收藏
下载资源

《移动智能终端应用软件个人信息安全评价规范》

上传人:木92****502 文档编号:121318026 上传时间:2020-02-21 格式:DOC 页数:40 大小:419.99KB
返回 下载 相关 举报
《移动智能终端应用软件个人信息安全评价规范》_第1页
第1页 / 共40页
《移动智能终端应用软件个人信息安全评价规范》_第2页
第2页 / 共40页
《移动智能终端应用软件个人信息安全评价规范》_第3页
第3页 / 共40页
《移动智能终端应用软件个人信息安全评价规范》_第4页
第4页 / 共40页
《移动智能终端应用软件个人信息安全评价规范》_第5页
第5页 / 共40页
点击查看更多>>
资源描述

《《移动智能终端应用软件个人信息安全评价规范》》由会员分享,可在线阅读,更多相关《《移动智能终端应用软件个人信息安全评价规范》(40页珍藏版)》请在金锄头文库上搜索。

1、ICS03.120.20A00RB中华人民共和国认证认可行业标准RB/T XXXXXXXXX移动智能终端应用软件个人信息安全评价规范Personal information security evaluation specification for application software of smart mobile terminals点击此处添加与国际标准一致性程度的标识(本稿完成日期:2019-10-28)XXXX - XX - XX发布XXXX - XX - XX实施中国国家认证认可监督管理委员会发布RB/T XXXXXXXXX目 次前 言II1 范围12 规范性引用文件13 术语、

2、定义和缩略语13.1 术语和定义13.2 缩略语24 符合性35 评价过程35.1 概述35.2 评价主要环节35.3 评价结果判定46 评价要求47 评价方法57.1 个人信息的收集57.2 个人信息的保存97.3 个人信息的使用117.4 个人信息的委托处理、共享、转让、公开披露197.5 个人信息安全事件处置267.6 组织的管理要求28前 言本标准按照GB/T 1.1-2009给出的规则起草。本标准由国家认证认可监督管理委员会提出并归口。本标准起草单位:中国网络安全审查技术与认证中心、上海市信息测评认证中心、北京软件产品质量检测检验中心、信息产业信息安全测评中心、中国信息通信研究院、公

3、安部第一研究所、北京邮电大学移动互联网安全技术国家工程实验室、中国科学院软件研究所。本标准主要起草人:。IRB/T XXXXXXXXX移动智能终端应用软件个人信息安全评价规范1 范围本标准规定了移动智能终端应用软件在个人信息收集、保存、使用、对外提供、安全事件处理、组织管理六个方面的评价过程、评价要求及评价方法。本标准适用于第三方检测机构和认证机构对移动智能终端应用软件个人信息安全进行检测、评估和认证,也可在移动智能终端应用软件的设计与实现中参考使用。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包

4、括所有的修改单)适用于本文件。GB/T 35273 信息安全技术 个人信息安全规范3 术语、定义和缩略语3.1 术语和定义GB/T 35273中界定的以及下列术语和定义适用于本文件。3.1.1移动智能终端应用软件 application software of smart mobile terminals针对移动智能终端开发的应用软件,包括移动智能终端预置的第三方应用软件,以及互联网服务提供者提供的通过网站、应用商店等移动应用分发平台下载、安装和升级的应用软件。又称移动互联网应用程序,以下简称App。注:不包括免下载安装的轻应用、小程序及公众号等。3.1.2运营机构 operating org

5、anization通过App向用户提供信息服务的网络运营者。注:承担移动智能终端应用软件运营的法律主体。3.1.3技术验证 technical verification专业技术人员采用实验室测试和文档核查等方法进行符合性验证的过程。3.1.4技术验证机构 technical verification organization从事技术验证的机构。3.1.5认证机构 certification organization指具有可靠的执行认证制度的必要能力,并在认证过程中能够客观、公正、独立地从事认证活动的机构。3.1.6文档审核 document review指认证机构对申请方提交的资料和文档,根据

6、相关要求进行审核。3.1.7现场审核 on-site review指认证机构在申请方现场,对其提交的资料和文档,根据评价规范进行审核。 认证机构通过对申请方进行现场实地考察,验证制度、程序文件和作业指导书等一系列文件的实际执行情况,从而来评价其管理的有效性。3.1.8个人信息personal information以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的信息。GB/T 35273,定义3.13.1.9个人敏感信息personal sensitive information一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身

7、心健康受到损害或歧视性待遇等的个人信息。GB/T 35273,定义3.23.1.10个人信息主体personal information subject个人信息所标识的自然人。GB/T 35273,定义3.33.1.11个人信息控制者personal information controller有权决定个人信息处理目的、方式等的组织或个人。GB/T 35273,定义3.43.2 缩略语下列缩略语适用于本文件。App Application software of smart mobile terminals 移动智能终端应用软件SDK Software Development Kit 软件开发

8、工具包4 符合性技术验证机构对移动智能终端应用软件个人信息安全的生命周期相关评价项进行技术验证并出具报告,应遵循本标准7.1至7.4的要求;认证机构安排专业的审核员进行现场审核并出具现场审核报告,应循本标准7.5和7.6的要求。5 评价过程5.1 概述评价过程流程图如图1所示:图1 认证评价流程图具体描述为如下三阶段:首先,认证机构在接收到认证申请资料并经初步审核通过后安排技术验证机构开展技术验证环节;然后,认证机构收到技术验证报告并审查合格后,在规定时间内组织进行现场审核;最后,认证机构对文档审核、技术验证、现场审核结果进行综合评价,评价合格后向申请方颁发认证证书。5.2 评价主要环节5.2

9、.1 文档审核运营机构应将相关证明性文件一并提交至认证机构,提交的申请材料应能够证明当前业务情况满足或符合认证相关安全要求。包括但不限于:a) 认证申请书;b) 认证申请方资质证明;c) 认证授权书;d) 认证申请方承诺;e) 相关管理制度;f) 自评价报告等其他可证明标准符合性文件。认证机构对运营机构提交的资料和文档进行初步审核,确认文档是否完备。5.2.2 技术验证技术验证机构应依据本标准7.1和7.4的要求对运营机构委托认证的App进行技术验证。技术验证通过后,应向运营机构出具经签字并盖章的技术验证报告,并向认证机构提供技术验证结果。技术验证报告应包括以下内容:a) App名称、版本及运

10、行环境;b) App运营机构、开发机构及相关联系人信息;c) 技术验证工具及环境说明;d) 技术验证机构名称、测试人员、时间、地点;e) 技术验证内容、方法及依据;f) 技术验证结论。5.2.3 现场审核认证机构指派专业的审核员对运营机构提交的管理文件进行审核,包括但不限于以下文件:a) App管理制度,至少包括:个人信息安全事件应急处置、人员管理及培训、安全审计、日志定期审核制度等方面内容;b) 个人信息处理活动相关记录或报告,包括个人信息安全工程、个人信息处理活动记录、个人信息安全影响评估、数据安全能力等。此外认证机构应对App运营环境和关键场所进行审核,审核内容包括但不限于:a) 文件审

11、核中发现的需核实的问题;b) 管理制度落实情况;c) App一致性检查。5.3 评价结果判定文档审核、技术验证、现场审核的所有评价项目均通过,总体结果判定为通过。6 评价要求移动智能终端应用软件及其运营机构应符合GB/T 35273第5、6、7、8、9、10章节中对个人信息相关生命周期的规范要求,其中包括个人信息的收集要求、个人信息的保存要求、个人信息的使用要求、个人信息的对外提供(即委托处理、共享、转让、公开披露)要求、个人信息安全事件处置及组织的管理要求。7 评价方法7.1 个人信息的收集7.1.1 收集个人信息的合法性7.1.1.1 评价单元(A1-TEC-01)该评价单元包括以下要求:

12、a) 评价要求:GB/T 35273 5.1 a)b) 评价方法:1) 检查个人信息控制者是否存在以不正当方式收集个人信息的情况;2) 检查个人信息控制者是否具备完善的管理制度明确要求App不以欺诈、诱骗、误导的方式收集个人信息。c) 判定准则:如果1)和2)均为符合,则符合本评价单元指标要求;否则不符合本评价单元指标要求。7.1.1.2 评价单元(A1-TEC-02)该评价单元包括以下要求:a) 评价要求:GB/T 35273 5.1 b)b) 评价方法:1) 测试App是否存在隐瞒收集个人信息的功能;2) 测试App是否存在业务功能隐瞒收集个人信息的行为。c) 判定准则:如果1)和2)均为

13、符合,则符合本评价单元指标要求;否则不符合本评价单元指标要求。7.1.1.3 评价单元(A1-TEC-03)该评价单元包括以下要求:a) 评价要求:GB/T 35273 5.1 c)b) 评价方法:检查个人信息控制者是否从非法渠道间接获取(共享、转让及公开搜索等方式)个人信息。c) 判定准则:满足该条评价方法,则符合本评价单元指标要求;否则不符合本评价单元指标要求。7.1.1.4 评价单元(A1-TEC-04)该评价单元包括以下要求:a) 评价要求:GB/T 35273 5.1 d)b) 评价方法:检查个人信息控制者是否收集法律法规明令禁止收集的个人信息。c) 判定准则:满足该条评价方法,则符

14、合本评价单元指标要求;否则不符合本评价单元指标要求。7.1.2 收集个人信息的最小必要7.1.2.1 评价单元(A2-TEC-05)该评价单元包括以下要求:a) 评价要求:GB/T 35273 5.2 a)b) 评价方法:测试App是否存在收集与业务功能无关的个人信息。c) 判定准则:满足该条评价方法,则符合本评价单元指标要求;否则不符合本评价单元指标要求。7.1.2.2 评价单元(A2-TEC-06)该评价单元包括以下要求:a) 评价要求:GB/T 35273 5.2 b)b) 评价方法:测试App自动采集个人信息的频率是否合理。c) 判定准则:满足该条评价方法,则符合本评价单元指标要求;否则不符合本评价单元指标要求。7.1.2.3 评价单元(A2-TEC-07)该评价单元包括以下要求:a) 评价要求:GB/T 35273 5.2 c)b) 评价方法:询问并验证个人信息控制者间接获取个人信息的数量是否为实现产品或服务的业务功能所必需的最少数量。c) 判定准则:满足该条评价方法,则符合本评价单元指标要求;否则不符合本评价单元指标要求。7.1.3 不强迫接受多项业务功能7.1.3.1 评价单元(A3-TEC-08)该评价单元包括以下要求:a) 评价要求:GB/T 35273 5.3 a)b) 评价方法:

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 国内外标准规范

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号