一、本制度适用于泰兴市政府网站，对互联网新技术新业务安全评估的工作要求、组织流程、评估内容和方法进行了描述和规范，本制度涉及的互联网不包括专用网，仅指公众互联网（含移动互联网）。本制度适用于在通信行业中组织开展的互联网新技术新业务安全评估工作。

二、网站的互联网新技术新业务安全评估（以下简称“安全评估”）是指运用科学的方法和手段，系统地识别和分析互联网技术、业务、应用可能引发的信息安全风险。评估信息安全事件一旦发生可能造成的危害程度，评估我们配套的信息安全保障能力是否能够将风险控制在可接受的水平，提出有针对性的预防信息安全事件发生的管理对策和安全措施，为最大限度地保障互联网技术、业务、应用的信息安全提供科学依据。互联网新技术新业务安全评估的目标是为了进一步加强对互联网技术、业务、应用的管理，帮助我们提早防范潜在安全风险，提早部署安全保障措施，促进互联网创新健康发展。

三、网站的互联网新技术新业务安全评估应与安全管理工作紧密结合，始终围绕违法信息监测发现、定位处置、追踪溯源等关键监管环节开展安全评估工作，主要涉及业务安全风险评估和企业安全保障能力评估两个流程。安全评估实施过程中，应首先完成业务安全风险评估，识别业务潜在信息安全风险，再基于风险识别的结果完成安全保障能力评估。业务安全风险评估是评估互联网技术、业务、应用（以下简称“业务”）的功能、属性、特点、技术实现方式、市场发展情况、（潜在）用户规模等关键要素对安全管理工作的威胁和挑战.分析、识别信息安全风险。

四、网站安全保障能力评估是评估企业信息安全管理措施和技术保障手段能否将信息安全风险控制在可接受范围内，从安全管理机构、安全管理制度、技术保障手段建设情况等多个方面，评估我们的信息安全保障工作水平。评估人员可以根据被评估业务的具体情况，识别业务是否存在相应的信息安全风险。此外，还应视具体情况，识别业务是否存在特殊的信息安全风险，本制度将依据互联网技术、业务、应用的发展情况、安全评估工作范围的延展，适时修订、增加评估模块。

五、业务应用安全层以业务实现功能、使用情况为基本出发点。以业务系统中传输的公共信息内容为核心评估点，评估模块包括用户、信息内容、信息载体、信息生成、信息传播、信息接收、信息留存。

1.用户。主要关注用户规模、用户类型、用户相关性、用户身份信息真实性等。①用户规模主要关注使用业务的用户数量。数量越庞大，发生信息安全审件造成的影响范围越大，信息安全风险越商：②用户类型主要关注使用业务的用户属性特点，包括年龄分布、地域分布等。③用户相关性反映了用户之间联系的紧密程度，若用户间紧密关系被用于传播违法信息，则信息的流通性、可信赖性、关注程度将提高，信息安全风险将有所増加。④用户身份信息真实性关注的是用户使用业务时是否提供了真实身份信息或有助于识别真实身份的相关信息，如果未提供上述信息，将影响我们配合完成事后溯源工作的开展。

2.信息内容。信息内容主要关注公共信息内容的可审核性、多样性和相关性。①信息内容可审核性是指违法信息的识别处置能力。综合考虑审核范围是否覆盖全部业务功能模块和信息载体，识别力度、处置范围、时效性是否满足相关法律法规要求：若无法有效进行对公共信息内容的监测处置则存在生产及传播违法信息的信息安全风险。②信息内容多样性主要指信息内容围绕的主题类别数量，微博客类业务的信息内容多元化。主题类别繁杂，数量庞大，从多元信息中识别处置违法信息的难度更大。③信息内容相关性反映信息之间联系是否紧密。若内容大多围绕一个或几个相近主题.那么如果主流主题中包含违法信息，则违法信息可能在相关主题中大范围和快速传播。

3.信息载体。信息载体包括信息呈现方式、语言类型。①信息呈现的方式包括简单文本、文本、图片、音视频、二维码等文件、流媒体等。考虑到对图片、音频、视频等文件及流媒体的内容识别技术尚不能完全满足相关法律法规要求，此类信息载体存在含有、传播违法信息的信息安全风险。②语言类型主要包括中文、英文及其他小语种等。考虑到小语种语言的内容识别技术不成熟，此类信息载体存在含有、传播违法信息的安全风险。

4.信息生成。信息生成主要关注信息产生方式。如果业务系统中生成的信息不含业务运营企业控制，例如用户生成信息（UGC）、第三方合作者提供信息等，则信息来源不唯一，对违法信息进行处置的工作难度将大幅增长。

5.信息传播。信息传播主要关注信息流动方向、信息传播方式、通信媒介、信息传递实时性等。①信息传播方式包括了点对点、点对多点（如公众平台）、多点对多点（如群组聊天）、以及病毒裂变式传播（如微博客）等，点对多点、多点对多点、病毒裂变式等传播方式扩大了单位时间内信息的传播范围，存在传播违法信息的信息安全风险。②通信媒介主要考虑网络类型、支持平台类型等。若业务具备跨平台、跨网络（例如IPTV业务中涉及有线电视网和电信网之间的传输切换）的信息流动能力，将导致信息传播链条复杂、多维，提高信息传播速度，增加违法信息快速识别和处置的工作难度。③信息传递实时性，关注信息接收端用户能否实时读取信息。实时通信提高了信息读取概率，提高了信息传播速度，存在传播违法信息的信息安全风险。

6.信息接收。信息接收环节主要关注信息收取方式等。信息收取方式主要包括信息主动推送、用户主动获取等方式，信息的主动推送提高了信息读取概率，间接提高了信息传播速度，扩大了信息传播范围，存在传播违法信息的信息安全风险。

7.信息留存。信息留存关注的是业务系统中传输的公共信息内容和用户使用业务行为的日志记录，如果我们未按相关法律法规要求保留日志信息，都会直接影响我们配合完成审后溯源、取证工作的开展。

六、网站需按照通信行业安全管理要求明确相关的安全责任人。成立专职安全部门，建立落实相应安全管理制度，配备与业务规模相匹配的专职安全工作人员及7×24h应急联系人，积极开展自评估工作，及时将自评估报告向行业主管部门进行报备。