标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
GA 1277.1-2020 互联网交互式服务安全管理要求 第1部分:基本要求互联网交互式服务提供者应保留安全管理制度的制定、变更、执行等过程中相关的记录并加以保扩 与控制,防止未经授权的访问或修改。
2.1互联网交互式服务提供者应在服务上线前填写用户备案表,并到当地公安机关备案。 2.2互联网交互式服务提供者如需使用国际互联网,应在服务上线开通起30日内向地市及以上 关指定的受理机关办理国际联网备案手续
GB/T 26956-2011 金属材料焊缝破坏性试验 宏观和微观检验用侵蚀剂5.3网络与信息安全组织
5.3.1互联网交互式服务提供者应建立与业务和规模相适应的安全组织机构,包括但不限于: a 组建专职安全管理队伍,定义管理人员的工作岗位职责: b) 安全管理人员经过安全培训并取得相关资质: 安全管理人员数量与业务规模相适应,并具备9.3要求的对违法有害信息防范和处置能力。 5.3.2 互联网交互式服务提供者应配备安全管理人员,履行以下职责: a 负责安全管理制度的建立、实施与保持; b) 负责新服务、新功能的风险评估与安全方案审核: C) 向最高管理者报告安全状况与改进建议。 5.3.3 互联网交互式服务提供者应配备专门人员负责配合公安机关的工作。
5.4网安警务室工作支持
互联网交互式服务提供者应为已建的公安机关网安警务室开展工作提供相应的环境和支持配个 受网安警务室的安全管理和指导
6.1安全责任与岗位职责
GA 1277.12020
6.1.1互联网交互式服务提供者应在安全责任制度中明确主要负责人、网络安全责任人、安全管理负 责人及其他责任人员的责任。 6.1.2互联网交互式服务提供者应在安全岗位管理制度中明确关键岗位人员及其职责,其中职责应包 括保密管理职责。
6.2关键岗位人员核查
任用关键岗位人员之前,互联网交互式服务提供者应按照相关法律、法规、道德规范和对应 要求执行安全背景核查:
5.2.2互联网交互式服务提供者应与关键岗位人员签订保密协议
互联网交互式服务提供者应在安全培训制度 岗位人员进行安全技能培训,提高全员的网络 a) 上岗前的培训; b) 安全制度的培训; c) 新服务、新功能上线前后的培训: d 与法律、法规发展保持同步的继续培训: e)安全知识和技能的持续教育。
互联网交互式服务提供者应在安全 定期对所有工作人员进行网络安全培训,对安 全岗位人员进行安全技能培训,提高全员的网络安全意识和安全岗位人员能力,包括但不限于 上岗前的培训; 安全制度的培训; 新服务、新功能上线前后的培训: d)与法律、法规发展保持同步的继续培训; e)安全知识和技能的持续教育。
互联网交互式服务提供者应在人员管理制度中严格规范人员离岗过程,包括但不限于: a)及时终止离岗员工的所有访问权限; b)关键岗位人员须书面承诺调离后的保密义务后方可离开; C)配合公安机关工作的人员变动及时通报公安机关。
互联网交互式服务提供者应在安全运维管理制度中建立包括物理的和逻辑的系统访问权 求。
互联网交互式服务提供者应按以下原则根据人员职责分配不同的访问权限: a)角色分离,如访问请求、访问授权、访问管理; b)满足工作需要的最小权限; c)未经明确允许,则一律禁止
GA 1277.12020
互联网交互式服务提供者应限制和控制特殊访问权限的分配和使用,包括但不限于: a) 标识出每个系统或程序的特殊权限; b 按照“按需使用”、“一事一议”的原则分配特殊权限; C 记录特殊权限的授权与使用过程; 特殊访问权限的分配需经过管理层的批准。 注:特殊权限是系统超级用户、数据库管理等系统的管理权限及运维权限
互联网交互式服务提供者应定期对访问权限进行检查,对特殊访问权限授权情况的检查需更频繁, 如发现不恰当的权限设置,应及时予以调整
8.1网络与系统运行安全
互联网交互式服务提供者应对数据采取备份和保护等措施,保证数据的安全,包括但不限于: a)对数据进行分级分类; b) 对重要数据的传输和存储采取加密等安全保护措施; C 根据数据分类结果建立不同数据的备份策略,提供足够的备份设施,确保必要的信息和软件在 灾难或介质故障时可以恢复; d) 建立数据安全备份和恢复流程,必要时对备份和恢复过程进行演练,并对备份数据进行定期校 验。
8.3日志与用户数据记录
GA 1277.12020
互联网交互式服务者应在互联网服务安全评估制度中明确互联网新服务、新功能应在上线 全评估,应制订信息网络安全技术方案,并将安全风险评估结果向管辖地公安机关报备。
9.2.2互联网交互式服务提供者应建立用户管理机制,包括但不限于:
9.2.2互联网交互式服务提供者应建立用户管理机制,包括但不限于:
9.3违法有害信息防范和处置
9.3.1互联网交互式服务提供者应建立与交互式服务特点相符的信息巡查制度,及时发现 有害信息。
9.3.2互联网交互式服务提供者应采取管理与技术措施,及时发现并停止违法有害信息的发布 9.3.3互联网交互式服务提供者应采用人工或自动化方式,对发布的信息进行审核或过滤。 9.3.4互联网交互式服务提供者应采取技术措施过滤违法有害信息,包括但不限于:
9.3.6互联网交互式服务提供者应建立涉嫌违法犯罪线索、异常情况报告、安全提示和案
GA127Z12020
9.4.1互联网交互式服务提供者应能发现破坏性程序并采取措施立即停止发布,同时保留发现的破坏 性程序的相关证据。 9.4.2对软件下载服务提供者(包括应用软件商店),其应检查用户发布的软件是否含有计算机病毒 等恶意代码。
10.1.1网络交互式服务提供者应在个人信息保护制度中明确个人信息收集、使用、处理规则,并在显 著位置予以公示;在用户注册时,应在与用户签订服务协议中明示收集、使用、处理个人信息的目的 范围与方式。 斤必需的全人信自收售人
菩位置予以公示;在用户注册时,应在与用户签订服务协议中明示收集、使用、处理个人信息的目的、 范围与方式。 0.1.2网络交互式服务提供者仅收集为实现正当商业目的和提供网络服务所必需的个人信息;收集个 (信息时,应取得用户明确授权同意;将个人信息交给第三方处理时,处理方应符合本部分要求,并取 寻用户明确授权同意;法律、行政法规另有规定的,从其规定。 0.1.3修改个人信息处理规则时,网络交互式服务提供者应告知用户,并取得其同意
网络交互式服务提供者应建立覆盖个人信息处理的各个环 息泄露、损毁、丢失,包括: a)采用加密方式保存用户密码等重要信息; 对内部员工涉及个人信息的所有操作进行审计,并对审计结果进行分析,预防内部员工故意泄 露; C 对个人信息的采集、存储或传输行为进行审计,作为信息是否泄露、毁损、丢失的查询依据; d 建立程序来控制对涉及个人信息的系统和服务的访问权的分配,这些程序涵盖用户访问生存周 期内的各个阶段
GA 1277. 12020
网络交互式服务提供者应在用户投诉举报接收处理制度中明确用户投诉举报渠道、处理流程、方式 时限,鼓励用户举报违法有害信息
11. 2 受理与处理
网络交互式服务提供者应遵循合法、合理、公平、公正、及时准确的基本原则,积极维护国家利益 公共利益和行业利益,尊重用户的合法权益。 网络交互式服务提供者应验证与处理用户投诉,并将处理结果反馈投诉人
网络交互式服务提供者应保存投诉处理的全部记录DL/T 715-2015 火力发电厂金属材料选用导则,以保证可追溯
12.1.1互联网交互式服务提供者可将本部分的安全保护要求分包。
1.1互联网交互式服务提供者可将本部分的安全保护要求分包。 1.2分包安全保护工作时,网络交互式服务提供者应: a)查验分包方的相关资质,明确分包方的安全服务交付水准; b)与分包方签订与安全有关的协议,明确约定相关责任。
分包商也应达到本部分的安全要求。
12.3不可分包的项目
依据法律、法规、标准规定不可分包的项目,互联网交互式服务提供者不得分包
GA 1277.12020
网络交互式服务提供者应为公安机关提供符合国家或公共安全行业标准的技术接口SC/T 1115-2012 剑尾鱼 RR-B系,确保实时、 提供相关证据,
GA 1277.12020