YD_T 3169-2016互联网新技术新业务信息安全评估指南.pdf

ICS 33.040M 10YO中华人民共和国通信行业标准YD/T3169-2016互联网新技术新业务信息安全评估指南The guidance of information security evaluationofnewtechnology and services on internet2016-07-11发布2016-10-01实施中华人民共和国工业和信息化部发布 YD/T业发现公众账号推送的信息有违反国家相关法律法规，或协议约定，应当视情节采取警示、限制发布、暂停更新直至关闭账号等措施，并保存有关记录。7.1.1.5信息杜区平台功能管理企业应针对信息发布环节的链接转发、添加评论转发、跨平台分享等功能，配套必要的违法信息监测和处置的管理机制和技术手段。7.1.1.6应用分发平台功能管理应用分发平台功能管理要求包括对应用开发者和应用程序的相关管理要求。a）应用开发者管理企业应按照国家相关法律法规，要求应用开发者提交能够证明其已经取得新闻、出版、教育、医疗等前置审批许可和业务经营资质的文件，并留存必要信息。企业应要求应用开发者提交相关身份和经营资质信息，并进行留存备案；对于备案信息应配套必要的管理措施进行定期核查更新。企业应和应用开发者签订协议，明示要求应用开发者对上线销售的应用负有安全费任。企业应建立应用开发者违规记录档案，对上传违法应用的应用开发者，应采取警告教育、应用重点审查、禁止新上传应用等处置措施。b）应用安全审查企业应按照国家相关法律法规，对应用进行上线前的安全审查，企业对应用的安全审核至少应包括软件漏洞检测、安全加固措施验证、恶意代码检测（病毒、木马、广告吸费、后门通控、隐私窃取等）、违法信息内容检测。c）日常监测企业应对上架应用，以及开发者论坛、用户论坛等业务平台开展应用恶意行为及应用传播违法信息的日常监测，并留存相关记录。d）违法应用处置企业应建立违法违规应用下架处理机制，及时对判定存在违法楚规行为的应用进行下架处理。7.1.1.7信息即时交互功能管理信息即时交互功能管理要求主要从即时通信服务常见的功能，如群组聊天、医名发布消息、转发消息、信息销毁等功能的相关管理要求，a）群组功能管理企业应明确设置群组人数上限。企业应间群组功能申请人明确告知：1）不得复制、发布、传播违法信息：2）群创建者和群管理者对群组负有管理责任，应承诺本群组不发布、传播违法信息。企业对于违反上述告知行为的群组，应采取限制新成员加入、中止或终止本群组聊天服务等措施。b）匿名发布功能管理针对名发布功能，企业应配套必要管理机制和技术体系，确保实现“前台医名、后台实名”。c）转发功能管理企业应将用户生成信息、内容复制转发、本地存筛上传转发、链接转发、跨平台分享等功能，与相7 YD/T3169-2016同信息转发次数、用户安全等级等参数相关款，实随发送内客长短，显名或匿名，信息载体英别，复制、存储、转发、分享次数等权限管理。d）信息销毁功能管理企业针对信息接收环节的短暂留存呈现、但无法本地存储的信息销毁功能，应配套必要的目志留存等工作机制及技术手段，以依法配合相关部门完成违法信息的调查取证，7.1.1.8安全规则张贴与主动提示企业在用户注册、新功能上线、业务使用过程中的关键环节，应明确告知用户禁止发布、复制、传播违法信息：企业应与用户在注册账号环节签订协议，要求用户承诺按照国家有关法律法规，遵守法律法规、社会主义制度、国家利益、公民合法权益、公共秩序、社会道德风尚和信息真实性等7条底线。7.1.1.9潮源管理a）用户身份信息变更留存对于已经进行真实身份信息验证的用户账号，企业应定期核查并更新与用户账号拥绑关联的身份信息，确保其真实有效，对用户身份信息变更做好记录。b）日志留存管理企业应授照相关法律法观，记求并图存访向目志：用户访间日志留存系统应支持全部字段内要的精确查询、检索与统计：访问日志的保存时闻应满足国家相关法律法规要求。7.1.1.10信息联动管理针对企业内具有信息联动发布、分享功能的不同业务平台，企业应能够在紧急、必要情况下，迅速切断同步或关联关系，并联动删除各关联平台上的违法信息，同时留存相应删除目志信息，7.1.1.11应急处置企业应制定应急预案，明确应急工作机制和实施流程，明确应急领导责任人和沟通联络人，设置7X24h应急联系电话，并将配合应急工作情况反馈行业主管部门。企业应按照相关法律法规，及时启动应急处置流程机制，采取有效的管理指施和技术手段，配合行业主管部门追究相关责任人安全责任，并保存相关记录。企业应配套建设安全应急处置技术手段，具备对特定区域、特定服务、特定功能的限制或关闭能力。7.1.2业务平台安全保障基线要求7.1.2.1业务平台部署业务平台部著要求主要包括信息备案、设施分布等相关管理要