位置:编程技术网 > 区块链 > 正文 >

网信办发布安全评估公告 可对区块链信息开展风险自评

2019年08月19日 17:12来源:未知手机版

一句顶一万句,eoa,好听的男生网名

作者按:为落实《区块链信息服务管理规定》中提到的安全评估要求,网信办近日发布了一则说明性公告。公告乍看明确,但实践中如何具体执行仍...

作者按:为落实《区块链信息服务管理规定》中提到的安全评估要求,网信办近日发布了一则说明性公告。公告乍看明确,但实践中如何具体执行仍存有一些疑问。

2019年初,国家互联网信息办公室( 网信办 )在其发布的《区块链信息服务管理规定》( 《管理规定》 )中对区块链信息服务中涉及的安全评估问题作出了原则性要求。

根据《管理规定》,区块链信息服务提供者需要在其发生开发上线新产品、新应用、新功能等情形下,按照有关规定报国家和省、自治区、直辖市互联网信息办公室进行安全评估;如未按规定进行安全评估的,其所在地直辖市网信办有权要求其整改、给予处罚,甚至提交有权机构追究其刑事责任。

《管理规定》仅原则性规定了需要安全评估的情形及违法后果,但未明确安全评估所依据的具体规定及操作细则。2019年8月9日,网信办发布了《 区块链信息服务管理规定 涉安全评估条款说明的公告》( 《公告》 ),明确了网信办本身不组织安全评估,也未指定或授权任何单位或机构开展评估,而是由相关企业自行评估或者委托有资质的第三方测评机构进行评估。

根据《公告》的内容,笔者理解,网信办可能意在参照其与公安部于2018年11月15日联合发布的《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》( 《评估规定》 ,该规定适用于具有舆论属性或社会动员能力的互联网信息服务提供者,提供的信息服务是论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等或者附设相应功能等)的相关要求,落实《管理规定》所要求的安全评估工作,为区块链信息服务提供者开展安全评估提供操作指引。

但是,由于《公告》的说明较为简略,相关企业对如何理解和适用《公告》中提到的一些要求存有疑问,针对该等疑问,笔者试简要分析如下,仅供一般性参考。

1.第三方评估机构需要具备什么资质?

根据《公告》,区块链信息服务提供者可以委托具有相关资质的测评机构开展安全评估,也可以自行对区块链信息服务开展安全风险自评估。

在委托第三方进行安全评估的情形下,根据《公告》的说明,笔者理解,可受托开展安全评估的机构可能需为已获国家市场监管总局所属的中国国家认证认可监督管理委员会(CNCA)批准、中国合格评定国家认可委员会(CNAS)认可的测评机构,且该等机构可能需具备信息安全管理体系认证和信息技术服务管理体系认证的资质,而不得是其他单位或机构。

笔者注意到,目前市场上已有若干宣称可以开展区块链技术安全评估的机构,但其并非CNCA批准、CNAS认可的、具有信息安全管理和信息技术服务管理体系认证资质的测评机构。区块链信息服务提供者如拟委托第三方机构进行安全评估的,需注意测评机构的资质,委托有资质的评估机构进行安全评估。

2.安全评估需满足的相关要求是哪些要求?

安全评估的内容是什么?

根据《公告》,区块链信息服务提供者开展安全风险评估的,需根据《评估规定》的相关要求进行。但是《公告》未明确 相关要求 具体包括哪些要求。

全面评估

根据《评估规定》,互联网信息服务提供者开展安全评估,应当对信息服务和新技术新应用的合法性,落实法律、行政法规、部门规章和标准规定的安全措施的有效性,防控安全风险的有效性等情况进行:

(1)确定与所提供服务相适应的安全管理负责人、信息审核人员或者建立安全管理机构的情况;

(2)用户真实身份核验以及注册信息留存措施;

(3)对用户的账号、操作时间、操作类型、网络源地址和目标地址、网络源端口、客户端硬件特征等日志信息,以及用户发布信息记录的留存措施;

本文地址:http://www.reviewcode.cn/qukuailian/67897.html 转载请注明出处!

今日热点资讯