ICS35240

A90.

中華人民共和國公共安全行業(yè)標準

GA12771—2020

代替.

GA1277—2015

互聯(lián)網(wǎng)交互式服務安全管理要求

第1部分基本要求

:

Securitymanagementrequirementsforinternetinteractiveservice—

Part1Basicreuirements

:q

2020-01-16發(fā)布2020-03-01實施

中華人民共和國公安部發(fā)布

GA12771—2020

.

目次

前言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

安全管理制度

4……………2

制度與規(guī)程

4.1…………………………2

文件控制

4.2……………2

記錄控制

4.3……………3

組織機構(gòu)

5…………………3

機構(gòu)要求

5.1……………3

備案

5.2…………………3

網(wǎng)絡(luò)與信息安全組織

5.3………………3

網(wǎng)安警務室工作支持

5.4………………3

人員安全管理

6……………3

安全責任與崗位職責

6.1………………3

關(guān)鍵崗位人員核查

6.2…………………4

安全培訓

6.3……………4

人員離崗

6.4……………4

訪問控制管理

7……………4

訪問管理

7.1……………4

權(quán)限分配

7.2……………4

特殊權(quán)限

7.3……………4

權(quán)限的檢查

7.4…………………………5

安全技術(shù)措施

8……………5

網(wǎng)絡(luò)與系統(tǒng)運行安全

8.1………………5

數(shù)據(jù)安全與備份

8.2……………………5

日志與用戶數(shù)據(jù)記錄

8.3………………5

業(yè)務安全

9…………………6

安全評估及報備

9.1……………………6

用戶管理

9.2……………6

違法有害信息防范和處置

9.3…………7

破壞性程序防范

9.4……………………8

個人信息保護

10……………8

Ⅰ

GA12771—2020

.

處理規(guī)則

10.1……………8

技術(shù)措施

10.2……………8

個人信息安全事件應急處置

10.3………………………8

投訴

11………………………9

投訴制度

11.1……………9

受理與處理

11.2…………………………9

投訴渠道

11.3……………9

記錄留存

11.4……………9

分包服務

12…………………9

基本要求

12.1……………9

分包商要求

12.2…………………………9

不可分包的項目

12.3……………………9

安全事件管理

13……………9

安全事件分類

13.1………………………9

應急預案

13.2…………………………10

突發(fā)公共事件處理

13.3………………10

技術(shù)接口

13.4…………………………10

參考文獻

……………………11

Ⅱ

GA12771—2020

.

前言

互聯(lián)網(wǎng)交互式服務安全管理要求擬分成多個部分包括基本要求和具體服務類型中的

GA1277《》,

要求目前計劃發(fā)布如下部分

。:

第部分基本要求

———1:;

第部分微博客服務

———2:;

第部分音視頻聊天室服務

———3:;

第部分即時通信服務

———4:;

第部分論壇服務

———5:;

第部分移動應用軟件發(fā)布平臺

———6:;

第部分云服務

———7:;

第部分電子商務平臺

———8:;

第部分搜索服務

———9:;

第部分互聯(lián)網(wǎng)約車服務

———10:;

第部分互聯(lián)網(wǎng)短租房服務

———11:;

……

本部分為的第部分

GA12771。

本部分按照給出的規(guī)則起草

GB/T1.1—2009。

本部分代替信息安全技術(shù)互聯(lián)網(wǎng)交互式服務安全保護要求與

GA1277—2015《》,GA1277—

相比主要技術(shù)變化如下

2015:

修改了標準名稱由信息安全技術(shù)互聯(lián)網(wǎng)交互式服務安全保護要求修改為互聯(lián)網(wǎng)交互式

———,《》《

服務安全管理要求并分成多個部分本部分為第部分基本要求見封面年版的

》,,《1:》(,2015

封面

);

修改了術(shù)語和定義中的互聯(lián)網(wǎng)交互式服務的定義增加了個人信息關(guān)鍵崗位人員

———“3”“”,“”“”

個人信息安全事件的定義見年版的

“”(3.1、3.4、3.5、3.6,20153.1);

修改了制度與規(guī)程增加了安全責任制度信息巡查制度安全事件監(jiān)測預警通報及

———“4.1”,,,、、

應急響應制度等同時將操作規(guī)程內(nèi)容完善后置于見年版的

,“8.1”4.1.1(4.1、4.1.3,2015

4.1.1、4.1.3、8.1);

修改了機構(gòu)要求為組織機構(gòu)法律責任修改為機構(gòu)要求見第章

———“5”“5”,“5.1”“5.1”(5、5.1,

年版的第章

20155、5.1);

增加了備案的內(nèi)容見

———“5.2”(5.2);

修改了網(wǎng)絡(luò)與操作安全為安全技術(shù)措施原網(wǎng)絡(luò)與主機系統(tǒng)的安全修改為

———“8”“8”,“8.2”“8.1

網(wǎng)絡(luò)與系統(tǒng)運行安全并對其內(nèi)容進行了增加見第章年版的第章

”,(8、8.1,20158、8.2);

修改了備份為數(shù)據(jù)安全與備份并對其內(nèi)容進行了增加見年版的

———“8.3”“8.2”,(8.2,20158.3);

修改了安全審計為日志與用戶數(shù)據(jù)記錄并對其內(nèi)容進行了修改如將日志與注

———“8.4”“8.3”,,

冊信息等進行分離見年版的

(8.3,20158.4);

修改了應用安全為業(yè)務安全見第章年版的第章

———“9”“9”(9,20159);

增加了基于生物特征的用戶真實身份信息有效核驗方法見

———[9.2.2a)];

增加了違法有害信息過濾的技術(shù)措施見

———[9.3.4)];

修改了技術(shù)措施的相關(guān)內(nèi)容見年版的

———“10.2”(10.2,201510.2);

Ⅲ

GA12771—2020

.

修改了個人信息泄露事件的處理為個人信息安全事件的處置并修改了具體的

———“10.3”“10.3”,

內(nèi)容見年版的

(10.3,201510.3)。

本部分由公安部網(wǎng)絡(luò)安全保衛(wèi)局提出

。

本部分由公安部信息系統(tǒng)安全標準化技術(shù)委員會歸口

。

本部分起草單位公安部網(wǎng)絡(luò)安全保衛(wèi)局公安部第三研究所

:、。

本部分主要起草人金波陳妍陳飛燕高爽鄧琦賀瀅睿王慶華顧瑋陳長松

:、、、、、、、、。

的歷次版本發(fā)布情況為

GA1277.1:

———GA1277—2015。

Ⅳ

GA12771—2020

.

互聯(lián)網(wǎng)交互式服務安全管理要求

第1部分基本要求

:

1范圍

的本部分規(guī)定了互聯(lián)網(wǎng)交互式服務安全管理的要求

GA1277。

本部分適用于互聯(lián)網(wǎng)交互式服務提供者落實互聯(lián)網(wǎng)安全管理制度和安全技術(shù)措施

。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)安全技術(shù)信息安全事件管理第部分事件管理原理

GB/T20985.1—20171:

信息安全技術(shù)信息安全事件分類分級指南

GB/Z20986—2007

信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求

GB/T22239

信息安全技術(shù)個人信息安全規(guī)范

GB/T35273—2020

信息安全技術(shù)互聯(lián)網(wǎng)服務安全評估基本程序及要求

GA1278—2015

3術(shù)語和定義

和

GB/T22239、GB/T20985.1—2017、GB/Z20986—2007、GB/T35273—2020