APP上架时要求的安全评估报告究竟是什么?

2022-07-05 16:43:03 wfkj 730

商家在应用商店或应用平台上架APP时,会被要求上传一份安全评估报告,没有提供这份报告的商家或开发者将面临着应用被下架或者限制外显等惩罚。那么,APP上架时要求的安全评估报告究竟是什么?首先让我们从为什么需要安全评估报告开始说起。

 

为什么需要安全评估报告?

2018年,国家互联网信息办公室和公安部根据《中华人民共和国网络安全法》、《互联网信息服务管理办法》、《计算机信息网络国际联网安全保护管理办法》等法律法规为依据,联合发布了《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》,旨在督促指导具有舆论属性或社会动员能力的信息服务提供者履行法律规定的安全管理义务,维护网上信息安全、秩序稳定,防范谣言和虚假信息等违法信息传播带来危害,是促进互联网企业依法落实信息网络安全义务的重要措施。

 按照规定要求,新开办舆论属性或社会动员能力的互联网信息服务,使用新技术新应用使信息服务的功能属性、技术实现方式、基础资源配置等发生重大变更,要在上线前开展评估,用户规模显著增加或发生违法有害信息传播扩散的,要在相关情形发生之日起30日内开展安全评估。

其中在第六条中指出:经过安全评估,符合法律、行政法规、部门规章和标准的,应当形成安全评估报告。  


在什么情况下,需要进行互联网信息服务安全评估?

1、开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或者附设相应功能;

2、开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务。

 

互联网信息服务适用于哪些场景?

1、具有舆论属性或社会动员能力的信息服务上线,或者信息服务增设相关功能的;

2、使用新技术新应用,使信息服务的功能属性、技术实现方式、基础资源配置等发生重大变更,导致舆论属性或者社会动员能力发生重大变化的;

3、用户规模显著增加,导致信息服务的舆论属性或者社会动员能力发生重大变化的;

4、发生违法有害信息传播扩散,表明已有安全措施难以有效防控网络安全风险的;

5、地市级以上网信部门或者公安机关书面通知需要进行安全评估的其他情形。

 

需要评估内容是什么?

互联网信息服务提供者开展安全评估,应当对信息服务和新技术新应用的合法性,落实法律、行政法规、部门规章和标准规定的安全措施的有效性,防控安全风险的有效性等情况进行全面评估,并重点评估以下内容:

1、确定与所提供服务相适应的安全管理负责人、信息审核人员或者建立安全管理机构的情况;

2、用户真实身份核验以及注册信息留存措施;

3、对用户的账号、操作时间、操作类型、网络源地址和目标地址、网络源端口、客户端硬件特征等日志信息,以及用户发布信息记录的留存措施;

4、对用户账号和通讯群组名称、昵称、简介、备注、标识,信息发布、转发、评论和通讯群组等服务功能中违法有害信息的防范处置和有关记录保存措施;

5、个人信息保护以及防范违法有害信息传播扩散、社会动员功能失控风险的技术措施;

6、建立投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关投诉和举报的情况;

7、建立为网信部门依法履行互联网信息服务监督管理职责提供技术、数据支持和协助的工作机制的情况;

8、建立为公安机关、国家安全机关依法维护国家安全和查处违法犯罪提供技术、数据支持和协助的工作机制的情况。

 

出具的安全评估报告包括哪些内容?

1、互联网信息服务的功能、服务范围、软硬件设施、部署位置等基本情况和相关证照获取情况;

2、安全管理制度和技术措施落实情况及风险防控效果;

3、安全评估结论;

4、其他应当说明的相关情况。

 

万方安全专注网络信息安全领域10年以上,熟悉监管部门对政策法规的具体落地要求。可对企业实施具有舆论属性或社会动员能力的互联网信息服务安全评估,出具符合应用市场要求的第三方专业检测机构安全评估报告。通过对企业信息服务功能、服务范围、软硬件设施、安全管理制度和技术措施落实、风险防控等方面情况的了解评估,明确当前最突出和待改进的问题,为企业提供整改建议,为日后企业的信息技术服务和信息安全管理体系建设能够顺利进行提供必要保障。