大型互联网平台网络安全评估现有指南可依（附解答）

大型互联网平台既是企业的重要商业平台，也是网民生活、工作的公共空间，掌握了关系国计民生的大量资源。早在 2023 年 12 月，《大型互联网平台网络安全评估指南》公开征求意见，为帮助大型互联网平台在网络安全合规基础上，进一步评估发现和防范可能影响社会稳定、公共利益的网络安全风险，指导平台提升安全水平。

2024年6月25日，全国网络安全标准化技术委员会秘书处组织编制的《网络安全标准实践指南——大型互联网平台网络安全评估指南》正式发布。本《实践指南》提出了对大型互联网平台开展网络安全评估的内容和方法，可用于指导大型互联网平台开展网络安全评估活动。

以下针对《实践指南》全文由生成式 AI 做出的核心解答和思维导图，仅作为参考。请在文末下载，以原文为准：

如何评估并记录过去一年中开展的核心业务灾难恢复演练的效果，以确保核心业务的持续运行和数据安全？

过去一年中开展的核心业务灾难恢复演练效果的评估和记录应遵循以下步骤：首先，记录演练的时间、形式（如桌面演练、模拟演练、实际切换演练等）、内容与过程。其次，通过实际切换演练，验证容灾冗余系统是否具备独立承载核心业务的能力。第三，确定核心业务的恢复时间目标（RTO）和数据恢复目标（RPO）。最后，评估其他经演练证实的灾难恢复结果。

相关原文：[P1][P5]

平台在数据泄露事件发生后，应具备哪些应急处置能力？

平台在数据泄露事件发生后，应具备以下应急处置能力：首先，数据加密应足够安全，被破解的难度要高，且采用的密码算法要符合中国相关政策法规的要求。其次，平台应能及时发现并处理数据泄露事件，迅速阻断泄露，并能追踪和定位数据泄露的源头和去向。最后，在过去一年中，平台应有效实施了大规模数据泄露事件的处理，并在这些事件中展现了良好的感知处理事件、阻断泄露、追溯事件来源及定位数据去向的能力。

相关原文：[P1]

大型互联网平台在网络安全评估报告中，应如何展示其核心业务连续性风险和灾难恢复情况？

大型互联网平台在网络安全评估报告中，应通过以下方式展示其核心业务连续性风险和灾难恢复情况：

• 核心业务连续性风险：

a) 可能导致平台长时间业务瘫痪的情形；
b) 过去一年中核心业务发生的长时间业务瘫痪的安全事件列表，包括事件起始时间、主要内容与经过、事件原因，以及事后缓解措施与效果；
c) 过去五年中本平台及国内外同等级平台发生的导致业务长时间中断、大面积瘫痪的事件及情形列表，分析在本平台发生类似事件的可能性；
d) 列出可能对一个或多个核心业务造成影响的关键硬件、软件、组件等。

• 灾难恢复能力：

a) 平台弹性冗余、容灾备份及抗毁顽存能力；
b) 平台容灾备份系统是否能独立运行；
c) 灾难发生后，核心业务从停顿到恢复的时间要求，以及系统和数据必须恢复到的时间点要求；
d) 列出过去一年中实际启动过容灾备份系统的记录，并评估灾难恢复的实际效果。

报告中应详细记录并展示评估的结果，以及对发现的问题和风险进行的整改情况或未整改原因。

相关原文：[P1]

如何确保关键软硬件产品的供应链安全性，避免因政治、外交、贸易等因素导致供应中断？

为确保关键软硬件产品的供应链安全性，避免因政治、外交、贸易等因素导致供应中断，可以采取以下措施：

• 选择来源多样性的供应商，确保不会因单一供应商出现问题而影响整个供应链。
• 审查供应商的政治、外交和贸易关系，避免与可能产生供应中断风险的供应商合作。
• 对关键软硬件产品进行安全性、开放性、透明性评估，确保产品本身不会因恶意植入后门或不明功能而受到威胁。
• 建立供应链安全事件应对预案，确保在发生安全事件时能够迅速采取措施，减轻供应链中断带来的影响。
• 定期评估关键软硬件产品的供应链风险，并根据评估结果调整供应链管理策略。
• 对已发生的供应链安全事件进行总结分析，制定预防措施，并持续跟踪评估措施的有效性。

相关原文：[P1][P19]

平台在对外提供重要数据和个人信息时，应如何确保数据的安全性和可控性？

当平台在对外提供重要数据和个人信息时，为确保数据的安全性和可控性，应遵循以下措施：

1. 建立健全的对外提供数据和个人信息的管理制度，包括集中统一的审批制度，且审批层级需在高管层面，审批事项涵盖数据必要性、正当性、合法性等。审批人员应具备充分的安全经验和管理权限。
2. 制定充分的数据接收方数据保护义务和责任规定，内容需包括数据使用目的、使用期限、使用方式的限制，以及数据再转移、再扩散、转委托的处理条件。明确要求接收方取得平台同意后才能进行数据再转移、再扩散、转委托或变更使用目的、使用方式，且在目的或期限到期后需及时删除数据。
3. 对于数据接收方在国外或平台运营者在国外上市的情况，应建立对网络安全、数据安全、个人信息保护的国内外最新政策进行分析、响应的机制。
4. 定期评估已对外提供数据是否存在失控、泄露、滥用的风险，并采取相应的监督、防范措施。
5. 当出现接收方未经同意提供数据的情况时，应立即采取有效控制措施，防止数据滥用或泄露。

相关原文：[P1][P13]

如何评估大型互联网平台的核心业务连续性风险？

评估大型互联网平台的核心业务连续性风险包括以下几个步骤：

• 识别可能导致平台长时间业务瘫痪的情形。
• 汇总过去一年中平台的核心业务发生过长时间业务瘫痪的安全事件，分析是否举一反三，找到问题根源，并予以安全防范。
• 分析过去五年中，本平台以及国内外同等级平台发生的导致业务长时间中断、大面积瘫痪事件及情形，判断在本平台发生类似事件的可能性。
• 检查是否存在关键硬件、软件、组件等，一旦发生故障或功能瘫痪会对全平台造成影响。

相关原文：[P1]

对于大型互联网平台，哪些情况下需要进行重要事项网络安全评估？

当拟对平台进行以下调整变更前，需要进行重要事项网络安全评估：

• 平台的实际控制人变更。
• 启动新核心业务、关停现有核心业务。
• 扩大收集用户敏感个人信息的范围、数量或频率，对网络安全可能产生重大影响的。
• 增加重要数据、累计100万以上的个人信息、10万以上的敏感个人信息的接收方，或向已有接收方提供数据的技术方式发生变更。
• 对外提供重要数据、累计100万以上个人信息、10万以上敏感个人信息的，接收方对信息的使用目的、使用方式发生变更。

相关原文：[P1]

在用户权益保护方面，平台应如何确保利用算法向用户定向推送信息的真实性、准确性、安全性以及来源的合法性？

平台应采取以下措施确保利用算法向用户定向推送信息的真实性、准确性、安全性以及来源的合法性：首先，平台需要在显著位置做出标识，并允许用户拒绝接收定向推送信息，同时向用户提供选择或者删除用于算法推荐服务的、针对其个人特征的推送参数的功能。其次，平台应以显著方式向用户明示推送算法决策所依赖或可能依赖的用户网络历史行为或个人信息。

相关原文：[P1][P21][P13]

附思维导图：

在此声明以上观点和内容，仅代表原作者和出处，与数治网DTZed 无关，如有出错或侵害到相关合法权益，请通过电邮与我们联系：cs@dtzed.com。

在文末扫码关注官方微信公众号“idtzed”，发送“入”直通相关数治x行业共建群、AIGC+X 成长营，@老邪 每周免费领取法规、标准、图谱等工具包。

欢迎先注册，登录后即可下载检索网络安全等相关标准、白皮书及报告。更多高质量纯净资料下载，在文末扫码关注官方微信公众号“idtzed”，进入公众号菜单“治库”。