标准规范下载简介

GB／T 40645-2021 信息安全技术 互联网信息服务安全通用要求.pdf简介：

GB/T 40645-2021《信息安全技术 互联网信息服务安全通用要求》是中国国家标准，由国家标准化管理委员会发布。该标准主要针对互联网信息服务的安全性提出了全面的通用要求。以下是该标准简介：

1. 目的与范围：该标准旨在为互联网信息服务提供一套安全的管理和控制框架，适用于各类提供互联网信息服务的组织，包括但不限于网站、应用、云服务等。

2. 主要内容：标准涉及信息安全的各个方面，如信息安全管理体系、风险评估、安全设计、数据保护、访问控制、安全审计、应急响应等。它要求服务提供商应具备保护用户信息、防止信息泄露、抵御网络攻击等能力。

3. 要求与措施：标准详细列出了安全控制措施，包括但不限于密码策略、数据加密、安全防护设备、安全事件报告与处理、用户隐私保护等，以确保服务的稳定、可靠和安全。

4. 实施与监督：标准强调了信息安全的持续改进和定期审计，以确保互联网信息服务始终符合安全要求。

5. 合规性：遵循该标准有助于服务提供者符合国家和行业的信息安全法规，提升服务质量，增强用户信任。

总的来说，GB/T 40645-2021是指导互联网信息服务提供商提高信息安全管理水平的重要依据，对于保护用户数据安全，维护网络空间秩序具有重要作用。

GB／T 40645-2021 信息安全技术 互联网信息服务安全通用要求.pdf部分内容预览：

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件。 GB/T22239一2019信息安全技术网络安全等级保护基本要求 GB/T25069信息安全技术术语 GB/T35273一2020信息安全技术个人信息安全规范

本文件基于互联网信息服务形式，从安全技术要求和安全保障要求两个方面，系统地阐述了互联网 信息服务安全通用要求，见图1。

服务形式方面，归纳了内容发布、评论评价、信息分享、推荐推送、内容搜索、通信群组、网络直播等

DB44／T 1608-2015 无机高性能纤维复合材料.pdfGB/T 406452021

多种服务形式。 安全技术要求方面，定义了信息生命周期，包括信息生成、信息处理、信息发布、信息传播、信息存 诸、信息销毁六个阶段，针对各阶段提出了面向开放性、交互性、影响力等特征的互联网信息服务的安全 技术要求，涵盖了信息生命周期中的主要安全要素。 安全保障要求方面，从管理制度、机构和人员、业务连续性、运行和维护等四个维度，提出了互联网 信息服务的安全保障要求。 本文件采用类、族、组件的层次化结构定义方法，提出互联网信息服务的安全技术要求和安全保障 要求。 安全技术要求各类、族、组件对应关系见表1，安全保障要求各类、族、组件对应关系见表2

表1安全技术要求的类、族、组件

表2安全保障要求的类、族、组件

为满足不同开放程度交互能力、影响力的互联网信息服务的差异化安全要求，本文件在组件中定 义了基本要求和增强要求。互联网信息服务提供者应对拟提供的互联网信息服务所属产品形态、业务 范围和用户规模等属性进行分析，选择相应的安全要求开展安全建设和评估活动。 本文件在每个安全要求族中设置了“自定义组件”，作为已有安全要求组件的扩展。互联网信息服 务提供者可在实际安全建设和安全评估工作中自行定义安全组件及其应满足的安全要求。 互联网信息服务所属的产品形态、业务范围和用户规模等属性与安全等级之间的对应关系应按照 附录A要求。本文件提出了互联网信息服务安全通用要求组件包定制示例（见附录B）和互联网信息 服务安全评估流程（见附录C）。互联网信息服务提供者根据附录A确定产品和信息服务应满足的安 全要求级别，可参考附录B分析产品涵盖的互联网信息服务形式，如内容发布、评论评价等，并通过组 合组件的方式，定制相应的安全要求组件包，确定产品安全要求，开展安全建设和安全评估。 在本文件中，加黑部分表示互联网信息服务应满足的增强要求

5.1.1信息源安全要求

5.1.1信息源安全要求

5.1.1.1信息源要求

互联网信息服务提供者应通过信息标识、 筛选等措施，保障符合信息源管理相关规范的要

5.1.1.2信息采集要求

互联网信息服务提供者应： a）按照GB/T35273—2020中5.1，5.2,5.3和5.4规定的要求采集个人信息； b）规范第三方开放接口获取或提供信息等行为； c）通过数字签名、信息备份等措施，保障采集信息完整性。

5.1.1.3信息源追溯

互联网信息服务提供者应： a）记录并留存信息源的相关信息，如信息的采集时间采集渠道、采集用途、信息编辑历史等； b）通过日志追溯等措施实现对信息的追溯。

5.1.2信息生成主体

5.1.2.1信息服务用户注册

互联网信息服务提供者应： a 明确用户注册信息字段，并与用户签订服务使用协议； b 审核用户昵称、头像、简介等注册信息，具备先审后发等安全机制； 建立对注册信息中违法信息、不良信息的处理措施，如警示整改、限制功能、暂停更新、关闭账 号等； d 对新增和存量注册用户采取身份证号码、手机号码、统一社会信用代码、生物特征识别等方式 中的一种或多种进行真实身份信息认证

5.1.2.2信息生成主体保护

互联网信息服务提供者应： a 按照GB/T35273一2020中5.5规定的要求，建立用户个人信息保护措施，防止用户个人信息 泄露、毁损、丢失； b 通过如加密、去标识化等措施，对用户个人信息进行保护； C 在信息生成主体敏感信息发生或者可能发生泄露、毁损、丢失的情况时，立即采取数据追溯、查 验、处置等补救技术措施，并向相关部门报告

5.1.2.3信息生成主体溯源

互联网信息服务提供者应： a）核验注册用户的真实身份信息，包括身份证号码、手机号码、统一社会信用代码、生物特征计 信息等：

b）关联用户注册账号与其登录后的行为，道测用户对互联网信息服务的使用行为

5.2.1信息内容检测

5.2.1.1信息内容检测规则

互联网信息服务提供者应制定信息内容检测规则，具备实施和更新检测规则的技术措施

5.2.1.2信息内容识别过滤

互联网信息服务提供者应： a 建设并维护与业务规模相适应的违法信息、不良信息样本数据库，包括但不限于文本、图片、音 视频等形式的违法信息、不良信息； b）实现对文本、图片、音视频等形式的违法信息、不良信息准确识别和过滤，保障信息识别效果。

5.2.2信息服务分级分类

5.2.2.1信息内容分级分类

5.2.2.2信息服务用户分

5.3.1信息内容审核

5.3.1.1审核制度管理

互联网信息服务提供者应具备与审核制度相适应

5.3.1.2审核程序管理

5.3.2信息发布流程管理

5.3.2.1信息发布流程

互联网信息服务提供者应： a）对信息发布相关日志信息进行安全存储和保护，包括但不限于账号信息、发布时间、发布

5.3.2.2信息发布权限管理

联网信息服务提供者应从信息类型、信息内容等方面建立信息发布权限管理

5.4.1信息安全监测预警

5.4.1.1信息安全监测

GB/T 406452021

5.4.1.2信息安全预警

互联网信息服务应对监测到的存在安全风险的信息内容进行预警，并对信息安全预警情况进行及 时处置。

5.5.1服务信息存储

5.5.1.1用户个人信息存储

互联网信息服务提供者应： a）按照GB/T35273一2020中第6章规定的要求，对用户个人信息进行存储； b）留存互联网信息服务注册用户信息； c）通过对个人敏感信息采用加密等安全措施，保障个人敏感信息的完整性和保密性

5.5.1.2业务信息存储

互联网信息服务提供者应：

GB/T40645—2021a）存储互联网信息服务中涉及发布、传播、共享等信息，保障业务信息完整性和保密性：b)采用密码技术进行业务信息完整性验证和授权使用；c)通过分布式存储等措施，对存储的业务信息进行备份5.5.2日志存储管理5.5.2.1日志存储互联网信息服务提供者应：a）存储包括用户账号、操作时间、操作类型、网络源地址和目标地址、网络源端口等日志信息；b)保障日志信息完整性、保密性和可用性；c）通过采用密码等技术措施，对日志进行完整性验证和授权查阅。5.5.2.2日志管理互联网信息服务提供者应设置日志访问权限，并进行日志审计。5.6信息销毁5.6.1用户注销管理5.6.1.1用户信息注销互联网信息服务提供者应接照GB/T35273一2020中8.5规定的要求，对用户账户进行注销，5.6.1.22用户信息销毁互联网信息服务提供者应：a）按照GB/T35273一2020中8.3规定的要求，对确认注销的用户个人信息及时删除；b）对用户信息销毁过程存证。5.6.2业务和日志信息销毁5.6.2.1信息销毁策略互联网信息服务提供者应通过逻辑删除等措施对信息进行销毁，5.6.2.2信息销毁记录互联网信息服务提供者应记录信息销毁活动，包括销毁人员、销毁时间、销毁内容、销毁方式等关键信息。6安全保障要求6.1管理制度6.1.1安全制度6.1.1.1信息源制度互联网信息服务提供者应制定信息源和信息采集制度，包括但不限于信息采集来源、采集范围、采集方法、采集流程、信息类别、信息形式等关键信息要素。8

6.1.1.2信息审核发布制度

GB/T 406452021

6.1.2.1监测预警机制

互联网信息服务提供者应具备对存在安全风险的信息内容及时预警的规范和机制保障

6.1.2.2应急处置机制

6.1.2.3投诉举报机制

互联网信息服务提供者应建立面向公众的投诉举报机制，明确处理时限、处理方式等关键要素

DB12／T 724.1-2017标准下载6.2.1.1安全管理机构

互联网信息服务提供者应设立专职安全管理机构，指导互联网信息服务管理工作，组织开展互 息服务监督工作。

6.2.1.2安全管理人员

6.2.2从业人员管理

6.2.2.1人员配备

6.2.2.2人员管理

互联网信息服务提供者应加强互联网信息服务人员管理，制定从业人员管理制度，如关键岗位人 保密协议、相关离职要求等

《安装式电能表型式评价大纲特殊要求 功能类电能表 JJF1245.6-2010》6.2.2.3人员培训

互联网信息服务提供者应： a）对参与互联网信息服务活动的相关人员建立培训制度，制定年度培训计划，组织实施培训与考 核，教育培训内容应包括信息安全相关法律法规、政策措施、技术标准等； b）保障互联网信息服务内容管理的从业人员每年参加至少1次信息安全教育培训； C）对从业人员进行资质审查、定期培训与定期考核