GA 1277.1-2020互联网交互式服务安全管理要求第1部分：基本要求

ICS35240

A90.

中华人民共和国公共安全行业标准

GA12771—2020

代替.

GA1277—2015

互联网交互式服务安全管理要求

第1部分基本要求

:

Securitymanagementrequirementsforinternetinteractiveservice—

Part1Basicreuirements

:q

2020-01-16发布2020-03-01实施

中华人民共和国公安部发布

GA12771—2020

.

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

安全管理制度

4……………2

制度与规程

4.1…………………………2

文件控制

4.2……………2

记录控制

4.3……………3

组织机构

5…………………3

机构要求

5.1……………3

备案

5.2…………………3

网络与信息安全组织

5.3………………3

网安警务室工作支持

5.4………………3

人员安全管理

6……………3

安全责任与岗位职责

6.1………………3

关键岗位人员核查

6.2…………………4

安全培训

6.3……………4

人员离岗

6.4……………4

访问控制管理

7……………4

访问管理

7.1……………4

权限分配

7.2……………4

特殊权限

7.3……………4

权限的检查

7.4…………………………5

安全技术措施

8……………5

网络与系统运行安全

8.1………………5

数据安全与备份

8.2……………………5

日志与用户数据记录

8.3………………5

业务安全

9…………………6

安全评估及报备

9.1……………………6

用户管理

9.2……………6

违法有害信息防范和处置

9.3…………7

破坏性程序防范

9.4……………………8

个人信息保护

10……………8

Ⅰ

GA12771—2020

.

处理规则

10.1……………8

技术措施

10.2……………8

个人信息安全事件应急处置

10.3………………………8

投诉

11………………………9

投诉制度

11.1……………9

受理与处理

11.2…………………………9

投诉渠道

11.3……………9

记录留存

11.4……………9

分包服务

12…………………9

基本要求

12.1……………9

分包商要求

12.2…………………………9

不可分包的项目

12.3……………………9

安全事件管理

13……………9

安全事件分类

13.1………………………9

应急预案

13.2…………………………10

突发公共事件处理

13.3………………10

技术接口

13.4…………………………10

参考文献

……………………11

Ⅱ

GA12771—2020

.

前言

互联网交互式服务安全管理要求拟分成多个部分包括基本要求和具体服务类型中的

GA1277《》,

要求目前计划发布如下部分

。:

第部分基本要求

———1:;

第部分微博客服务

———2:;

第部分音视频聊天室服务

———3:;

第部分即时通信服务

———4:;

第部分论坛服务

———5:;

第部分移动应用软件发布平台

———6:;

第部分云服务

———7:;

第部分电子商务平台

———8:;

第部分搜索服务

———9:;

第部分互联网约车服务

———10:;

第部分互联网短租房服务

———11:;

……

本部分为的第部分

GA12771。

本部分按照给出的规则起草

GB/T1.1—2009。

本部分代替信息安全技术互联网交互式服务安全保护要求与

GA1277—2015《》,GA1277—

相比主要技术变化如下

2015:

修改了标准名称由信息安全技术互联网交互式服务安全保护要求修改为互联网交互式

———,《》《

服务安全管理要求并分成多个部分本部分为第部分基本要求见封面年版的

》,,《1:》(,2015

封面

);

修改了术语和定义中的互联网交互式服务的定义增加了个人信息关键岗位人员

———“3”“”,“”“”

个人信息安全事件的定义见年版的

“”(3.1、3.4、3.5、3.6,20153.1);

修改了制度与规程增加了安全责任制度信息巡查制度安全事件监测预警通报及

———“4.1”,,,、、

应急响应制度等同时将操作规程内容完善后置于见年版的

,“8.1”4.1.1(4.1、4.1.3,2015

4.1.1、4.1.3、8.1);

修改了机构要求为组织机构法律责任修改为机构要求见第章

———“5”“5”,“5.1”“5.1”(5、5.1,

年版的第章

20155、5.1);

增加了备案的内容见

———“5.2”(5.2);

修改了网络与操作安全为安全技术措施原网络与主机系统的安全修改为

———“8”“8”,“8.2”“8.1

网络与系统运行安全并对其内容进行了增加见第章年版的第章

”,(8、8.1,20158、8.2);

修改了备份为数据安全与备份并对其内容进行了增加见年版的

———“8.3”“8.2”,(8.2,20158.3);

修改了安全审计为日志与用户数据记录并对其内容进行了修改如将日志与注

———“8.4”“8.3”,,

册信息等进行分离见年版的

(8.3,20158.4);

修改了应用安全为业务安全见第章年版的第章

———“9”“9”(9,20159);

增加了基于生物特征的用户真实身份信息有效核验方法见

———[9.2.2a)];

增加了违法有害信息过滤的技术措施见

———[9.3.4)];

修改了技术措施的相关内容见年版的

———“10.2”(10.2,201510.2);

Ⅲ

GA12771—2020

.

修改了个人信息泄露事件的处理为个人信息安全事件的处置并修改了具体的

———“10.3”“10.3”,

内容见年版的

(10.3,201510.3)。

本部分由公安部网络安全保卫局提出

。

本部分由公安部信息系统安全标准化技术委员会归口

。

本部分起草单位公安部网络安全保卫局公安部第三研究所

:、。

本部分主要起草人金波陈妍陈飞燕高爽邓琦贺滢睿王庆华顾玮陈长松

:、、、、、、、、。

的历次版本发布情况为

GA1277.1:

———GA1277—2015。

Ⅳ

GA12771—2020

.

互联网交互式服务安全管理要求

第1部分基本要求

:

1范围

的本部分规定了互联网交互式服务安全管理的要求

GA1277。

本部分适用于互联网交互式服务提供者落实互联网安全管理制度和安全技术措施

。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息技术安全技术信息安全事件管理第部分事件管理原理

GB/T20985.1—20171:

信息安全技术信息安全事件分类分级指南

GB/Z20986—2007

信息安全技术网络安全等级保护基本要求

GB/T22239

信息安全技术个人信息安全规范

GB/T35273—2020

信息安全技术互联网服务安全评估基本程序及要求

GA1278—2015

3术语和定义

和

GB/T22239、GB/T20985.1—2017、GB/Z20986—2007、GB/T35273—2020