标准编号:T/TSIA 001-2019
标准名称:互联网软件运营安全管理规范
英文名称:Internet Software Operation Security Management Specification
发布部门:天津市软件行业协会
起草单位:天津市网络文化行业协会、天津市软件行业协会、天津市互联网协会、天津市青少年网络协会、天津市网络社会组织联合会、南开大学、天津市市场信息中心、江西省计算技术研究所、中科锐眼(天津)科技有限公司、中国检验认证集团天津有限公司、天津烽火信息管理技术有限公司、恒银金融科技股份有限公司、天津卓易云科技有限公司、中国铁路北京局集团有限公司、北京可信华泰信息技术有限公司、博雅创智(天津)科技有限公司、北京天腾信科技有限公司、恒安嘉新(北京)科技股份公司、深圳市能信安科技股份有限公司、四川远鉴科技有限公司、天津同力兴科网络科技有限公司、北京飞利信科技股份有限公司、江西畅然科技发展有限公司、北京金睛云华科技有限公司、北京亿赛通科技发展有限责任公司、北京智能计算产业研究院华一智研联合实验室、江苏百傲网络科技有限公司、北京易信云科技有限公司
标准状态:现行
发布日期:2019-04-08
实施日期:2019-04-08
标准格式:PDF
内容简介
1、基本要求
网络运营者作为“联网软件”的运营主体,包括网络的管理者、使用者和利用他人网络从事相关服务的网络服务提供者,作为网络安全第一责任人,在开展经营和服务活动时,必须遵守法律法规、遵守商业道德、诚实守信,提倡健康文明的网络活动,履行网络安全保护义务,建立网络安全管理制度、加强网络安全技术保护措施、定期进行网络安全评估、落实个人信息安全保护机制,严格执行网络实名校验要求确认相关身份信息的真实有效,所采用的安全专用产品和服务应当符合国家和行业标准规范,当发生网络安全威胁事件时应及时处置并上报至监管机构和行业组织。
《互联网软件运营安全管理规范》是依据“规范引用文件及参考文献”中的国家法律法规和国家标准具体要求进行能力认定,“联网软件”在进行安全评估时应在监管单位或行业组织的指导下进行,对发现的安全隐患,应当及时整改,直至消除相关安全隐患。
2、安全评估
2.1 基本要求
提供“联网软件”的网络运营者应担负网络安全保护的责任,接受行业指导,遵守企业承诺与社会监督相结合,自评估、第三方安全评估与政府监管相结合,实验室检测、现场检查、在线监测、背景审查相结合,承诺所提供的“联网软件”或服务无后门及已知明显安全隐患。
提供“联网软件”的网络运营者原则上应在业务上线前展开安全评估,对已上线的重要 “联网软件”应在不影响“联网软件”的正常运行下开展安全评估工作。
提供“联网软件”的网络运营者在系统正式上线前,应组织对设备和功能进行安全验收,对系统整体安全状况进行检测和评估。检测评估材料及相关报告应作为验收文件的组成部分。
安全评估要求应符合GB/T 20984、GB/T 31509相关要求。
3、整改和评价
3.1 提供“联网软件”的网络运营者在“联网软件”上线时应按照监管机构和行业组织的要求开展安全评估,并具备合格的安全评估报告,对于评估过程中发现安全风险隐患的“联网软件”应按照法律法规的相关规定以及相应的国家标准进行整改,在整改完成前不得提供相关服务。
3.2 提供“联网软件”的网络运营者拒不履行网络安全保护义务的,不开展安全评估的,应由行业组织通过相关平台向公众公示该“联网软件”存在的安全风险隐患,同时上报监管机构,并按照相关职责对该“联网软件”的运营者实施监督检查,发现存在违规违法行为的,上报监管机构依法处理。
网络运营者作为“联网软件”的运营主体,包括网络的管理者、使用者和利用他人网络从事相关服务的网络服务提供者,作为网络安全第一责任人,在开展经营和服务活动时,必须遵守法律法规、遵守商业道德、诚实守信,提倡健康文明的网络活动,履行网络安全保护义务,建立网络安全管理制度、加强网络安全技术保护措施、定期进行网络安全评估、落实个人信息安全保护机制,严格执行网络实名校验要求确认相关身份信息的真实有效,所采用的安全专用产品和服务应当符合国家和行业标准规范,当发生网络安全威胁事件时应及时处置并上报至监管机构和行业组织。
《互联网软件运营安全管理规范》是依据“规范引用文件及参考文献”中的国家法律法规和国家标准具体要求进行能力认定,“联网软件”在进行安全评估时应在监管单位或行业组织的指导下进行,对发现的安全隐患,应当及时整改,直至消除相关安全隐患。
2、安全评估
2.1 基本要求
提供“联网软件”的网络运营者应担负网络安全保护的责任,接受行业指导,遵守企业承诺与社会监督相结合,自评估、第三方安全评估与政府监管相结合,实验室检测、现场检查、在线监测、背景审查相结合,承诺所提供的“联网软件”或服务无后门及已知明显安全隐患。
提供“联网软件”的网络运营者原则上应在业务上线前展开安全评估,对已上线的重要 “联网软件”应在不影响“联网软件”的正常运行下开展安全评估工作。
提供“联网软件”的网络运营者在系统正式上线前,应组织对设备和功能进行安全验收,对系统整体安全状况进行检测和评估。检测评估材料及相关报告应作为验收文件的组成部分。
安全评估要求应符合GB/T 20984、GB/T 31509相关要求。
3、整改和评价
3.1 提供“联网软件”的网络运营者在“联网软件”上线时应按照监管机构和行业组织的要求开展安全评估,并具备合格的安全评估报告,对于评估过程中发现安全风险隐患的“联网软件”应按照法律法规的相关规定以及相应的国家标准进行整改,在整改完成前不得提供相关服务。
3.2 提供“联网软件”的网络运营者拒不履行网络安全保护义务的,不开展安全评估的,应由行业组织通过相关平台向公众公示该“联网软件”存在的安全风险隐患,同时上报监管机构,并按照相关职责对该“联网软件”的运营者实施监督检查,发现存在违规违法行为的,上报监管机构依法处理。
下载地址