签到天数: 416 天 连续签到: 1 天 [LV.9]以坛为家II
|
楼主 |
发表于 2019-10-25 18:50:22
|
显示全部楼层
5 安全评估报告
5.1 安全评估报告的确认
评估报告应当由法人或法人授权的安全负责人签字确认。
5.2 安全评估报告的备案
互联网服务提供者开展互联网应用服务安全评估后,应当形成书面安全评估报告,并在互联网应用服务正式上线提供服务之日起5个工作日内,将书面安全评估报告向其所在地市级以上公安机关网安部门备案。
5.3 安全评估报告的内容
评估报告应包含以下内容:
a) 互联网服务功能、性能描述;
b) 互联网服务合法性、合规性说明(如提供的服务须获得相应行政许可的,应包括相关证明文件);
c) 网络拓扑结构图(必要时);
d) 技术测试报告,活跃用户在500万以上的,应包含压力测试报告;
e) 已建立的安全管理制度、措施;
f) 评估结论;
g) 不符合整改记录;
h) 其他应当说明的相关情况。
6 检查流程
6.1 工作要求
属地公安机关网安部门收到互联网服务提供者提交的书面安全评估报告后,应依据现行法律法规和相关标准规范要求,开展以下安全检查工作:
a) 审阅互联网服务安全评估报告,必要时可邀请网络和信息安全方面专家参与审议;
b) 对交互式、交易类互联网应用服务和软件下载服务(包括应用软件商店),组织开展实地安全检查。
上级公安机关网安部门对下一级网安部门安全检查工作进行指导。
6.2 重点互联网服务上报
活跃用户500万以上的互联网服务提供商开通新服务,属地网安部门应将该服务的安全评估报告上报省级网安部门;活跃用户3000万以上的互联网服务提供商开通新服务,省级网安部门应当将该服务的安全评估报告上报公安部网络安全保卫局。
6.3 重点互联网服务专家评审
公安部网络安全保卫局和各省、自治区、直辖市公安厅、局网安总队收到下一级网安部门报备的互联网服务安全评估报告后,对存在较大安全风险、可能影响国家安全、公共安全和公众利益的互联网服务,应组织网络和信息安全方面专家进行评审,必要时应会同属地公安网安部门开展实地检查。
6.4 检查时限
公安网安部门组织开展检查工作,不应影响互联网服务的正常运营,检查时限最长不超过15个工作日。
6.5 日常检查
公安网安部门组织定期检查互联网安全技术与管理措施落实情况。
7 检查意见使用
7.1 限期整改
公安机关安全检查发现互联网服务安全管理制度、措施达不到相关法律法规和标准规范要求的,应责令互联网服务提供者限期整改。对互联网服务提供者在1个月内无法完成整改的,应责令暂停该应用服务新用户注册。
7.2 暂停服务
检查中发现互联网服务存在重大安全隐患,极易引发现实危害的,属地公安网安部门应责令互联网服务提供者立即暂停服务并进行整改。
7.3 重新评估
在整改完成后,应重新组织安全评估,评估报告经公安机关检查确认后,方可恢复由安全整改暂停的服务。
8 变更报备
互联网服务正式运营期间,其安全策略、技术架构、服务功能等发生调整及变化,应按规定程序向属地公安机关报备。对涉及以下情况的变更,应重新开展安全评估:
a) 影响国家安全、公共安全、公众利益的;
b) 影响防范和打击违法犯罪的;
c) 安全管理制度、措施与处置机制受到影响或发生变化的;
d) 经专家评审认为应开展安全评估的。
|
|