互联网软件运营安全管理规范(T-TSIA 001—2019).pdf

《互联网软件运营安全管理规范(T-TSIA 001—2019).pdf》由会员分享，可在线阅读，更多相关《互联网软件运营安全管理规范(T-TSIA 001—2019).pdf（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 ICS 35.020 团团 体体 标标 准准 T/TSIA 001-2019 互联网软件运营安全管理规范 Internet Software Operation Security Management Specification 2019-4-8发布 2019-4-8实施 天津市软件行业协会 发布 T/TSIA 001-2019 II 目 录 目 录.II 前 言.III 引 言.IV 1 范围.5 2 规范性引用文件.5 3 术语和定义.5 3.1 评价认定机构.5 3.2 网络安全第三方服务机构.6 3.3 威胁感知能力.6 3.4 联网软件.6 3.5 个人信息.6 4 基本要求.6

2、4.1 安全人员要求.7 4.2 管理制度要求.7 4.3 网络运行安全要求.9 4.4 个人信息安全要求.10 5 安全评估.12 5.1 基本要求.12 5.2 自评估.12 5.3 第三方安全评估.12 6 整改和评价.13 7 参考文献.13 T/TSIA 001-2019 III 前 言 本规范按照GB/T 1.1-2009标准化工作导则 第1部分：标准的结构和编写给出的规则起草。本规范起草单位：天津市网络文化行业协会、天津市软件行业协会、天津市互联网协会、天津市青少年网络协会、天津市网络社会组织联合会、南开大学、天津市市场信息中心、江西省计算技术研究所、中科锐眼（天津）科技有限公司

3、、中国检验认证集团天津有限公司、天津烽火信息管理技术有限公司、恒银金融科技股份有限公司、天津卓易云科技有限公司、中国铁路北京局集团有限公司、北京可信华泰信息技术有限公司、博雅创智（天津）科技有限公司、北京天腾信科技有限公司、恒安嘉新（北京）科技股份公司、深圳市能信安科技股份有限公司、四川远鉴科技有限公司、天津同力兴科网络科技有限公司、北京飞利信科技股份有限公司、江西畅然科技发展有限公司、北京金睛云华科技有限公司、北京亿赛通科技发展有限责任公司、北京智能计算产业研究院华一智研联合实验室、江苏百傲网络科技有限公司、北京易信云科技有限公司。本规范主要起草人：王小龙、王森、孙凯桐、周效铭、赵洪宇、刘玺

4、、解万永、吕顺刚、刘永杰、谷思源、李兴、苑久川、李宇、刘贵臣、杨雪飞、陆浩、郭昕、付康、宋午阳、张荣林、吴伯喜、张云峰、崔小玉、宋瑞霞、王巍、孙瑜、刘鑫、王梅、张峰晓、闫崑、王志、马小龙、南云僧、袁青霞、于洪、曾建锋、胡文友、张磊、张利华、刘会操、刘英杰。T/TSIA 001-2019 IV 引 言 为指导和规范互联网相关单位建立健全互联网软件（以下简称“联网软件”）运营安全管理，维护公共利益，加强行业自律，保护公民和其他组织的信息安全及合法权益，根据 中华人民共和国网络安全法 和国家有关的法律法规及相关标准制度制订本管理规范。T/TSIA 001-2019 5 互联网软件运营安全管理规范 1

5、 范围范围 本管理规范提出的安全管理和技术措施的相关要点和方法，可用于网络安全相关监管部门以及网络安全第三方服务机构开展网络安全监督管理与评估等工作，可作为“联网软件”的网络运营者开展安全自查的参考依据。2 规范性引用文件规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是标注日期的引用文件，仅标注日期的版本适用于本文件。凡是不标注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 5271.8 信息技术 词汇 第8部分:安全 GB/T 20984 信息安全技术 信息安全风险评估规范 GB/T 25068.3 信息技术 安全技术 IT网络安全 GB/T 25069 信息

6、安全技术 术语 GB/T 31495.2 信息安全技术 信息安全保障指标体系及评价方法 GB/T 31509 信息安全技术 信息安全风险评估实施指南 GB/T 35273个人信息安全规范 ISO/IEC 27005 信息技术 安全技术 信息安全风险管理 3 术语和定义术语和定义 ISO/IEC 27005、GB/T 5271.8、GB/T 25069 和 GB/T 25068.3、GB/T 31495.2 界定的术语和定义适用于本文件。为了便于使用，以下更加明确了相关术语和定义。3.1 评价认定评价认定机构机构 网络安全评价认定机构，是指对网络安全第三方服务机构的服务能力和工程实施结果进行评价

7、认定，对上线运行的业务和应用系统进行安全评价认定的机构。评价认定机构可T/TSIA 001-2019 6 以选择国家或地方认可的相关行业管理认定机构，如中国检验认证集团、中国信息安全测评中心以及中国网络安全审查技术与认证中心等。3.2 网络安全第三方服务机构网络安全第三方服务机构 网络安全第三方服务机构，是指负责对上线运行的业务和应用系统进行网络安全评估，以及从事相关的网络安全服务工作（如：网络安全检测监测工作、网络安全应急响应工作、网络安全运维工作、网络安全工程实施工作等）的机构。3.3 威胁感知能威胁感知能力力 威胁感知能力，是指在一定程度上可以洞悉基于网络整体环境的安全风险能力，能够做到

8、对网络威胁进行检测分析、发现识别，当发生网络安全事件时能够及时预警并提供响应处置的能力。3.4 联网软件联网软件“联网软件”是“互联网软件”的简称，是指依托于互联网提供相关服务的网站、系统、平台、应用（包括功能及应用形式）及相关支撑软件或技术，涉及到电信基础设施的应按照国家或行业有关规定执行。3.5 个人个人信息信息 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。注：个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信

9、息等。4 基本基本要求要求 网络运营者作为“联网软件”的运营主体，包括网络的管理者、使用者和利用他人网络从事相关服务的网络服务提供者，作为网络安全第一责任人，在开展经营和服务活动时，必须遵守法律法规、遵守商业道德、诚实守信，提倡健康文明的网络活动，履行网络安全保护义务，建立网络安全管理制度、加强网络安全技术保护措施、定期进行网络安全评估、T/TSIA 001-2019 7 落实个人信息安全保护机制，严格执行网络实名校验要求确认相关身份信息的真实有效，所采用的安全专用产品和服务应当符合国家和行业标准规范，当发生网络安全威胁事件时应及时处置并上报至监管机构和行业组织。互联网软件运营安全管理规范是依

10、据“规范引用文件及参考文献”中的国家法律法规和国家标准具体要求进行能力认定，“联网软件”在进行安全评估时应在监管单位或行业组织的指导下进行，对发现的安全隐患，应当及时整改，直至消除相关安全隐患。4.1 安全安全人员要求人员要求 提供“联网软件”的网络运营者应拥有相对稳定的安全人员，安全人员应具备信息安全从业资格证书或具备能够通过监管机构和行业组织开展的能力认定考核的能力，熟练掌握信息安全基础理论和核心技术，有足够的专业工作经验。4.2 管管理理制度要求制度要求 4.2.1 提供“联网软件”的网络运营者根据自身情况和特点，制定适合本单位的网络安全工作管理制度，应坚持“预防为主、主动防御、管理与技

11、术并重”的原则。相关单位制定网络安全工作机制的核心思想是通过保障信息系统正常运行，保证业务应用连续性和安全性，保证数据和信息的完整性、保密性、可用性，支撑业务发展。4.2.2 通常情况下，“联网软件”的安全管理制度应包括以下内容：a）建立人员安全管理制度，明确网络安全管理责任人、负责人。相关人员应具备网络安全相关专业知识或技能；b）建立网络运行安全管理制度，明确“联网软件”在上线、运行、下线阶段的管理制度和相关操作规定；c）建立个人信息保护管理制度，建立健全关于个人信息在获取、使用、存储等方面的安全制度，保障个人信息安全；d）建立数据和信息保密制度，建议对根据数据重要性进行数据分类分级，并根据

12、数据类别与级别对数据信息采用不同的保密方式；e）建立信息系统数据安全管理制度，明确数据和信息在全生命周期的安全操作管理规范；T/TSIA 001-2019 8 f）建立应急响应管理制度，建议建立事前监控制度，定时对“联网软件”运行状况与安全状况进行监测，建立应急处置相关制度，明确各类安全事件发生后的处理方法与处理流程；g）其他法律法规要求应当具备的。4.2.3 提供“联网软件”的网络运营者应建立网络安全保障机制，包括管理保障制度、技术保护措施、运维保障制度和应急处置方案，具体应包含以下相关要求：a）管理保障制度应包括信息安全组织、信息安全规章制度、信息安全工作流程、技术研发及代码审计管控规范等

13、。b）技术保护措施应包括应用安全架构、安全服务架构、基础设施安全架构等。c）运维保障制度应包括运行管理、安全监控、事件管理、变更管理等。d）应急处置方案应包括专门的安全应急支撑队伍、专家队伍，当发生网络安全事件后能得到及时有效的处置。4.2.4 提供“联网软件”的网络运营者应全面推行网络安全风险管理。通过增强安全风险意识、识别安全风险、完善风险管控流程、强化风险应急处置，提高网络安全风险防控能力。4.2.5 提供“联网软件”的网络运营者应及时开展网络安全建设及整改工作，完善“联网软件”系统的网络安全管理制度，构建基于安全可信的技术防护体系，严格落实网络实名校验要求，提升系统整体网络安全风险防范

14、能力。4.2.6 提供“联网软件”的网络运营者应加强对“联网软件”在咨询、设计、研发、施工、技术支持等过程中的安全管理，保护知识产权，防范信息泄露。4.2.7 提供“联网软件”的网络运营者在软件开发阶段应遵守国家有关安全编码规范。建立配置管理审查机制，将程序源代码及有关技术文档纳入配置管理，严格控制信息系统变更。4.2.8 根据信息系统运行和维护的实际情况，建立分级分权审核机制，分别设定访问权限，实现岗位操作互控。4.2.9 员工岗位发生变更时，应及时调整其对相关信息系统资源的访问权限；对离岗、离职或退休人员应终止其对相关信息系统资源的访问权限，及时修改有关密码，并明确后续保密要求。T/TSI

15、A 001-2019 9 4.2.10 信息系统建设、运行维护、使用过程中涉及外部服务人员时，应根据其所接触、获取信息系统资源情况，签订信息安全与保密协议。定期对员工进行安全培训和技能考核，严格管理外部人员进入机要部位，对外部访问人员进行登记备案并派专人全程监督。4.3 网络运行安全网络运行安全要求要求 4.3.1 网络运行安全是指在互联网中提供服务或自身运行的“联网软件”或服务安全，其中包括但不限于网络环境安全、移动互联安全、物联网安全、云计算安全、数据安全等。4.3.2 提供“联网软件”的网络运营者承担维护网络空间安全和秩序的主体责任，应采取相关措施用于检查、监测、防御、处置来自互联网的各

16、类安全风险和威胁，加强威胁感知能力，避免业务遭受侵入、干扰和破坏，防止信息泄露事件的发生，对“联网软件”中所产生的内容等相关信息能够提供有效的监督审查手段，在发现网络违法犯罪活动时及时上报监管机构。4.3.3 提供“联网软件”的网络运营者应履行网络安全保护义务，对所提供的“联网软件”不应出现后门和明显的安全隐患。“联网软件”中的后门和明显安全隐患是指：a）在提供的“联网软件”或服务中，自身的安全风险，以及被非法控制、干扰和中断运行的风险。b）“联网软件”产品和服务的相关组件、生产、测试、交付和技术支持过程中的供应链安全风险。c）“联网软件”和服务提供者利用提供产品和服务的便利条件非法收集、存储

17、、处理、使用用户信息的风险。d）“联网软件”和服务提供者利用用户对产品和服务的依赖，损害网络安全和用户利益的风险。e）“联网软件”和服务提供者利用所获取到的数据未经合法备案审查擅自出境的风险。f）其他可能危害社会或公共利益的安全风险。4.3.4 提供“联网软件”的网络运营者应采取免受恶意代码攻击的技术措施或可信的验证机制对系统程序、应用程序和重要配置文件/参数进行可信执行验证，并在检测到其完整性受到破坏时及时采取恢复措施。4.3.5 提供“联网软件”的网络运营者应依据自身业务安全需求，确定信息系统用户T/TSIA 001-2019 10 使用范围和访问权限，并通过用户管理与访问控制系统进行授权

18、，防止越权访问，保证业务应用安全。4.3.6 提供“联网软件”的网络运营者应在内部服务网和互联网建立专用的安全接入区，部署安全管控设备，提供认证、授权服务，对外部单位、外部人员、远程维护人员确定访问信息系统和有关数据权限。访问过程须保留日志。4.3.7 提供“联网软件”的网络运营者应规范数据采集、传输、交换、存储、备份、恢复和销毁等活动管理。严格数据访问权限分配与回收管理。数据访问须经网络安全管理部门或专责人员授权批准。数据访问过程须保存完整记录。4.3.8 提供“联网软件”的网络运营者对商业秘密、工作秘密或其他重要信息应进行加密处理，确保其在传输、处理、存储过程中不被泄露或篡改。4.4 个人

19、信个人信息安全息安全要求要求 4.4.1 对于提供“联网软件”的网络运营者在收集采集个人信息的行为应满足以下要求：a）个人信息收集前，应向被收集的个人信息主体公示本机构收集的目的、范围、方法和手段、处理方式等信息。b）个人信息收集应获得个人信息主体的同意和授权。c）个人信息收集应执行收集前签署的约定和协议，不应有超范围收集的现象。d）应确保收集个人信息过程的安全性：收集个人信息之前，应有对被收集人进行身份认证的机制，该身份认证机制应具有相应安全性；收集个人信息时，信息在传输过程中应进行加密等保护处理；收集个人信息时应有对收集内容进行安全检测和过滤的机制，防止非法内容提交。4.4.2 对于提供“

20、联网软件”的网络运营者在收集采集个人信息后的保存行为应满足以下要求：a）收集到的个人信息应采取相应的安全加密存储等安全措施进行处理。b）应对保存的个人信息根据收集、使用目的、被收集人授权设置相应的保存时限。c）应对保存的个人信息在超出设置的时限后予以删除。d）保存信息的主要设备，应对个人信息数据提供备份和恢复功能，确保数据备份的频率和时间间隔，并使用不少于以下一种备份手段：T/TSIA 001-2019 11 1）具有本地数据备份功能；2）将备份介质进行场外存放；3）具有异地数据备份功能。4.4.3 对于提供“联网软件”的网络运营者在应用个人信息时应满足以下要求：a）对个人信息的应用，应符合与

21、个人信息主体签署的相关协议和规定，不应超范围应用个人信息。b）个人信息主体应拥有控制本人信息的权限，包括：允许对本人信息的访问；允许对本人信息的修改，包括纠正不准确和不完整的数据。c）应对个人信息的接触者设置相应的访问控制措施，包括对被授权访问个人信息数据的工作人员按照最小授权的原则，只能访问最少够用的信息，只具有完成职责所需的最少的数据操作权限和对个人信息的重要操作设置内部审批流程，如批量修改、拷贝、下载等，以及对特定人员超限制处理个人信息时配置相应的责任人或负责机构进行审批，并对这种行为进行记录。d）应对必须要通过界面展示的个人信息进行去标识化的处理。4.4.4 对于提供“联网软件”的网络

22、运营者在开展网络经营活动时需要对境外提供个人信息和重要数据的应开展安全评估检测工作，发现存在安全问题和风险时应及时采取措施，防止个人信息未经用户同意向境外提供，损害个人信息主体合法利益，防止国家和公民重要数据未经安全评估和相关部门批准存储在境外。a）对境外提供的数据是指网络运营者在我国境内运营过程中收集和产生的电子形式的个人信息和重要数据。b）个人信息是指：以电子或者其他方式记录的能够单独或与其他信息结合识别自然人个人身份或者反映特定自然人活动情况的各种信息，包括但不限于自然人的姓名、出生日期、身份证号码、通信通讯联系方式、个人生物特征信息、住址、账号密码、财产状况、位置和行为信息等。c）个人

23、敏感信息是指：一旦泄露、非法提供或滥用可能危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等的个人信息。d）数据出境是指：将在中华人民共和国境内收集和产生的电子形式的个人信息和重要数据，提供给境外机构、组织、个人的一次性活动或连续性活动。T/TSIA 001-2019 12 e）数据出境安全风险是指：数据出境及再转移后被泄露、毁损、篡改、滥用等可能对国家安全、社会公共利益、个人合法利益带来的风险。f）重要数据是指：与国家安全、经济发展，以及社会公共利益密切相关的数据等。4.3.5个人信息安全管理，还需符合相关国家法律法规、标准或相关规定要求。5 安全评估安全评估 5.1 基本要求基本

24、要求 提供“联网软件”的网络运营者应担负网络安全保护的责任，接受行业指导，遵守企业承诺与社会监督相结合，自评估、第三方安全评估与政府监管相结合，实验室检测、现场检查、在线监测、背景审查相结合，承诺所提供的“联网软件”或服务无后门及已知明显安全隐患。提供“联网软件”的网络运营者原则上应在业务上线前展开安全评估，对已上线的重要“联网软件”应在不影响“联网软件”的正常运行下开展安全评估工作。提供“联网软件”的网络运营者在系统正式上线前，应组织对设备和功能进行安全验收，对系统整体安全状况进行检测和评估。检测评估材料及相关报告应作为验收文件的组成部分。安全评估要求应符合GB/T 20984、GB/T 3

25、1509相关要求。5.2 自评估自评估 提供“联网软件”的网络运营者可以对“联网软件”自行实施安全评估。安全评估报告可递交有资质的评价认定机构进行认定，并将经认定的安全评估报告递交监管单位审核备案。自评估应在本规范的指导下，结合系统特定的安全要求进行实施。5.3 第三方第三方安全安全评估评估 提供“联网软件”的网络运营者可以委托网络安全第三方服务机构进行安全评估。应选择在相关监管机构、社会组织备案的网络安全第三方服务机构开展网络安全评估活动，所出具的安全评估报告应到有资质的评价认定机构进行认定，并将安全评估报告递交监管单位审核备案。T/TSIA 001-2019 13 6 整改和评价整改和评价

26、 6.1 提供“联网软件”的网络运营者在“联网软件”上线时应按照监管机构和行业组织的要求开展安全评估，并具备合格的安全评估报告，对于评估过程中发现安全风险隐患的“联网软件”应按照法律法规的相关规定以及相应的国家标准进行整改，在整改完成前不得提供相关服务。6.2 提供“联网软件”的网络运营者拒不履行网络安全保护义务的，不开展安全评估的，应由行业组织通过相关平台向公众公示该“联网软件”存在的安全风险隐患，同时上报监管机构，并按照相关职责对该“联网软件”的运营者实施监督检查，发现存在违规违法行为的，上报监管机构依法处理。7 参考文参考文献献 中华人民共和国网络安全法 GB/T 25069 信息安全技

27、术 术语 GB/T 28448 信息安全技术 网络安全等级保护测评要求 GB/Z 20986 信息安全技术 信息安全事件分类分级指南 GB/T 20988 信息安全技术 信息系统灾难恢复规范 GB/T 22081 信息技术 安全技术 信息安全控制实践指南 GB/T 32921 信息安全技术 信息技术产品供应方行为安全准则 GB/T 32924 信息安全技术 网络安全预警指南 GB/T 30271 信息安全技术 信息安全服务能力评估准则 GB/T 29246 信息安全技术 信息安全管理体系 概述和词汇 GB/T 35273 信息安全技术 个人信息安全规范 GB/T 22080 信息安全技术 信息

28、安全管理体系 要求 GB/T 35279-2017 信息安全技术 云计算安全参考架构 GB/T 34978-2017 信息安全技术 移动智能终端个人信息保护技术要求 GB/T 35281-2017 信息安全技术 移动互联网软件服务器安全技术要求 GB/T 35283-2017 信息安全技术 计算机终端核心配置基线结构规范 GB/T 35284-2017 信息安全技术 网站身份和系统安全要求与评估方法 T/TSIA 001-2019 14 GB/T 35287-2017 信息安全技术 网站可信标识技术指南 GB/T 20985.1-2017信息安全技术 信息安全事件管理 GB/T 25066-2010 信息安全技术 信息安全产品类别与代码 GB/T 35625-2017 公共安全 业务连续性管理体系 业务影响分析指南 GB/T 36643-2018 信息安全技术 网络安全威胁信息格式规范 具有舆论属性或社会动员能力的互联网信息服务安全评估规定 互联网新闻信息服务新技术新应用安全评估管理规定(公安部令第151号)