《互联网交互式服务安全管理要求》重点内容宣贯讲义

1、附件2 :互联网交互式服务平安管理要求重点内容宣贯讲义一、管理要求的制定背景和基本框架GA 1277互联网交互式服务平安管理要求按照GB/T 1. 12（）09给出的规那么起草，代替GA 1277-2015信息 平安技术 互联网交互式服务平安保护要求，与GA 1277-2015相比有局部变化，主要适用于互联网交互式服务提 供者落实互联网平安管理制度和平安技术措施，帮助其细化明确法定责任义务，完善信息网络平安管理制度，规范 互联网信息服务活动。互联网交互式服务平安管理要求拟分成多个局部，包括基本要求和具体服务类型中的要求，计划发布的管 理内容包括：基本要求、微博客服务、音视频聊天室服务、即时通信

2、服务、论坛服务、移动应用软件发布平台、云 服务、电子商务平台、搜索服务、互联网约车服务和互联网短租房服务。目前已由公安部信息系统平安标准化技术 委员会制定发布了基本要求、微博客服务、音视频聊天室服务、即时通信服务、论坛服务等五个局部的强制性公共 平安行业标准，于2020年3月1日正式开始实施。二、管理要求关键术语的概念定义2. 1 互联网交互式服务 internet interactive service通过互联网为用户提供向社会公众发布信息以及基于信息交互提供的相关服务注1：交互形式包括文字、图片、音视频等。注2：包括但不限于论坛、社区、贴吧、文字或音视.频聊天室、微博客、博客、即时通信、电

3、子商务平台、搜索、互联网约车、 互联网短租房、移动下栽、提供存储、第三方支付、云服务等互联网信息服务。2. 2 违法有害信息 illegal and harmful informeition违反国家法律、法规，危害国家平安、荣誉和利益、公共平安、社会公德、公序良俗、公民人身财产平安及合 法权益等的信息。2. 3 破坏性程序 destructive program具有对计算机信息系统的功能或存储、处理及传输的数据进行非授权获取、删除、增加、修改、干扰、破坏等 功能的程序。2. 4 关键岗位人员 personnel in key position在互联网交互式服务提供者处从事与网络与系统运行平安、

4、数据平安、业务平安、个人信息平安等相关的人员。 注1：关键岗位人员包括但不限于系统管理员、平安管理员、审计管理员、数据管理员、内容编辑与审核员。注2：关键岗位人员可以是互联网交互式服务的主要负责人、网络平安责任人、平安管理责任人及其他责任人员等。2. 5 个人信息 personal information以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况 的各种信息。注：个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信联系方式、通信记录和内容、账号密码、财 产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。三、细化

5、了网络平安管理制度要求互联网交互式服务提供者应建立文件化的平安管理制度，平安管理制度文件应包括：a）平安责任制度；b）平安岗位管理制度；c）平安培训制度；d）人员管理制度；e）平安运维管理制度；f）平安评估报备制度；g）用户注册制度；h）信息发布审核制度；i）信息巡查制度；j）个人信息保护制度；k）用户投诉举报接收处理制度；1）平安事件监测、预警、通报及应急响应制度；m）适用的现行法律、法规、规章、标准和行政审批文件。互联网交互式服务提供者应建立与平安管理制度相配套的操作规程，包括但不限于：网络与系统运行平安、数 据平安和备份、日志与用户数据记录、信息发布审核、违法有害信息防范和处置、个人信息

6、保护、破坏性程序防范、 分包等。同时，平安管理制度应经过管理层批准并发布执行。四、细化了网络平安责任分配互联网交互式服务提供者应在平安责任制度中明确主要负责人、网络平安责任人、平安管理负贲人及其他责任 人员的责任。互联网交互式服务提供者应在平安岗位管理制度中明确关键岗位人员及其职责，其中职责应包括保密管理职责。 五、细化了网络平安防护措施要求5. 1网络与系统运行平安互联网交互式服务提供者应综合考虑系统的平安需求，制定整体的平安防护方案，落实平安防护措施，建立应 急响应体系，包括但不限于：a）重要系统和数据库具备容灾能力；b）根据业务需求，及时进行补丁更新；c）实施计算机病毒等恶意代码的预防、

7、检测和系统被破坏后的恢复措施；d）实施不间断地网络攻击和网络入侵行为的预防、检测与响应措施；e）适用时，对重要文件的完整性进行检测，并具备文件完整性受到破坏后的恢复措施；f）采取技术措施监测、记录网络运行状态、信息平安事件和用户活动行为等；g）对系统的脆弱性进行评估，并采取适当的措施处理相关的风险。注：系统脆弱性评估包括平安扫描、渗透测试等多种方式。5.2数据平安与备份、互联网交互式服务提供者应对数据采取备份和保护等措施，保证数据的平安，包括但不限于：a）对数据进行分级分类；b）对重要数据的传输和存储采取加密等平安保护措施；c）根据数据分类结果建立不同数据的备份策略，提供足够的备份设施，确保必

8、要的信息和软件在灾难或介质故 障时可以恢复；d）建立数据平安备份和恢复流程，必要时对备份和恢复过程进行演练，并对备份数据进行定期校验。六、细化了网络日志留存期限要求互联网交互式服务提供者应留存相关的日志和用户数据，具体保存周期要求如下：a）永久保存用户注册信息及历史变更信息；b）留存网络运行日志和系统维护日志不少于6个月；c）留存网络平安事件日志不少于6个月；d）留存用户活动日志不少于6个月：e）留存用户发布的信息内容不少于6个月七、细化了网络用户实名注册管理要求互联网交互式服务提供者应建立用户管理机制，包括但不限于：a）对用户真实身份信息进行有效核验，有效核验方法应能追溯到用户登记的真实身份

9、，如：1）身份证与姓名的实名验证服务；2）有效的银行卡；3）合法、有效的数字证书；4）已确认真实身份的网络服务的注册用户；5）经电信运营商接入实名认证的用户；6）生物特征。b）禁止匿名用户的信息发布权限，仅提供基本的浏览、查看等功能。c）对用户的账号、昵称、头像和备注等信息进行审核，禁止使用以下内容：1）违反国家现行法律法规规定的；2）违背社会公序良俗的；3）容易引起公众不良反响或误解的。d）建立用户黑名单制度，对互联网交互式服务提供者自行发现以及公安机关通报的屡次、大量发送传播违法有 害信息的用户应纳入黑名单管理。八、细化了防范违法有害信息扩散传播的措施要求互联网交互式服务提供者应采取技术措

10、施过滤违法有害信息，包括但不限于：a）基于关键词的违法有害文字信息（支持文字的变种、混淆等）的屏蔽过滤；b）基于样本数据特征值的违法有害音视频、图片的屏蔽过滤；c）基于违法有害外域链接的屏蔽过滤。互联网交互式服务提供者应采取技术措施对违法有害信息的来源实施控制，防止继续传播。违法有害信息来源 控制技术措施包括但不限于：封禁特定账号、禁止新建账号、禁止提供、禁止留言及回复、控制特定发布来源、控 制特定区域或指定IP账号登录、禁止客户端推送、切断与第三方应用的互联互通等。九、细化了配合公安机关开展涉网违法犯罪案事件协查的措施要求互联网交互式服务提供者应建立涉嫌违法犯罪线、异常情况报告、平安提示和案

11、件调查配合机制，包括：a）对发现的违法有害信息，立即停止发布传输，保存相关证据（包括用户注册信息、用户登录信息、用户发布 信息等记录），并向属地公安机关报告。b）对于煽动非法聚集、筹划恐怖互动、扬言实施个人极端行为等重要情况或重大紧急事件立即向属地公安机关 报告，同时配合公安机关做好调查取证工作。c）在不破坏数据完整性、有效性的前提下，将相关电子数据及时传给属地公安机关，通知相应的公安机关进行 现场处理。互联网交互式服务提供者应与公安机关建立全天候的违法有害信息快速处置工作机制，应能及时删除有明确 URL的单条违法有害信息，特定文本、图片、视频、链接等信息的源头以及提供中的任一环节，相关的屏蔽

12、过滤措 施应能及时生效。十、细化了个人信息平安保护的措施要求网络交互式服务提供者应建立覆盖个人信息处理的各个环节的平安保护制度和技术措施，防止个人信息泄露、 损毁、丧失，包括：a）采用加密方式保存用户密码等重要信息；b）对内部员工设计个人信息的所有操作进行审计，并对审计结果进行分析，预防内部员工故意泄露；c）对个人信息的采集、存储或传输行为进行审计，作为信息是否泄露、毁损、丧失的查询依据；d）建立程序来控制对涉及个人信息的系统和服务的访问权的分配，这些程序涵盖用户访问生存周期内的各个阶 段。十一、微博客服务：细化了对发布违法有害信息账号的管控措施微博客服务提供商应将制作、复制、发布、传播违法有

13、害信息的、屡次被其他用户举报或投诉的以及公安机关 通报的涉嫌违法犯罪的用户纳入黑名单管理，并根据情节轻重，采取以下动态管理控制措施：a）封禁其账号或限制其账号功能；b）控制其微博客功能，直至关闭所有功能；c）控制其微博客的粉丝数量，直至关闭粉丝关注功能；d）对其微博客发布内容实施先审后发措施：。）限制其微博客信息发布频率；f）控制其微博客内容被转载范围；g）控制其微博客只能给其自身的粉丝用户发送私信；h）控制其微博客内容只能被其自身的粉丝用户评论；i）控制其微博客推荐给他人或其他用户检索；j）控制其在其他用户或热门事件微博客下进行评论。十二、微博客服务：细化了对微博客群组的管控措施微博客服务提

14、供商应对微博客群组进行管理，并满足以下要求：a）能够根据公安机关的要求设定微博客群组人数上限；b）微博客群组创立者、管理员需经实名认证；c）群组头像、群组公告以及群组内发布文件不得包含违法有害信息；d）所有群组名称均可被搜索；e）至少每90天对群组发布信息进行一次巡查。十三、微博客服务：细化了对微博客用户发布信息的平安审核措施微博客服务提供商应具备微博客信息的发布控制功能，并满足以下要求：a）对特定区域、特定IP用户发布的微博客信息（包含文本、图片、音视频、链接等信息）进行审核控制，实 行先审后发措施；b）对网页、客户端等微博客发布源进行审核控制，具备切断一项甚至多项微博客信息发布来源的功能。

15、十四、音视频聊天室服务：细化了对发布违法有害信息账号的管控措施音视频聊天室服务提供商应将制作、复制、发布，传播违法有害信息的、屡次被其他用户举报或投诉的以及公 安机关通报的涉嫌违法犯罪的用户纳入黑名单管理，并根据情节轻重，采取以下动态管理控制措施：a）控制其聊天室账号推荐给他人或其他用户检索；b）对其发布内容实行先审后发措施；c）限制其信息发布频率；d）控制其聊天室内容被转载范围；e）控制其音视频聊天功能和粉丝数量；f）停止服务，封停账号；g）禁止该身份信息再次注册新账号。十五、音视频聊天室服务：细化了对音视频聊天室的管控措施应对音视频聊天室进行管理，并满足一下要求：a）能够根据需要设定音视频

16、聊天室人数上限；b）音视频聊天室所有者、管理员实名认证；c）对音视频聊天室的房间名称、频道进行审核，并满足GA 1277. 1-2020 9. 2.2 c）的要求；d）所有音视频聊天室名称均可被搜索；e）定期对音视频聊天室内发布信息进行巡查。十六、音视频聊天室服务：细化了对音视频聊天室用户发布短视频或直播的平安审核措施音视频聊天室服务提供商应具备对音视频直播内容的实时监看措施。对同时在线人数超过500人的音视频聊天 室和粉丝数量超过1万人的频道主持开设的音视频频道，应以不少于5秒/帧的频次进行视频监看。音视频聊天室服务提供商应审核用户发布信息、评论信息等是否包含违法有害信息。音视频聊天室服务提

17、供商可采取人工监督看与音视频技术识别、分析或扫描等相结合的方法进行平安审核，并 满足以下要求：a）非实时直播内容实行先审后发措施：b）实时交互和直播内容应采用平安管理员视频监看审核措施。十七、即时通信服务：细化了对发布违法有害信息账号的管控措施即时通信服务提供者应将制作、复制、发布、传播违法有害信息，屡次被其他用户举报或投诉的以及公安机关 通报的涉嫌违法犯罪的用户纳入黑名单管理，并根据情节轻重，采取以下动态管理控制措施：a）控制其消息发送频率；b）控制其消息发送功能；c）控制该账号功能、好友数量、加入或创立的群组数量：d）控制其IM账号对其他用户课件或被其他用户检索；e）强制账号下线，停止服务

18、；f）封停账号；g）禁止该身份信息再次注册新账号。十八、即时通信服务：细化了对即时通信群组的管控措施即时通信服务提供者应对群组进行管理，并满足以下要求：a）对即时通信群组名称进行审核，禁止使用以下昵称：违反国家现行法律法规规定的、违背社会公序良俗的、 容易引起公众不良反响或误解的；b）对每个用户可以参加的群组数量设置上限；c）能够根据公安机关的要求设定群组人数上限；d）对规模超过500人的大型群组进行专项认证和备案管理，大型群组的群主、管理员应提供有效证件的复印件 和真实可达的联系方式，并由运营商对此信息的真实性进行核验；大型群组的群组标识、群组名称、群组类型、群 组管理机构、群组成员列表、群组创立时间、创立地1P、终端类型等信息需在运营商处备案；e）所有群组名称和群组标识均可被搜索；f）至少每90天对群组内的文字、图像、声音等信息进行一次巡查。十九、论坛服务：细化了对发布违法有害信息账号的管控措施论坛服务提供商应将制作、复制、发布，传播违法有害信息的、屡次被其他用户举