标准解读

《GB/T 40645-2021 信息安全技术 互联网信息服务安全通用要求》是一项国家标准,旨在为互联网信息服务提供一套全面的安全指导原则和技术要求。该标准适用于各类提供互联网信息服务的组织和个人,包括但不限于网站、应用程序等平台。其主要内容覆盖了从服务设计到运营维护整个生命周期中的安全考量。

首先,在服务设计阶段,强调了应遵循的原则如最小权限原则、纵深防御策略等,并要求对可能面临的安全威胁进行评估,采取相应措施来降低风险。同时,对于用户信息保护方面也提出了明确要求,比如收集个人信息时需获得用户同意,且只能用于事先声明的目的;还规定了数据存储和传输过程中加密处理的要求,以保障数据不被非法获取或篡改。

其次,在系统建设和运维管理方面,《GB/T 40645-2021》详细列举了一系列具体措施。例如,建议采用安全可靠的软硬件产品构建系统架构;定期开展安全检查与漏洞扫描工作,及时修补已知漏洞;建立完善的安全事件响应机制,一旦发生安全事故能够迅速做出反应并有效控制损失范围;此外,还特别提到了加强对外部攻击(如DDoS攻击)的防护能力以及内部人员操作权限管理的重要性。

再者,关于内容审核与不良信息过滤,《GB/T 40645-2021》指出服务商应当建立健全的内容审查制度,利用技术手段自动检测加人工复核相结合的方式,确保平台上发布的信息符合法律法规及社会道德规范。对于发现的违法不良信息,应及时删除并向有关部门报告。

最后,在隐私政策透明度上,《GB/T 40645-2021》要求所有涉及个人敏感信息处理的服务必须公开详细的隐私条款说明文档,明确告知用户其个人信息将如何被使用、共享给哪些第三方机构等情况,并保证用户有权随时查看修改自己的资料或者注销账号。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2021-10-11 颁布
  • 2022-05-01 实施
©正版授权
GB/T 40645-2021信息安全技术互联网信息服务安全通用要求_第1页
GB/T 40645-2021信息安全技术互联网信息服务安全通用要求_第2页
GB/T 40645-2021信息安全技术互联网信息服务安全通用要求_第3页
GB/T 40645-2021信息安全技术互联网信息服务安全通用要求_第4页
免费预览已结束,剩余20页可下载查看

下载本文档

免费下载试读页

文档简介

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T40645—2021

信息安全技术

互联网信息服务安全通用要求

Informationsecuritytechnology—Generalrequirementsfor

securityofinternetinformationservices

2021-10-11发布2022-05-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T40645—2021

目次

前言

…………………………Ⅰ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

概述

4………………………2

安全技术要求

5……………5

信息生成

5.1……………5

信息处理

5.2……………6

信息发布

5.3……………6

信息传播

5.4……………7

信息存储

5.5……………7

信息销毁

5.6……………8

安全保障要求

6……………8

管理制度

6.1……………8

机构和人员

6.2…………………………9

业务连续性

6.3…………………………10

运行和维护

6.4…………………………11

附录规范性互联网信息服务安全等级划分

A()………12

附录资料性互联网信息服务安全通用要求组件包定制示例

B()……15

附录资料性互联网信息服务安全评估流程

C()………17

确定评估对象

C.1……………………17

确定评估对象安全级

C.2……………17

定制通用要求

C.3……………………17

制定测评表

C.4………………………17

实施评估

C.5…………………………17

认定结果

C.6…………………………17

参考文献

……………………19

GB/T40645—2021

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位中国科学院信息工程研究所公安部第三研究所中国电子技术标准化研究院

:、、、

中国信息通信研究院中国电子科技集团公司第十五研究所北京理工大学中国信息安全测评中心国

、、、、

家计算机网络应急技术处理协调中心中国互联网络信息中心国家信息技术安全研究中心浙江大学

、、、、

工业和信息化部计算机与微电子发展研究中心中国软件测评中心陕西省网络与信息安全测评中心

()、、

四川省信息安全测评中心云南省信息安全测评中心湖北大学北京百度网讯科技有限公司阿里巴巴

、、、、

北京软件服务有限公司深圳市腾讯计算机系统有限公司杭州网易易盾科技有限公司北京小米移

()、、、

动软件有限公司杭州趣链科技有限公司网神信息技术北京股份有限公司北京北信源软件股份有

、、()、

限公司广东移动通信有限公司杭州梵为科技有限公司贝壳找房北京科技有限公司奇安

、OPPO、、()、

信科技集团股份有限公司

本文件主要起草人孟丹郭涛张潇丹顾健周熙胡静远韩冀中赵云霞贺滢睿姚相振

:、、、、、、、、、、

郭晓雷魏薇霍珊珊锁延锋张媛媛马庆栋周薇王宇航邸丽清任泽君吕红蕾史洪彬刘总真

、、、、、、、、、、、、、

张华平王红兵陈妍张海阔贺明弭伟陈家玓汤学海戴娇林俊宇张朝王丹琛张艳蔡亮

、、、、、、、、、、、、、、

李伟陈晓丰祝卓邓婷薛君立陈洪波高瑞姜一李明菊白晓媛李民王少杰王婷

、、、、、、、、、、、、。

GB/T40645—2021

信息安全技术

互联网信息服务安全通用要求

1范围

本文件规定了互联网信息服务的安全通用要求包括安全技术要求和安全保障要求

,。

本文件适用于互联网信息服务提供者开展互联网信息服务安全建设和安全评估包括安全管理制

,

度和技术保障措施等

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

信息安全技术网络安全等级保护基本要求

GB/T22239—2019

信息安全技术术语

GB/T25069

信息安全技术个人信息安全规范

GB/T35273—2020

3术语和定义

和界定的以及下列术语和定义适用于本文件

GB/T25069GB/T35273—2020。

31

.

互联网信息服务internetinformationservice

基于信息发布交互传播等相关技术和功能属性通过互联网面向社会公众提供的公开场景信息

、、,

服务

人人文库> 全部分类> 行业资料 > 各类标准

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

最新文档

评论

0/150

提交评论