日前,为指导大型互联网平台评估发现和防范影响或者可能影响社会稳定、公共利益的网络安全风险,提升平台安全水平,全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——大型互联网平台网络安全评估指南》。
《指南》从影响或者可能影响社会稳定和公共利益的角度,提出了对大型互联网平台开展网络安全评估的内容和方法,适用于对大型互联网平台开展网络安全评估活动。
《指南》提出,大型互联网平台开展网络安全评估需要首先设立网络安全评估工作组。其中,工作组由平台主要负责人直接领导,工作组在其领导下制定管理制度和工作程序,工作组各项具体工作由平台主要负责人指定的牵头人组织推动,牵头人需是平台高级管理人员。
《指南》同时对评估工作组的工作内容做了明确划分,要求工作组根据各项业务发生网络安全问题时对社会稳定、公共利益的影响程度,识别核心业务范围,明确网络安全评估范围、组织开展年度网络安全评估、研究制定重要事项网络安全评估工作方案并组织开展相关评估工作。
最终,工作组需根据网络安全评估中发现的安全问题组织开展整改。针对大型互联网平台评估内容方面,《指南》要求工作组从核心业务连续性风险、灾难恢复能力、关键软硬件产品供应链安全性、对外提供数据的可控性、数据泄露事件发生后应急处置、平台控制权、用户权益保护等七个方面展开。
如果工作组在评估过程中,未发现安全问题与安全风险时,需要记录评估情况,保留相关材料。一旦发现安全问题或安全风险时,需要记录评估情况,并及时组织分析研判,并根据研判结果对发现的问题和风险进行整改,记录整改情况或未整改原因,对突出问题、风险按照有关部门要求上报。
(来源:FreeBuf)