标准规范下载简介
GA 1277.1-2020 互联网交互式**安全管理要求 第1部分:基本要求GA 1277.1-2020 互联网交互式**安全管理要求 第1部分:基本要求简介:
GA/T 1277.1-2020《互联网交互式**安全管理要求 第1部分:基本要求》是关于互联网交互式**安全管理的国家标准。该标准主要针对互联网上提供的各种交互式**,如在线交易、社交平台、网络游戏、网站**等,提出了基本的安全管理要求。
1. 基本要求简介:
(1) 保障用户信息:该标准强调要保护用户的个人信息安全,包括但不限于账号、密码、姓名、**、**等,防止泄露、篡改或丢失。
(2) 合规性:要求交互式**提供商必须遵守相关的法律法规,如网络安全法、数据保护法等,确保**的合法合规。
(3) 安全设计:**应采用安全的设计原则,比如采用加密技术保护通信,设置访问控制机制,防止未经授权的访问。
(4) 风险管理:应建立风险评估和管理机制,定期进行安全审计,发现并及时处理安全漏洞和风险。
(5) 用户教育:提供安全教育和提示,让用户了解如何保护自己的信息安全,避免成为恶意攻击的目标。
(6) 应急响应:制定并实施应急响应计划,对安全事件进行快速、有效处理,减少损失。
这个标准旨在提升互联网交互式**的安全性,保障用户权益,维护网络安全稳定。所有提供互联网交互式**的企业和组织都需要遵循这一标准进行操作。
GA 1277.1-2020 互联网交互式**安全管理要求 第1部分:基本要求部分内容预览:
GA 1277.12020
互式**安全管理要求第1部
GA1277的本部分规定 工联网交互式**安全管理的要求。 本部分适用于互联网不 式**提供者落实互联网安全管理制度和安全技术措施。
违法有害信息illegalandharmfulinformation 违反国家法律、法规JC∕T 317-2011 混凝土用粒化*炉磷渣粉,危害国家安全、荣誉和利益、公共安全、社会公德、公序良俗、公民人身财 产安全及合法权益等的信息。
违法有害信息illegalandharmfulinformation 违反国家法律、法规,危害国家安全、荣誉和利益、公共安全、社会公德、公序良俗、公民人身财 产安全及合法权益等的信息。
破坏性程序destructiveprogram 具有对计算机信息系统的功能或存储、处理及传输的数据进行非授权获取、删除、增加、修改 破坏等功能的程序。
GA 1277.12020
GA 1277.12020
安全管理制度文件应予以保护和控制,包括但不限于: a)按计划的时间间隔或在发生重大的变化时评审安全管理制度文件,以确保文件是适当的: b)确保在使用处获得适用文件的最新授权版本; c)确保文件的清晰、可识别: d)确保对外来文件进行识别,并进行分发控制; e)确保文件是现行有效的
互联网交互式**提供者应保留安全管理制度的制定、变更、执行等过程中相关的记录并加以保扩 与控制,防止未经授权的访问或修改。
2.1互联网交互式**提供者应在**上线前填写用户备案表,并到当*公安机关备案。 2.2互联网交互式**提供者如需使用国际互联网,应在**上线开通起30日内向*市及以上 关指定的受理机关办理国际联网备案手续
5.3网络与信息安全组织
5.3.1互联网交互式**提供者应建立与业*和规模相适应的安全组织机构,包括但不限于: a 组建专职安全管理队伍,定义管理人员的工作岗位职责: b) 安全管理人员经过安全培训并取得相关资质: 安全管理人员数量与业*规模相适应,并具备9.3要求的对违法有害信息防范和处置能力。 5.3.2 互联网交互式**提供者应配备安全管理人员,履行以下职责: a 负责安全管理制度的建立、实施与保持; b) 负责新**、新功能的风险评估与安全方案审核: C) 向最高管理者报告安全状况与改进建议。 5.3.3 互联网交互式**提供者应配备专门人员负责配合公安机关的工作。
5.4网安警*室工作支持
互联网交互式**提供者应为已建的公安机关网安警*室开展工作提供相应的环境和支持配个 受网安警*室的安全管理和指导
6.1安全责任与岗位职责
GA 1277.12020
6.1.1互联网交互式**提供者应在安全责任制度中明确主要负责人、网络安全责任人、安全管理负 责人及其他责任人员的责任。 6.1.2互联网交互式**提供者应在安全岗位管理制度中明确关键岗位人员及其职责,其中职责应包 括保密管理职责。
6.2关键岗位人员核查
任用关键岗位人员之前,互联网交互式**提供者应按照相关法律、法规、道德规范和对应 要求执行安全背景核查:
5.2.2互联网交互式**提供者应与关键岗位人员签订保密协议
互联网交互式**提供者应在安全培训制度 岗位人员进行安全技能培训,提高全员的网络 a) 上岗前的培训; b) 安全制度的培训; c) 新**、新功能上线前后的培训: d 与法律、法规发展保持同步的继续培训: e)安全知识和技能的持续教育。
互联网交互式**提供者应在安全 定期对所有工作人员进行网络安全培训,对安 全岗位人员进行安全技能培训,提高全员的网络安全意识和安全岗位人员能力,包括但不限于 上岗前的培训; 安全制度的培训; 新**、新功能上线前后的培训: d)与法律、法规发展保持同步的继续培训; e)安全知识和技能的持续教育。
互联网交互式**提供者应在人员管理制度中严格规范人员离岗过程,包括但不限于: a)及时终止离岗员工的所有访问权限; b)关键岗位人员须书面承诺调离后的保密义*后方可离开; C)配合公安机关工作的人员变动及时通报公安机关。
互联网交互式**提供者应在安全运维管理制度中建立包括物理的和逻辑的系统访问权 求。
互联网交互式**提供者应按以下原则根据人员职责分配不同的访问权限: a)角色分离,如访问请求、访问授权、访问管理; b)满足工作需要的最小权限; c)未经明确允许,则一律禁止
GA 1277.12020
互联网交互式**提供者应限制和控制特殊访问权限的分配和使用,包括但不限于: a) 标识出每个系统或程序的特殊权限; b 按照“按需使用”、“一事一议”的原则分配特殊权限; C 记录特殊权限的授权与使用过程; 特殊访问权限的分配需经过管理层的批准。 注:特殊权限是系统超级用户、数据库管理等系统的管理权限及运维权限
互联网交互式**提供者应定期对访问权限进行检查,对特殊访问权限授权情况的检查需更频繁, 如发现不恰当的权限设置,应及时予以调整
8.1网络与系统运行安全
互联网交互式**提供者应对数据采取备份和保护等措施,保证数据的安全,包括但不限于: a)对数据进行分级分类; b) 对重要数据的传输和存储采取加密等安全保护措施; C 根据数据分类结果建立不同数据的备份策略,提供足够的备份设施,确保必要的信息和软件在 灾难或介质故障时可以恢复; d) 建立数据安全备份和恢复流程,必要时对备份和恢复过程进行演练,并对备份数据进行定期校 验。
8.3日志与用户数据记录
GA 1277.12020
互联网交互式**者应在互联网**安全评估制度中明确互联网新**、新功能应在上线 全评估,应制订信息网络安全技术方案,并将安全风险评估结果向管辖*公安机关报备。
9.2.2互联网交互式**提供者应建立用户管理机制,包括但不限于:
9.2.2互联网交互式**提供者应建立用户管理机制,包括但不限于:
9.3违法有害信息防范和处置
9.3.1互联网交互式**提供者应建立与交互式**特点相符的信息巡查制度,及时发现 有害信息。
9.3.2互联网交互式**提供者应采取管理与技术措施,及时发现并停止违法有害信息的发布 9.3.3互联网交互式**提供者应采用人工或自动化方式,对发布的信息进行审核或过滤。 9.3.4互联网交互式**提供者应采取技术措施过滤违法有害信息,包括但不限于:
9.3.6互联网交互式**提供者应建立涉嫌违法犯罪线索、异常情况报告、安全提示和案
GB 7692-1999 涂装作业安全规程 涂漆前处理工艺安全及其通风净化GA127Z12020
9.4.1互联网交互式**提供者应能发现破坏性程序并采取措施立即停止发布,同时保留发现的破坏 性程序的相关证据。 9.4.2对软件下载**提供者(包括应用软件商店),其应检查用户发布的软件是否含有计算机病毒 等恶意代码。
10.1.1网络交互式**提供者应在个人信息保护制度中明确个人信息收集、使用、处理规则,并在显 著位置予以公示;在用户注册时,应在与用户签订**协议中明示收集、使用、处理个人信息的目的 范围与方式。 斤必需的全人信自收售人
菩位置予以公示;在用户注册时,应在与用户签订**协议中明示收集、使用、处理个人信息的目的、 范围与方式。 0.1.2网络交互式**提供者仅收集为实现正当商业目的和提供网络**所必需的个人信息;收集个 (信息时,应取得用户明确授权同意;将个人信息交给第三方处理时,处理方应符合本部分要求,并取 寻用户明确授权同意;法律、行政法规另有规定的,从其规定。 0.1.3修改个人信息处理规则时,网络交互式**提供者应告知用户,并取得其同意
网络交互式**提供者应建立覆盖个人信息处理的各个环 息泄露、损毁、丢失,包括: a)采用加密方式保存用户密码等重要信息; 对内部员工涉及个人信息的所有操作进行审计,并对审计结果进行分析,预防内部员工故意泄 露; C 对个人信息的采集、存储或传输行为进行审计,作为信息是否泄露、毁损、丢失的查询依据; d 建立程序来控制对涉及个人信息的系统和**的访问权的分配,这些程序涵盖用户访问生存周 期内的各个阶段
GA 1277. 12020
网络交互式**提供者应在用户投诉举报接收处理制度中明确用户投诉举报渠道、处理流程、方式 时限JT∕T 4-2019 公路桥梁板式橡胶支座,鼓励用户举报违法有害信息
11. 2 受理与处理