安全資訊

網(wǎng)絡(luò )安全等級保護:網(wǎng)絡(luò )產(chǎn)品和服務(wù)安全通用要求之一般安全要求

【時(shí)間】2021-04-02

【編輯】Admin

【瀏覽量】

【等級保護QQ交流群】881590869

在我國境內銷(xiāo)售或提供的所有網(wǎng)絡(luò )產(chǎn)品和服務(wù)必須滿(mǎn)足一般安全要求,其中網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品還必須滿(mǎn)足增強安全要求。網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品范圍,具體參照國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、國家認證認可監督管理委員會(huì )聯(lián)合印發(fā)的《關(guān)于發(fā)布<網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品目錄>的公告》。網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品試看網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品目錄(第一批)》詳細如下

網(wǎng)絡(luò )安全等級保護:網(wǎng)絡(luò )產(chǎn)品和服務(wù)安全通用要求之一般安全要求

網(wǎng)絡(luò )安全等級保護:網(wǎng)絡(luò )產(chǎn)品和服務(wù)安全通用要求之一般安全要求

一般安全要求

1、 惡意程序防范
網(wǎng)絡(luò )產(chǎn)品和服務(wù)提供者必須滿(mǎn)足以下要求:
a)   禁止在網(wǎng)絡(luò )產(chǎn)品和服務(wù)的研發(fā)、生產(chǎn)、交付、運維等過(guò)程中植入惡意程序;
b)   禁止在網(wǎng)絡(luò )產(chǎn)品和服務(wù)中設置隱蔽接口或未明示功能模塊,如隱蔽的管理接口或調試接口;
c)   禁止加載能夠禁用或繞過(guò)安全機制的組件,不存在硬編碼方式的默認口令和隱藏賬號;
d)   必須建立和實(shí)施網(wǎng)絡(luò )產(chǎn)品和服務(wù)的完整性保護措施,減少產(chǎn)品和服務(wù)的關(guān)鍵組件、過(guò)程和數據被篡改、偽造的風(fēng)險;
e)   保護用戶(hù)對軟件安裝、使用、升級、卸載的知情權和選擇權,安裝和升級軟件時(shí)必須明示告知用戶(hù)并獲得用戶(hù)同意,允許用戶(hù)卸載產(chǎn)品核心功能之外的軟件,禁止通過(guò)技術(shù)手段強制或誘導用戶(hù)安裝和升級用戶(hù)不知情的軟件;
f)   通過(guò)用戶(hù)協(xié)議、產(chǎn)品使用說(shuō)明書(shū)、門(mén)戶(hù)網(wǎng)站等途徑,承諾提供的網(wǎng)絡(luò )產(chǎn)品和服務(wù)不包含惡意程序、隱蔽接口或未明示功能模塊等。
2、 缺陷漏洞管理
網(wǎng)絡(luò )產(chǎn)品和服務(wù)提供者必須滿(mǎn)足以下要求:

a)   網(wǎng)絡(luò )產(chǎn)品和服務(wù)的設計、開(kāi)發(fā)環(huán)節識別安全風(fēng)險,制定安全策略,采取適當的安全措施保障關(guān)鍵組件的設計和開(kāi)發(fā)安全,網(wǎng)絡(luò )產(chǎn)品和服務(wù)在交付前必須進(jìn)行了安全性測試,控制安全風(fēng)險;

b)   建立和執行針對網(wǎng)絡(luò )產(chǎn)品和服務(wù)安全缺陷、漏洞的應急響應機制和流程;

c)   在發(fā)現網(wǎng)絡(luò )產(chǎn)品和服務(wù)存在安全缺陷、漏洞時(shí),立即采取修復或替代方案等補救措施,按照國家網(wǎng)絡(luò )安全監測預警和信息通報制度等規定,及時(shí)告知用戶(hù)安全風(fēng)險,并向有關(guān)主管部門(mén)報告。

3、 安全運行維護
網(wǎng)絡(luò )產(chǎn)品和服務(wù)提供者必須滿(mǎn)足以下要求:
a)   在國家法律、行政法規、部門(mén)規章等規范性文件規定或與用戶(hù)約定的期限內,為網(wǎng)絡(luò )產(chǎn)品和服務(wù)提供持續的安全維護;
b)   在國家法律、行政法規、部門(mén)規章等規范性文件規定或與用戶(hù)約定的期限內,不因業(yè)務(wù)變更、產(chǎn)權變更等原因單方面中斷或終止安全維護。
4、 用戶(hù)信息保護
具有收集用戶(hù)信息功能的網(wǎng)絡(luò )產(chǎn)品和服務(wù),網(wǎng)絡(luò )產(chǎn)品和服務(wù)提供者必須滿(mǎn)足以下要求:
a)   明確告知收集用戶(hù)信息的目的、用途、范圍和類(lèi)型,在用戶(hù)明示同意后,方可收集用戶(hù)信息;
b)   只收集實(shí)現產(chǎn)品和服務(wù)功能所需的最少用戶(hù)信息,收集的用戶(hù)信息僅用于用戶(hù)同意的目的和用途;
c)   應當對其收集的用戶(hù)信息嚴格保密,并建立了規范的用戶(hù)信息保護制度;
d)   采取安全措施(如加密存儲、安全審計)保護個(gè)人信息等重要用戶(hù)信息的安全,防止泄露、篡改、損毀、丟失;
e)   未經(jīng)用戶(hù)明示同意,不得向他人提供個(gè)人信息,經(jīng)處理無(wú)法識別特定個(gè)人且不能復原的除外;
f)   向個(gè)人信息主體提供查詢(xún)、更正個(gè)人信息的功能,當發(fā)現提供者違反法律、行政法規的規定或者雙方的約定收集、使用其個(gè)人信息的,個(gè)人有權要求提供者刪除其個(gè)人信息;

g)   制定個(gè)人信息泄露應急預案,當發(fā)生個(gè)人信息泄露事件時(shí),采取有效措施降低用戶(hù)的損失。

文章開(kāi)始,我們提到了在我國境內銷(xiāo)售或提供的所有網(wǎng)絡(luò )產(chǎn)品和服務(wù)必須滿(mǎn)足一般安全要求,其中網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品還必須滿(mǎn)足增強安全要求。也就是在我國所有網(wǎng)絡(luò )產(chǎn)品和服務(wù)皆需要滿(mǎn)足一般安全要求,同時(shí),我也經(jīng)常強調一點(diǎn),那就是在網(wǎng)絡(luò )安全等級保護測評中如何理解每條測評的要求,不能根據腦海中的一些淺薄知識望文生義,盡量能夠以標準釋標準。在實(shí)際操作中,無(wú)論是建設整改方案時(shí)期還是等級測評時(shí)期,充分理解標準要求,既可以滿(mǎn)足合規性,也可以避免客戶(hù)過(guò)度投入。

網(wǎng)絡(luò )安全等級保護是一個(gè)網(wǎng)絡(luò )安全領(lǐng)域合規的一個(gè)基本條件,而網(wǎng)絡(luò )安全等級保護是體系化的工作,需要安全監管部門(mén)、行業(yè)主管單位(部門(mén))、安全服務(wù)商、網(wǎng)絡(luò )運營(yíng)者、測評機構多方參與,而又需要各司其職。充分理解等級保護工作的重要性的同時(shí),也需要各方都對等級保護有個(gè)充分的認知,同時(shí)各方又能提供足夠專(zhuān)業(yè)符合等級保護工作的服務(wù)及售后服務(wù)。

參考文件:
  • 《信息安全技術(shù) 網(wǎng)絡(luò )產(chǎn)品和服務(wù)安全通用要求》
  • 網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品目錄(第一批)
  • 《信息技術(shù)服務(wù)運行維護 第1部分:通用要求》
  • 《信息技術(shù)服務(wù) 運行維護 第2部分:交付規范》
  • 《信息技術(shù)服務(wù)運行維護第3部分:應急響應規范》

  • 《信息安全技術(shù)信息安全服務(wù)分類(lèi)》等


服務(wù)熱線(xiàn)

138-6598-3726

產(chǎn)品和特性

價(jià)格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò )公眾號

微信公眾號

午夜成人无码免费看网站_97国语自产拍在线_无码一区精油按摩视频_国产色婷婷五月精品综合在线