ICS 35.020 团 体 标 准 T/TSIA 00 4-2023 代替 T/TSIA 004 -2019 互联网软件运营安全管理规范 Internet Software Operation Security Management Specification 2023 - 10 - 12发布 2023 - 10 - 12 实施 天津市软件行业协会 发布 全国团体标准信息平台 全国团体标准信息平台 T/TSIA 00 4-2023 II 目 录 目 录 ................................ ................................ ..... II 前 言 ................................ ................................ .... III 引 言 ................................ ................................ ..... IV 1 范围 ................................ ................................ .... 5 2 规范性引用文件 ................................ .......................... 5 3 术语和定义 ................................ .............................. 5 3.1 评价认定机构 ................................ ............................ 6 3.2 网络安全第三方服务机构 ................................ .................. 6 3.3 威胁感知能力 ................................ ............................ 6 3.4 联网软件 ................................ ................................ 6 3.5 个人信息 ................................ ................................ 6 4 基本要求 ................................ ................................ 7 4.1 安全人员要求 ................................ ............................ 7 4.2 管理制度要求 ................................ ............................ 7 4.3 网络运行安全要求 ................................ ........................ 9 4.4 个人信息安全要求 ................................ ....................... 10 5 安全评估 ................................ ............................... 12 5.1 基本要求 ................................ ............................... 12 5.2 自评估 ................................ ................................ . 12 5.3 第三方安全评估 ................................ ......................... 13 6 整改和评价 ................................ ............................. 13 7 参考文献 ................................ ............................... 13 全国团体标准信息平台 全国团体标准信息平台 T/TSIA 00 4-2023 III 前 言 本规范按照GB/T 1.1-2009《标准化工作导则 第1部分：标准的结构和编写》给出的 规则起草。 本规范起草单位：天津市网络文化行业协会、天津市软件行业协会、天津市互联网协 会、天津市青少年网络协会、天津市网络社会组织联合会、南开大学、天津市市场信息中 心、江西省计算技术研究所、中科锐眼（天津）科技有限公司、中国检验认证集团天津有 限公司、天津烽火信息管理技术有限公司、恒银金融科技股份有限公司、天津卓易云科技 有限公司、 中国铁路北京局集团有限公司、 北京可信华泰信息技术有限公司、 博雅创智 （天 津）科技有限公司、北京天腾信科 技有限公司、恒安嘉新（北京）科技股份公司、深圳市 能信安科技股份有限公司、四川远鉴科技有限公司、天津同力兴科网络科技有限公司、北 京飞利信科技股份有限公司、江西畅然科技发展有限公司、北京金睛云华科技有限公司、 北京亿赛通科技发展有限责任公司、北京智能计算产业研究院华一智研联合实验室、江苏 百傲网络科技有限公司、北京易信云科技有限公司。 本规范主要起草人：王小龙、王森、孙凯桐、周效铭、赵洪宇、刘玺、解万永、吕顺 刚、刘永杰、谷思源、李兴、苑久川、李宇、刘贵臣、杨雪飞、陆浩、郭昕、付康、宋午 阳、张荣林、吴伯喜、张云峰、崔 小玉、宋瑞霞、王巍、孙瑜、刘鑫、王梅、张峰晓、闫 崑、王志、马小龙、南云僧、袁青霞、于洪、曾建锋、胡文友、张磊、张利华、刘会操、 刘英杰。 全国团体标准信息平台 全国团体标准信息平台 T/TSIA 00 4-2023 IV 引 言 为指导和规范互联网相关单位建立健全互联网软件（以下简称“联网软件”）运营安 全管理，维护公共利益，加强行业自律，保护公民和其他组织的信息安全及合法权益，根 据 《中华人民共和国网络安全法》 和国家有关的法律法规及相关标准制度制订本管理规范。 全国团体标准信息平台 全国团体标准信息平台 T/TSIA 00 4-2023 5 互联网软件运营安全管理规范 1 范围 本管理规范提出的安全管理和技术措施的相关要点和方法，可用于网络安全相关监管 部门以及网络安全 第三方服务机构开展网络安全监督管理与评估等工作，可 作为“联网软 件”的网络运营者开展安全自查的参考依据。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是标注日期的引用文件，仅标注日期的 版本适用于本文件。凡是不标注日期的引用文件，其最新版本（包括所有的修改单）适用 于本文件。 GB/T 5271.8 -2001 信息技术 词汇 第8部分:安全 GB/T 20984 -2022 信息安全技术 信息安全风险评估方法 GB/T 25068.3 -2022 信息技术 安全技术 网络安全 第3部分：面向网络接入场景的 威 胁、设计技术和控制 GB/T 25069 -2022 信息安全技术 术语 GB/T 31495.2 -2015 信息安全技术 信息安全保障指标体系及评价方法 第2部分：指标 体系 GB/T 31509-2015 信息安全技术 信息安全风险评估实施指南 GB/T 35273 -2020 信息安全技术 个人信息安全规范 ISO/IEC 27005 :2018 信息技术 安全技术 信息安全风险管理 3 术语和定义 ISO/IEC 27005 :2018、GB/T 5271.8 -2001、GB/T 25069 -2022和GB/T 25068.3-2022、 GB/T 31495. 2-2015界定的术语和定义适用于本文件。为了便于使用，以下更加明确了相 关术语和定义。 全国团体标准信息平台 全国团体标准信息平台 T/TSIA 00 4-2023 6 3.1 评价认定机构 网络安全评价认定机构，是指对网络安全第三方服务机构的服务能力和工程实施结果 进行评价认定，对上线运行的业务和应用系统进行安全评价认定的机构。评价认定机构可 以选择国家或地方认可的相关行业管理认定机构，如中国检验认证集团、中国信息安全测 评中心以及中国网络安全审查技术与认证中心等。 3.2 网络安全第三方服务机构 网络安全第三方服务机构，是指负责对上线运行的业务和应用系统进 行网络安全评 估，以及从事相关的网络安全服务工作（如 ：网络安全检测监测工作、网络安全应急响应 工作、网络安全运维工作、网络安全工程实施工作等）的机构。 3.3 威胁感知能力 威胁感知能力，是指在一定程度上可以洞悉基于网络整体环境的安全风险能力，能够 做到对网络威胁进行检测分析