付敏 秦偉強 陳龍

1.四川省電子產(chǎn)品監(jiān)督檢驗所 四川 成都 610100；

2.中國移動杭州研發(fā)中心 四川 成都 610000

引言

國家互聯(lián)網(wǎng)信息辦公室和公安部聯(lián)合發(fā)布《具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)安全評估規(guī)定》，明確要求為開辦博客、短視頻、公眾賬號、網(wǎng)絡(luò)直播、應(yīng)用程序等互聯(lián)網(wǎng)信息服務(wù)提供者開展安全評估[1]。目前互聯(lián)網(wǎng)提供者自行實施或委托第三方安全評估機構(gòu)實施安全評估，但未形成統(tǒng)一的互聯(lián)網(wǎng)新聞信息服務(wù)安全評估框架，為此本文根據(jù)《具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)安全評估規(guī)定》、《互聯(lián)網(wǎng)新聞信息服務(wù)新技術(shù)新應(yīng)用安全評估管理規(guī)定》和《互聯(lián)網(wǎng)新聞信息服務(wù)安全評估報告模板》，提出互聯(lián)網(wǎng)新聞服務(wù)安全評估框架，主要從互聯(lián)網(wǎng)新聞服務(wù)基本情況、技術(shù)保障措施和用戶個人信息保護三個方面進行安全評估，并詳細闡述每個方面的評估內(nèi)容與評估重點[1-2]。

1 互聯(lián)網(wǎng)新聞信息服務(wù)安全評估框架

互聯(lián)網(wǎng)新聞信息服務(wù)安全評估主要采用人員訪談、文檔審查、配置/功能檢查等評估方式，審查與評價信息安全管理制度和技術(shù)保障措施，主要包括基本情況審查、技術(shù)保障措施和用戶個人信息保護制度評估三個方面。

1.1 基本情況審查

審查互聯(lián)網(wǎng)新聞信息服務(wù)申請機構(gòu)的安全管理負責(zé)人、信息審核人員或者建立安全管理機構(gòu)的情況：①是否建立安全負責(zé)人聯(lián)系制度；②是否設(shè)立審核部門負責(zé)新聞內(nèi)容的審核；③是否設(shè)立運營部門對新聞內(nèi)容巡查；④是否設(shè)立運維管理部門負責(zé)日志保存、違法內(nèi)容處理等工作；⑤了解專職新聞編輯人員、內(nèi)容審核人員和技術(shù)保障人員基本情況。

審查互聯(lián)網(wǎng)新聞信息服務(wù)情況：①了解服務(wù)項目、服務(wù)范圍、業(yè)務(wù)形式、服務(wù)方式等；②了解服務(wù)的主要功能、業(yè)務(wù)流程和系統(tǒng)重要組成等；③確定評估內(nèi)容是否適用于該新聞信息服務(wù)。

1.2 技術(shù)保障措施評估

技術(shù)保障措施評估主要包括信息源管理保障、內(nèi)容審核與敏感信息管理、開放接口管理、用戶管理及違規(guī)處置、舉報機制、應(yīng)急處置機制、日志留存管理七個評估內(nèi)容，評估重點如下：

信息源管理保障：審查制度文檔是否包含對稿源建立白名單分級管理和審核制度；檢查服務(wù)是否具備稿源白名單分級管理和審核功能。

內(nèi)容審核與敏感信息管理：審查制度文檔是否包含發(fā)布內(nèi)容審核、發(fā)布內(nèi)容檢測、敏感信息樣本庫管理、違法信息阻斷與處理制度；檢查服務(wù)是否具備發(fā)布內(nèi)容審核、發(fā)布內(nèi)容檢測、敏感信息樣本庫管理、違法信息阻斷與處理功能。

開放接口管理：審查安全管理制度文檔是否包含API接口服務(wù)形式、服務(wù)方法、權(quán)限管理和安全審計、合作對象審查等內(nèi)容；檢查對發(fā)布到第三方的信息和數(shù)據(jù)是否具備審核功能。

用戶管理及違規(guī)處置：審查安全管理制度文檔是否包含用戶實名認(rèn)證、用戶注冊/變更審核、用戶分級管理、用戶日志記錄、違規(guī)賬號處理等制度；檢查服務(wù)是否具備用戶實名認(rèn)證、用戶注冊/變更審核、用戶分級管理、用戶日志記錄、違規(guī)賬號處理等功能。

舉報機制：審查安全管理制度文檔是否包含用戶舉報管理制度；檢查服務(wù)是否建立舉報機制，明確標(biāo)識舉報入口和途徑，以及是否提供舉報信息處置與管理功能。

應(yīng)急處置機制：審查安全管理制度文檔是否包含應(yīng)急處置制度，以及是否具備應(yīng)急處置預(yù)案；檢查服務(wù)是否具備違法/不良信息監(jiān)測和處置、網(wǎng)絡(luò)安全事件分級管理和處置等功能。

日志留存管理：審查安全管理制度文檔是否包含日志留存管理制度；檢查服務(wù)是否具備信息發(fā)布、有害信息處置、違規(guī)賬號處理等日志管理功能，以及日志記錄內(nèi)容是否完整和日志記錄保存期限是否合理。

1.3 用戶個人信息保護制度評估

用戶個人信息保護制度評估主要包括個人信息明示機制、個人信息安全防護技術(shù)措施、個人信息保護應(yīng)急處置機制三個評估內(nèi)容，評估重點如下：

個人信息明示機制：審查安全管理制度文檔是否包含個人信息明示制度；檢查服務(wù)功能是否提供隱私協(xié)議和用戶協(xié)議，并確認(rèn)協(xié)議中是否明示收集、使用信息的目的、方式、范圍和規(guī)則，收集、使用、保護個人信息是否遵循法律、法規(guī)的規(guī)定和雙方的約定，并且是否在功能上限制必須經(jīng)被收集者同意后才能收集和使用用戶個人信息。

個人信息安全防護技術(shù)措施：審查安全管理制度文檔是否包含個人信息安全防護制度；檢查用戶信息在收集、存儲、管理、使用環(huán)節(jié)服務(wù)是否提供個人信息安全防護功能，保障個人信息的保密性和完整性。

個人信息保護應(yīng)急處置機制：審查安全管理制度文檔是否包含個人信息保護應(yīng)急處置制度，以及是否具備個人信息保護應(yīng)急處置預(yù)案；檢查服務(wù)是否提供個人信息保護應(yīng)急處置功能（包括但不限于用戶操作權(quán)限鎖定、安全事件日志記錄、用戶個人信息備份與恢復(fù)等）。

2 結(jié)束語

為規(guī)范短視頻、公眾賬號、網(wǎng)絡(luò)直播、應(yīng)用程序等網(wǎng)絡(luò)媒體的使用，我們必須加強具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)的安全評估工作，并監(jiān)督互聯(lián)網(wǎng)信息服務(wù)提供者對安全評估過程中發(fā)現(xiàn)的安全風(fēng)險進行及時整改[1]。