首页 > 公共安全行业标准(GA) > GA 1278-2015 信息安全技术互联网服务安全评估基本程序及要求
GA 1278-2015

基本信息

标准号: GA 1278-2015

中文名称:信息安全技术互联网服务安全评估基本程序及要求

标准类别:公共安全行业标准(GA)

标准状态:现行

出版语种:简体中文

下载格式:.zip .pdf

下载大小:1497414

相关标签: 信息安全 技术 互联网服务 安全 评估 程序

标准分类号

关联标准

出版信息

相关单位信息

标准简介

GA 1278-2015.Information security technology-Basic procedures and requirements for internet service security evaluation.
1范围
GA 1278规定了互联网服务提供者实施安全评估的基本程序和要求。
GA 1278适用于互联网服务提供者进行安全评估与公安机关对互联网服务安全进行检查。
2术语和定 义
下列术语和定义适用于本文件。
2.1互联网服务internet service
向用户提供的互联网接人服务、互联网数据中心服务.互联网信息服务、互联网安全服务和互联网公共上网服务等服务业务。
2.2互联网服务提供者internet service provider
向用户提供互联网服务的组织或个人.
3安全评估 与安全检查
互联网服务上线前,互联网服务提供者应自行组织开展安全评估,向属地公安机关提交评估报告,进行安全检查,具体流程见附录A.
4评估流程.
4.1评估的组织
互联网服务提供者开展互联网应用服务安全评估,可采取下列方式:
a)互联网服务 提供者自行组织人员进行安全评估;
b)互联网服务提供者委托具备相应资质的第三方安全测评机构进行安全评估;
c)互联网服务提供者委托属地公安网安部门推荐的专家、机构进行安全评估。
注:资质包括国家认可、资质认定或由省级以上网络安全主管部门颁发的安全测评资质.
4.2保密要求
参与评估的机构和人员应当与互联网服务提供者签订保密协议,承诺保守企业、商业秘密,并依法承担因泄密所应承担的法律责任。

标准图片预览






标准内容

ICS35.040
中华人民共和国公共安全行业标准GA 1278—2015
信息安全技术
互联网服务安全评估基本程序及要求Information security technology-Basic procedures andrequirements for internet service security evaluation2015-10-26发布
中华人民共和国公安部
2016-01-01实施
本标准的全部技术内容为强制性。前
本标准按照GB/T1.1一2009给出的规则起草。言
本标准由公安部信息系统安全标准化技术委员会提出并归口。本标准起草单位:公安部网络安全保卫局、公安部第三研究所。GA1278—2015
本标准主要起草人:毕海滨、金波、赵云霞、高爽、陈长松、朱英菊、李相龙、黄道丽、向朝霞。1范围
信息安全技术
互联网服务安全评估基本程序及要求本标准规定了互联网服务提供者实施安全评估的基本程序和要求GA1278-2015
本标准适用于互联网服务提供者进行安全评估与公安机关对互联网服务安全进行检查。术语和定义
下列术语和定义适用于本文件。2.1
internet service
互联网服务
向用户提供的互联网接人服务、互联网数据中心服务、互联网信息服务、互联网安全服务和互联网公共上网服务等服务业务。
internet serviceprovider
互联网服务提供者
向用户提供互联网服务的组织或个人。3安全评估与安全检查
互联网服务上线前,互联网服务提供者应自行组织开展安全评估,向属地公安机关提交评估报告,进行安全检查,具体流程见附录A。4评估流程
4.1评估的组织
互联网服务提供者开展互联网应用服务安全评估,可采取下列方式:a)互联网服务提供者自行组织人员进行安全评估;b)互联网服务提供者委托具备相应资质的第三方安全测评机构进行安全评估;c)互联网服务提供者委托属地公安网安部门推荐的专家、机构进行安全评估。注:资质包括国家认可、资质认定或由省级以上网络安全主管部门颂发的安全测评资质。4.2
保密要求
参与评估的机构和人员应当与互联网服务提供者签订保密协议,承诺保守企业、商业秘密,并依法承担因泄密所应承担的法律责任。3识别、分析与评价安全符合性
从下列方面识别、分析与评价互联网服务的安全符合性,并编制安全评估报告:1
GA 1278—2015
互联网服务的合法性、合规性;a)
互联网服务安全管理制度、机制是否符合国家现行的规范、标准要求;c
互联网服务安全技术措施是否健全,完善:d)
受到破坏后会对国家安全,公共安全和公众利益造成损害的互联网服务是否符合信息系统等级保护的规范、标准要求;
e)网络安全专用产品是否符合国家相关规定。4.4不符合整改
如果评估结果发现任何不符合要求的,互联网服务提供者应:识别不符合的原因;
b)实施适当的纠正措施:
评审所采取的纠正措施,验证其有效性。5安全评估报告
5.1安全评估报告的确认
评估报告应当由法人或法人授权的安全负责人签字确认。5.2安全评估报告的备案
互联网服务提供者开展互联网应用服务安全评估后,应当形成书面安全评估报告,并在互联网应用服务正式上线提供服务之日起5个工作日内,将书面安全评估报告向其所在地市级以上公安机关网安部门备案。
5.3安全评估报告的内容
评估报告应包含以下内容:
a)互联网服务功能、性能描述;b)互联网服务合法性、合规性说明(如提供的服务须获得相应行政许可的,应包括相关证明文件);
网络拓扑结构图(必要时):
技术测试报告,活跃用户在500万以上的,应包含压力测试报告;e)
已建立的安全管理制度、措施;评估结论;
不符合整改记录;
其他应当说明的相关情况。
6检查流程
6.1工作要求
属地公安机关网安部门收到互联网服务提供者提交的书面安全评估报告后,应依据现行法律法规和相关标准规范要求,开展以下安全检查工作:a)审阅互联网服务安全评估报告,必要时可邀请网络和信息安全方面专家参与审议;2
GA1278-2015
b)对交互式、交易类互联网应用服务和软件下载服务(包括应用软件商店),组织开展实地安全检查。
上级公安机关网安部门对下一级网安部门安全检查工作进行指导6.2重点互联网服务上报
活跃用户500万以上的互联网服务提供商开通新服务,属地网安部门应将该服务的安全评估报告上报省级网安部门;活跃用户3000万以上的互联网服务提供商开通新服务,省级网安部门应当将该服务的安全评估报告上报公安部网络安全保卫局。6.3重点互联网服务专家评审
公安部网络安全保卫局和各省、自治区、直辖市公安厅、局网安总队收到下一级网安部门报备的互联网服务安全评估报告后,对存在较大安全风险、可能影响国家安全、公共安全和公众利益的互联网服务,应组织网络和信息安全方面专家进行评审,必要时应会同属地公安网安部门开展实地检查。6.4检查时限
公安网安部门组织开展检查工作,不应影响互联网服务的正常运营,检查时限最长不超过15个工作日。
6.5日常检查
公安网安部门组织定期检查互联网安全技术与管理措施落实情况7检查意见使用
7.1限期整改
公安机关安全检查发现互联网服务安全管理制度、措施达不到相关法律法规和标准规范要求的,应责令互联网服务提供者限期整改。对互联网服务提供者在1个月内无法完成整改的,应责令暂停该应用服务新用户注册。
暂停服务
检查中发现互联网服务存在重大安全隐患,极易引发现实危害的,属地公安网安部门应责令互联网服务提供者立即暂停服务并进行整改7.3重新评估
在整改完成后,应重新组织安全评估,评估报告经公安机关检查确认后,方可恢复由安全整改暂停的服务。
8变更报备
互联网服务正式运营期间,其安全策略、技术架构、服务功能等发生调整及变化,应按规定程序向属地公安机关报备。对涉及以下情况的变更,应重新开展安全评估:a)影响国家安全、公共安全、公众利益的:3
GA1278—2015
影响防范和打击违法犯罪的;
安全管理制度、措施与处置机制受到影响或发生变化的;经专家评审认为应开展安全评估的。安全整改
附录A
(规范性附录)
互联网服务安全评估与检查流程图互联网服务提供者
计划上线互联网服务
互联网服务提供者
自行开展安全评估
不符合整改
互联网服务上线
5个工作日内报属地公
安机关网安部门
安全检查
日常检查
重大变更
重点互联网服务
逐级上报
重点互联网服务
专家评审
互联网服务安全评估与检查流程GA 1278—2015
GA1278-2015
中华人民共和国公共安全
行业标准
信息安全技术
互联网服务安全评估基本程序及要求GA1278—2015
中国标准出版社出版发行
北京市朝阳区和平里西街甲2号(100029)北京市西城区三里河北街16号(100045)网址spc.net.cn
总编室:(010)68533533发行中心:(010)51780238读者服务部:(010)68523946
中国标准出版社秦皇岛印刷厂印刷各地新华书店经销Www.bzxZ.net
开本880X12301/16
2015年11月第一版
印张0.75
字数12千字
2015年11月第一次印刷
书号:155066·2-29634定价
告由本社发行中心调换
如有印装差错
版权专有
侵权必究
举报电话:(010)68510107
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。