¿Cómo escribir el "Informe de evaluación de seguridad" para una aplicación de lectura obligada para desarrolladores? Adjunto un ejemplo de relleno
Nombre del servicio: nombre de la APLICACIÓN (es más seguro escribir el nombre en el software).
Tipo de servicio, seleccione "APP"
Dirección de acceso/descarga); : Enlaces de aplicaciones en Baobao (u otros mercados principales);
Situación de evaluación: según la situación de su propia aplicación, elija uno o todos Método de evaluación: puede elegir "autoevaluación". Para una evaluación tripartita, seleccione "Evaluación de terceros";
El responsable de la entidad del establecimiento y la unidad de evaluación: Para la autoevaluación, se recomienda que el responsable del establecimiento entidad escriba la persona jurídica, y la unidad de evaluación puede escribirse a sí misma (u otro personal de evaluación) O persona jurídica, para ser más prudente, puede escribir persona jurídica y agregar 2 sellos oficiales para la evaluación de terceros, escriba: Para terceros; evaluación de parte, escriba el nombre del tercero y del evaluador. No está claro si se requiere un sello.
Después de completar la información básica, haga clic en Siguiente.
4. Completar la información principal
Las 7 preguntas de la información principal tienen cierto grado de profesionalismo. Muchos desarrolladores no saben cómo completarlas. Un ejemplo de completarlos se proporciona al final de este artículo. Puede consultar el ejemplo para completar el formulario.
Siete ejemplos de respuestas del "Informe de evaluación de seguridad"
(1) El establecimiento de líderes de gestión de seguridad, revisores de información y organizaciones de gestión de seguridad.
La empresa cuenta con un departamento de revisión editorial, un departamento de gestión de operaciones y un departamento de gestión de operación y mantenimiento; el departamento de revisión editorial revisará el contenido de las noticias diarias; el departamento de gestión de operación y mantenimiento Responsable de la retención de registros, interceptación de contenidos, etc.
(2) Medidas de verificación de la identidad real del usuario y retención de la información de registro.
Cuando los usuarios se registran, necesitan usar sus números de teléfono móvil para registrarse. Podemos verificar su información de identidad en función de sus números de teléfono móvil y, al mismo tiempo, verificar la información de identidad del usuario, la dirección IP del terminal, modelo de terminal y dirección MAC a través del equipo de retención de registros está efectivamente vinculado a la cuenta utilizada para acceder a Internet y corresponde a la tabla de datos correspondiente.
(3) Información de registro como cuenta de usuario, tiempo de operación, tipo de operación, dirección de origen y dirección de destino de la red, puerto de origen de la red, características del hardware del cliente
y versiones del usuario Registro de información medidas de retención.
La cuenta de usuario, el tiempo de operación, el tipo de operación, la dirección de origen y la dirección de destino de la red, el puerto de origen de la red, las características del hardware del cliente y otra información de registro se registran a través del dispositivo de retención de registros al mismo tiempo; el dispositivo de retención proporciona servicios de aplicación basados en el tiempo. La función de consulta utiliza el tipo, la dirección IP, el puerto y el número de cuenta como condiciones de consulta; puede utilizar el módulo de consulta del dispositivo de retención de registros para encontrar el terminal correspondiente y su usuario;
(4) Uso ilegal de cuentas de usuario y nombres de grupos de comunicación, apodos, presentaciones, notas, logotipos, divulgación de información, reenvío, comentarios y grupos de comunicación y otras funciones de servicio
Manejo preventivo de información dañina y medidas relacionadas de conservación de registros.
El dispositivo de retención de registros registrará las operaciones de modificación y eliminación de los datos de copia de seguridad de registros del administrador del sistema y también registrará todos los registros de acceso a servidores importantes;
1. Capaz de establecer palabras clave, enlaces, etc.;
2. Proporcionar función de notificación de interceptación para interceptar URL y publicaciones específicas, notificar por correo electrónico, etc.;
3. Información del terminal utilizado Información relacionada e información sobre el comportamiento en línea.
(5) Medidas técnicas para proteger la información personal y prevenir la difusión de información ilegal y nociva y el riesgo de funciones de movilización social fuera de control.
1. Proporciona una función de lista negra, que puede establecer palabras clave, enlaces, etc.;?
2. Proporciona una función de notificación de interceptación, que puede interceptar URL y publicaciones específicas, notificar mediante correo electrónico, etc.;
3. Capaz de registrar información relacionada con el terminal utilizado e información sobre el comportamiento en línea
4. Almacenamiento cifrado en 3D de información personal, bases de datos y servidores de almacenamiento, y verificación de contraseña cada mes reemplazar. Establezca un sistema de quejas y denuncias, publique información como quejas y métodos de denuncia, y acepte y maneje rápidamente las quejas y denuncias relevantes
.
(6)
Proporcione un sitio web y un mecanismo de publicación de informes. Una vez realizado el informe, se enviará un mensaje al personal de operación que lo aceptará de manera oportuna; manera y verificar si el contenido reportado es legal y cumple;
(7) El establecimiento de un mecanismo de trabajo para brindar soporte y asistencia técnica y de datos a las autoridades reguladoras y autoridades encargadas de hacer cumplir la ley para desempeñar sus funciones de acuerdo con la ley.
El dispositivo de retención de registros proporcionará registros de 100 días de registros de sesión de la aplicación y registros de sesión del sistema;
La información de identidad verdadera del usuario se puede rastrear en función de la cuenta de usuario, el dispositivo terminal, y dirección IP;
Poder interceptar o eliminar el contenido a interceptar a través del fondo de operación de manera oportuna
;