(wú)法完成整改的，應(yīng)責(zé)令暫停該應(yīng)用服務(wù)新用戶注冊(cè)。

7.2　暫停服務(wù)

檢查中發(fā)現(xiàn)互聯(lián)網(wǎng)服務(wù)存在重大安全隱患，極易引發(fā)現(xiàn)實(shí)危害的，屬地公安網(wǎng)安部門應(yīng)責(zé)令互聯(lián)網(wǎng)服務(wù)提供者立即暫停服務(wù)并進(jìn)行整改。

7.3　重新評(píng)估

在整改完成后，應(yīng)重新組織安全評(píng)估，評(píng)估報(bào)告經(jīng)公安機(jī)關(guān)檢查確認(rèn)后，方可恢復(fù)由安全整改暫停的服務(wù)。

8　變更報(bào)備

互聯(lián)網(wǎng)服務(wù)正式運(yùn)營(yíng)期間，其安全策略、技術(shù)架構(gòu)、服務(wù)功能等發(fā)生調(diào)整及變化，應(yīng)按規(guī)定程序向?qū)俚毓矙C(jī)關(guān)報(bào)備。對(duì)涉及以下情況的變更，應(yīng)重新開展安全評(píng)估：

a)    影響國(guó)家安全、公共安全、公眾利益的；

b)    影響防范和打擊違法犯罪的；

c)    安全管理制度、措施與處置機(jī)制受到影響或發(fā)生變化的；

d)    經(jīng)專家評(píng)審認(rèn)為應(yīng)開展安全評(píng)估的。