大型互联网平台网络安全评估指南-深度剖析解读
范围
大型互联网平台的网络安全评估是从影响或者影响社会稳定和公共利益的角度来评估其安全性。
什么是大型互联网平台?
通过网络技术将个人与个人、商品、信息、服务、线下资源、数据、资金、软件等进行连接,并以此为基础提供业务(包括但不限于:即时通信、社交网络、电子商务、直播、短视频等)的较大规模(一般指过去1年期间,在我国累计活跃用户数不低于5000万)的网络平台。
根据该定义,我们日常生活中常见的大型互联网平台有:抖音、淘宝、滴滴打车、微信、腾讯视频等。
成立评估组织
开展大型互联网平台网络安全评估一般包括以下三步骤:
(1)设立工作组
成立以平台主要负责人为领导的工作小组,并由其指定牵头人组织推动相关工作,牵头人包括但不限于平台运营者的经理、副总经理、首席执行官、首席运营官、财务负责人、人力资源负责人、
法务负责人、董事会秘书等。
(2)明确工作组职责
1、根据各项关键业务发生网络安全问题时对社会问题、公共利益或公民合法权益的影响程度明确网络安全评估范围;
2、组织开展年度网络安全评估;
3、研究制定重要事项网络安全评估工作方案并组织开展相关评估工作;
4、根据网络安全评估中发现的安全问题组织开展整改。
(3)提供工作组保障
1、识别相关法律法规及标准要求
2、掌握平台相关情况
3、识别网络安全、数据安全、个人信息相关风险,包括基础计算环境、物理环境相关安全风险,以及业务模式相关安全风险
4、识别相关安全事件,如关键服务中断、大规模网络攻击
5、对平台的用户投诉、商业纠纷、公益诉讼等
6、识别跨境提供服务、跨境传输数据等场景因不同国家、地区网络安全政策、法制环境、保护水平差异可能导致的网络安全问题
7、识别供应链风险
需要评估的内容包括哪些?
一、关键业务弹性
1、评估可能导致平台长时间业务瘫痪的情形;
2、评估过去一年中,平台的关键业务发生过长时间瘫痪的安全事件,是否举一反三,找到问题根源,予以安全防范;
3、评估过去5年中,本平台以及国内外同等级平台发生的导致业务长时间中断、大面积瘫痪事件及情形,分析在本平台发生类似事件的可能性;
4、评估是否存在关键硬件、软件、组件等,一旦发生故障或功能瘫痪会对全平台造成影响
二、容灾备份能力
1、关键业务从停顿到恢复的时间,以及系统和数据必须恢复到的时间点要求
2、过去1年是否实际启动过容灾备份恢复系统
三、关键软硬件产品供应链安全性
1、是否可能因为政治、外交、贸易等因素导致供应链中断
2、是否可能发生被恶意植入后门、不明功能、超级权限
3、过去1年中,关键业务是否发生供应链安全事件
四、对外提供数据的可控性
1、是否具有健全的对外提供重要数据、个人信息的管理制度;
2、对外提供的个人信息和重要数据是否存在失控、泄露、滥用的风险
五、数据泄露事件发生后应急处置
1、数据加密情况、被破解难度,以及所采用密码算法是否符合我国相关政策法规要求
2、平台对数据泄露、数据窃取行为的感知、阻断能力
3、是否具备对事件溯源、泄露数据定位的能力
六、用户权益保护
评估用户个人信息权益保障情况,以及平台面向用户提供算法应用服务的合理性:
过去1年中,制定或修订隐私政策或使用协议的:
1、是否从用户反馈、用户投诉、消费者权益保护组织、主管监管部门等渠道充分听取社会意见
保障用户便利行使其个人信息查询权、复制权、删除权、更正权、转移权等权益的情况
1、是否在平台界面便利提供行使以上权利的操作渠道
2、说明平台实际响应用户行使权利请求的落实情况
3、用户选择转移个人信息后,平台是否仍然保留、存储、处理其个人信息
平台利用算法向用户定向推送信息的真实性、准确性、安全性以及来源的合法性
、