搜索结果: GA 1277.1-2020, GA1277.1-2020
| 标准编号 | GA 1277.1-2020 (GA1277.1-2020) | | 中文名称 | 互联网交互式服务安全管理要求 第1部分:基本要求 | | 英文名称 | Security management requirements for internet interactive service - Part 1: Basic requirements | | 行业 | 公安行业标准 | | 中标分类 | A90 | | 国际标准分类 | 35.240 | | 字数估计 | 18,166 | | 发布日期 | 2020-01-16 | | 实施日期 | 2020-03-01 | | 发布机构 | 公安部 | GA 1277.1-2020
(Internet interconnection service security management requirements -- Part 1: Basic requirements)
ICS 35.240
A90
中华人民共和国公共安全行业标准
代替 GA1277-2015
互联网交互式服务安全管理要求
第1部分:基本要求
2020-01-16发布
2020-03-01实施
中华人民共和国公安部 发 布
目次
前言 Ⅲ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 安全管理制度 2
4.1 制度与规程 2
4.2 文件控制 2
4.3 记录控制 3
5 组织机构 3
5.1 机构要求 3
5.2 备案 3
5.3 网络与信息安全组织 3
5.4 网安警务室工作支持 3
6 人员安全管理 3
6.1 安全责任与岗位职责 3
6.2 关键岗位人员核查 4
6.3 安全培训 4
6.4 人员离岗 4
7 访问控制管理 4
7.1 访问管理 4
7.2 权限分配 4
7.3 特殊权限 4
7.4 权限的检查 5
8 安全技术措施 5
8.1 网络与系统运行安全 5
8.2 数据安全与备份 5
8.3 日志与用户数据记录 5
9 业务安全 6
9.1 安全评估及报备 6
9.2 用户管理 6
9.3 违法有害信息防范和处置 7
9.4 破坏性程序防范 8
10 个人信息保护 8
10.1 处理规则 8
10.2 技术措施 8
10.3 个人信息安全事件应急处置 8
11 投诉 9
11.1 投诉制度 9
11.2 受理与处理 9
11.3 投诉渠道 9
11.4 记录留存 9
12 分包服务 9
12.1 基本要求 9
12.2 分包商要求 9
12.3 不可分包的项目 9
13 安全事件管理 9
13.1 安全事件分类 9
13.2 应急预案 10
13.3 突发公共事件处理 10
13.4 技术接口 10
参考文献 11
前言
GA1277《互联网交互式服务安全管理要求》拟分成多个部分,包括基本要求和具体服务类型中的
要求。目前计划发布如下部分:
---第1部分:基本要求;
---第2部分:微博客服务;
---第3部分:音视频聊天室服务;
---第4部分:即时通信服务;
---第5部分:论坛服务;
---第6部分:移动应用软件发布平台;
---第7部分:云服务;
---第8部分:电子商务平台;
---第9部分:搜索服务;
---第10部分:互联网约车服务;
---第11部分:互联网短租房服务;
本部分为GA1277的第1部分。
本部分按照GB/T 1.1-2009给出的规则起草。
本部分代替GA1277-2015《信息安全技术 互联网交互式服务安全保护要求》,与GA1277-
2015相比主要技术变化如下:
---修改了标准名称,由《信息安全技术 互联网交互式服务安全保护要求》修改为《互联网交互式
服务安全管理要求》,并分成多个部分,本部分为《第1部分:基本要求》(见封面,2015年版的封面);
---修改了“3术语和定义”中的“互联网交互式服务”的定义,增加了“个人信息”“关键岗位人员”
“个人信息安全事件”的定义(见3.1、3.4、3.5、3.6,2015年版的3.1);
---修改了“4.1制度与规程”,增加了安全责任制度,信息巡查制度,安全事件监测、预警、通报及
应急响应制度等,同时将“8.1操作规程”内容完善后置于4.1.1(见4.1、4.1.3,2015年版的4.1.1、4.1.3、8.1);
---修改了“5机构要求”为“5组织机构”,“5.1法律责任”修改为“5.1机构要求”(见第5章、5.1,
2015年版的第5章、5.1);
---增加了“5.2备案”的内容(见5.2);
---修改了“8网络与操作安全”为“8安全技术措施”,原“8.2网络与主机系统的安全”修改为“8.1
网络与系统运行安全”,并对其内容进行了增加(见第8章、8.1,2015年版的第8章、8.2);
---修改了“8.3备份”为“8.2数据安全与备份”,并对其内容进行了增加(见8.2,2015年版的8.3);
---修改了“8.4安全审计”为“8.3日志与用户数据记录”,并对其内容进行了修改,如将日志与注
册信息等进行分离(见8.3,2015年版的8.4);
---修改了“9应用安全”为“9业务安全”(见第9章,2015年版的第9章);
---增加了基于生物特征的用户真实身份信息有效核验方法[见9.2.2a)];
---增加了违法有害信息过滤的技术措施[见9.3.4)];
---修改了“10.2技术措施”的相关内容(见10.2,2015年版的10.2);
---修改了“10.3个人信息泄露事件的处理”为“10.3个人信息安全事件的处置”,并修改了具体的
内容(见10.3,2015年版的10.3)。
本部分由公安部网络安全保卫局提出。
本部分由公安部信息系统安全标准化技术委员会归口。
本部分起草单位:公安部网络安全保卫局、公安部第三研究所。
本部分主要起草人:金波、陈妍、陈飞燕、高爽、邓琦、贺滢睿、王庆华、顾玮、陈长松。
GA1277.1的历次版本发布情况为:
---GA1277-2015。
互联网交互式服务安全管理要求
第1部分:基本要求
1 范围
GA1277的本部分规定了互联网交互式服务安全管理的要求。
本部分适用于互联网交互式服务提供者落实互联网安全管理制度和安全技术措施。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 20985.1-2017 信息技术 安全技术 信息安全事件管理 第1部分:事件管理原理
GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南
GB/T 22239 信息安全技术 网络安全等级保护基本要求
GB/T 35273-2020 信息安全技术 个人信息安全规范
GA1278-2015 信息安全技术 互联网服务安全评估基本程序及要求
3 术语和定义
GB/T 22239、GB/T 20985.1-2017、GB/Z 20986-2007、GB/T 35273-2020和 GA1278-2015
界定的以及下列术语和定义适用于本文件。为了便于使用,以下重复列出了GB/T 35273-2020中的一些术语和定义。
3.1
互联网交互式服务
通过互联网为用户提供向社会公众发布信息以及基于信息交互提供的相关服务。
注1:交互形式包括文字、图片、音视频等。
注2:包括但不限于论坛、社区、贴吧、文字或音视频聊天室、微博客、博客、即时通信、电子商务平......
|