安全评估报告

APP或者小程序上架时会遇到被要求上传《安全评估报告》或《安全评估报告副本》，这里的安全评估报告指的是在全国互联网安全管理服务平台需要提交的信息安全报告。

2018年根据国家网信办发布的《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》，各大应用市场响应号召需要开发者提供《安全评估报告》，没有提供该项材料的开发者可能面临着应用被下架或者限制外显等惩罚。

依据《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》，须提交安全报告的适用情形及要求如下：

第二条 具有舆论属性或社会动员能力的互联网信息服务包括的情形：

（一）开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或附设相应功能；

（二） 开办提供公众舆论表达渠道或者有发动社会公众从事特定活动能力的其他互联网信息服务。

第三条 具有情形之一的，应当开展安全评估，并对评估结果负责：

（一）具有舆论属性或社会动员能力的信息服务上线，或者信息服务增设相关功能的；

（二）使用新技术新应用，使信息服务的功能属性、技术实现方式、基础资源配置等发生重大变更，导致舆论属性或社会动员能力发生重大变化的；

（三）用户规模显著增加，导致信息服务的舆论属性或者社会动员能力发生重大变化的；

（四）发生违法有害信息传播扩散，表明已有安全措施难以有效防控网络安全风险的；

（五）地市级以上网信部门或公安机关书面通知需要进行安全评估的其他情形。

第五条 开展安全评估，应当对信息服务和新技术新应用的合法性，落实法律、行政法规、部门规章和标准规定的安全措施的有效性，防控安全风险的有效性等情况进行全面评估，并重点评估下列内容：

（一）确定与所提供服务相适应的安全管理负责人、信息审核人员或者建立安全管理机构的情况；

（二）用户真实身份核验及注册信息留存措施；

（三）对用户账号、操作时间、操作类型、网络源地址和目标地址、网络源端口、客户端硬件特征等日志信息，以及用户发布信息记录的留存措施；

（四）对用户账号和通讯群组名称、昵称、简介、备注、标识，信息发布、转发、评论和通讯群组等服务功能中违法有害信息的防范处置和有关记录保存措施；

（五）个人信息保护以及防范违法有害信息传播扩散、社会动员功能失控风险的技术措施；

（六）建立投诉、举报制度，公布投诉、举报方式等信息，及时受理并处理有关投诉和举报的情况；

（七）建立为网信部门依法履行互联网信息服务监督管理职责提供技术、数据支持和协助的工作机制的情况；

（八） 建立为公安机关、国家安全机关依法维护国家安全和查处违法犯罪提供技术、数据支持和协助的工作机制的情况。

我们来看下《安全评估报告》的详细申请流程。

申请平台

全国互联网安全管理服务平台

申请流程

注册成功后，新用户需要根据要求，先完善「主体信息」，主体资质审核很快，通过后会发系统通知，然后就可以接着进行了。

安全评估报告

①点击“提交安全报告”按钮，进入提交报告流程，步骤如下：

②在提交信息页面根据提示输入相关信息，“红色星号”为必填信息，信息填写完成后单击“下一步”按钮，进入“报告生成”页面。

③进入报告生成页面，点击“下载”按钮，下载报告文件，报告文件格式为PDF，点击“下一步”进入提交报告页面。

④在提交报告页面点击“选择文件”查找本地文件，再次点击“上传”按钮，页面会有上传成功提示信息，点击“完成”按钮，提交报告流程结束。

常见问题

1、安全管理负责人、信息审核人员及安全管理机构设立情况。

公司设有编辑审核部门、运营管理部门、运维管理部门；编辑审核部门将对每日的新闻内容进行审核；运营部门对用户的帖子内容进行审核；运维管理部门负责日志留存记录、内容拦截等工作。

2、用户真实身份核验及注册信息留存措施。

在用户注册时需要使用手机号注册，我们可以根据手机号对其身份信息进行核验，同时通过日志留存设备检查将该用户身份信息、终端IP地址、终端型号、MAC地址和上网所用账号进行有效绑定，并对应至相应数据表。

3、对用户账号、操作时间、操作类型、网络源地址和目标地址、网络源端口、客户端硬件特征等日志信息，以及用户发布信息记录的留存措施。

通过日志留存设备记录用户账号、操作时间、操作类型、网络源地址和目标地址、网络源端口、客户端硬件特征等日志信息；同时日志留存设备提供基于时间、应用服务类型、IP地址、端口、账号为查询条件的查询功能；可以通过日志留存设备的查询模块，查找所对应的终端以及其使用人。

4、对用户账号和通讯群组名称、昵称、简介、备注、标识，信息发布、转发、评论和通讯群组等服务功能中违法有害信息的防范处置和有关记录保存措施。

日志留存设备将对系统管理员日志备份数据的修改及删除操作进行记录，同时记录所有对重要服务器的访问记录；

①提供黑名单功能，能够设置关键词、链接等；

②提供拦截通知功能，对特定的网址和帖子进行拦截、邮件告知等；

③能够记录所使用终端的相关信息和上网行为有关信息。

5、个人信息保护以及防范违法有害信息传播扩散、社会动员功能失控风险的技术措施。

①提供黑名单功能，能够设置关键词、链接等；

②提供拦截通知功能，对特定的网址和帖子进行拦截、邮件告知等；

③能够记录所使用终端的相关信息和上网行为有关信息

④对个人信息进行3D加密存储，存储数据库以及服务器，每隔一个月进行密码更换。

6、建立投诉、举报制度，公布投诉、举报方式等信息，及时受理并处理有关投诉和举报的情况。

提供网址和帖子举报机制，举报后将推送消息给运营人员；运营人员会及时受理并排查举报内容是否合法合规。

7、建立为监管部门和执法部门依法履职提供技术、数据支持和协助的工作机制的情况。

①日志留存设备将提供应用会话记录和系统会话记录180天的记录；

②能够根据用户账号、终端设备、IP地址追溯用户真实身份信息；

③能够及时通过运营后台对所要拦截的内容进行拦截或者删除操作。