互联网新闻信息服务安全评估框架研究
2021-12-26付敏秦伟强陈龙
付敏 秦伟强 陈龙
1.四川省电子产品监督检验所 四川 成都 610100;
2.中国移动杭州研发中心 四川 成都 610000
引言
国家互联网信息办公室和公安部联合发布《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》,明确要求为开办博客、短视频、公众账号、网络直播、应用程序等互联网信息服务提供者开展安全评估[1]。目前互联网提供者自行实施或委托第三方安全评估机构实施安全评估,但未形成统一的互联网新闻信息服务安全评估框架,为此本文根据《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》、《互联网新闻信息服务新技术新应用安全评估管理规定》和《互联网新闻信息服务安全评估报告模板》,提出互联网新闻服务安全评估框架,主要从互联网新闻服务基本情况、技术保障措施和用户个人信息保护三个方面进行安全评估,并详细阐述每个方面的评估内容与评估重点[1-2]。
1 互联网新闻信息服务安全评估框架
互联网新闻信息服务安全评估主要采用人员访谈、文档审查、配置/功能检查等评估方式,审查与评价信息安全管理制度和技术保障措施,主要包括基本情况审查、技术保障措施和用户个人信息保护制度评估三个方面。
1.1 基本情况审查
审查互联网新闻信息服务申请机构的安全管理负责人、信息审核人员或者建立安全管理机构的情况:①是否建立安全负责人联系制度;②是否设立审核部门负责新闻内容的审核;③是否设立运营部门对新闻内容巡查;④是否设立运维管理部门负责日志保存、违法内容处理等工作;⑤了解专职新闻编辑人员、内容审核人员和技术保障人员基本情况。
审查互联网新闻信息服务情况:①了解服务项目、服务范围、业务形式、服务方式等;②了解服务的主要功能、业务流程和系统重要组成等;③确定评估内容是否适用于该新闻信息服务。
1.2 技术保障措施评估
技术保障措施评估主要包括信息源管理保障、内容审核与敏感信息管理、开放接口管理、用户管理及违规处置、举报机制、应急处置机制、日志留存管理七个评估内容,评估重点如下:
信息源管理保障:审查制度文档是否包含对稿源建立白名单分级管理和审核制度;检查服务是否具备稿源白名单分级管理和审核功能。
内容审核与敏感信息管理:审查制度文档是否包含发布内容审核、发布内容检测、敏感信息样本库管理、违法信息阻断与处理制度;检查服务是否具备发布内容审核、发布内容检测、敏感信息样本库管理、违法信息阻断与处理功能。
开放接口管理:审查安全管理制度文档是否包含API接口服务形式、服务方法、权限管理和安全审计、合作对象审查等内容;检查对发布到第三方的信息和数据是否具备审核功能。
用户管理及违规处置:审查安全管理制度文档是否包含用户实名认证、用户注册/变更审核、用户分级管理、用户日志记录、违规账号处理等制度;检查服务是否具备用户实名认证、用户注册/变更审核、用户分级管理、用户日志记录、违规账号处理等功能。
举报机制:审查安全管理制度文档是否包含用户举报管理制度;检查服务是否建立举报机制,明确标识举报入口和途径,以及是否提供举报信息处置与管理功能。
应急处置机制:审查安全管理制度文档是否包含应急处置制度,以及是否具备应急处置预案;检查服务是否具备违法/不良信息监测和处置、网络安全事件分级管理和处置等功能。
日志留存管理:审查安全管理制度文档是否包含日志留存管理制度;检查服务是否具备信息发布、有害信息处置、违规账号处理等日志管理功能,以及日志记录内容是否完整和日志记录保存期限是否合理。
1.3 用户个人信息保护制度评估
用户个人信息保护制度评估主要包括个人信息明示机制、个人信息安全防护技术措施、个人信息保护应急处置机制三个评估内容,评估重点如下:
个人信息明示机制:审查安全管理制度文档是否包含个人信息明示制度;检查服务功能是否提供隐私协议和用户协议,并确认协议中是否明示收集、使用信息的目的、方式、范围和规则,收集、使用、保护个人信息是否遵循法律、法规的规定和双方的约定,并且是否在功能上限制必须经被收集者同意后才能收集和使用用户个人信息。
个人信息安全防护技术措施:审查安全管理制度文档是否包含个人信息安全防护制度;检查用户信息在收集、存储、管理、使用环节服务是否提供个人信息安全防护功能,保障个人信息的保密性和完整性。
个人信息保护应急处置机制:审查安全管理制度文档是否包含个人信息保护应急处置制度,以及是否具备个人信息保护应急处置预案;检查服务是否提供个人信息保护应急处置功能(包括但不限于用户操作权限锁定、安全事件日志记录、用户个人信息备份与恢复等)。
2 结束语
为规范短视频、公众账号、网络直播、应用程序等网络媒体的使用,我们必须加强具有舆论属性或社会动员能力的互联网信息服务的安全评估工作,并监督互联网信息服务提供者对安全评估过程中发现的安全风险进行及时整改[1]。