收藏
下载资源

《移动智能终端应用软件个人信息安全评价规范》编制说明

上传人:木92****502 文档编号:121318188 上传时间:2020-02-21 格式:DOC 页数:7 大小:63.50KB
返回 下载 相关 举报
《移动智能终端应用软件个人信息安全评价规范》编制说明_第1页
第1页 / 共7页
《移动智能终端应用软件个人信息安全评价规范》编制说明_第2页
第2页 / 共7页
《移动智能终端应用软件个人信息安全评价规范》编制说明_第3页
第3页 / 共7页
《移动智能终端应用软件个人信息安全评价规范》编制说明_第4页
第4页 / 共7页
《移动智能终端应用软件个人信息安全评价规范》编制说明_第5页
第5页 / 共7页
点击查看更多>>
资源描述

《《移动智能终端应用软件个人信息安全评价规范》编制说明》由会员分享,可在线阅读,更多相关《《移动智能终端应用软件个人信息安全评价规范》编制说明(7页珍藏版)》请在金锄头文库上搜索。

1、附件7:认证认可行业标准草案编制说明(参考格式)1、基本信息1.1 标准草案名称中文移动智能终端应用软件个人信息安全评价规范英文Personal information security evaluation specification for application software of smart mobile terminals1.2 与国际标准和国外先进标准一致性程度情况等同采用修改采用非等效采用R未采用标准编号/英文名称/中文名称/1.3 任务来源批准立项的文件名称和文件号国家认监委关于下达2016年第一批认证认可行业标准制定计划项目的通知计划编号2016RB0481.4制(修)订

2、制定 修订(被修订标准名称及编号: )1.5 起止时间2016年7月8日- 2019年 11月30日1.6 标准起草单位中国网络安全审查技术与认证中心、上海市信息测评认证中心、北京软件产品质量检测检验中心、信息产业信息安全测评中心、中国信息通信研究院、公安部第一研究所。1.7 起草组成员许静慧、辛建峰、张晓梅、严妍、王威、顾敏、任凤丽、王艳红、冀乃杰、高志新、韩煜1.8标准体系表内编号1.9调整情况1、 原定项目截止时间为2018年4月,申请项目延期至2019年11月完成;2、 调整标准的框架和主要研究内容;3、 调整项目名称为移动智能终端应用软件个人信息安全评价要求。2、背景情况2.1 目的

3、、意义(工作开展背景及要求)随着移动互联网技术飞速发展,移动智能终端设备上应用软件(简称“App”)功能越来越强大,尤其近几年来App的数量呈指数级增长。移动智能终端正逐渐由影响我们的生活开始走进我们的工作当中。App为广大用户提供便捷生活、高效办公等福利的同时,也给各界(包括用户、App运营者、主管/监管部门等)在个人信息保护、数据安全治理等方面带来极大的挑战。2016年我国发布的网络安全法41条明确要加强对个人信息保护。此外最新发布的数据安全管理办法(征求意见稿)中提出数据收集、数据处理和使用、数据安全监督管理等安全管理要求,第二十九条还明确要求:“国家鼓励网络运营者自愿通过数据安全认证和

4、应用程序安全认证,鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的应用程序。”2018年中央网信办和国家市场监督管理总局某重点任务中,明确要求开展数据安全管理认证制度研究,制定大众化应用程序(App)安全规范,开展大众化应用程序(App)安全认证。因此,开展移动智能终端应用软件个人信息安全评价研究就显得尤为迫切,制定移动智能终端应用软件个人信息安全评价规范不仅可为检测机构和认证机构对App个人信息安全的检测、评估和认证工作提供合理依据,以满足推进移动智能终端应用软件个人信息安全认证业务的发展需要,同时可为App开发运营机构对产品的设计、实现与管理提供指导,以提升App个人信息保护和企业数据

5、安全管理水平具有重要的意义。另外,今年来多个国家部门纷纷启动与个人信息安全相关的治理工作,如中央网信办、工信部、公安部、市场监管总局四部门联合发布关于开展App违法违规收集使用个人信息专项治理的公告、工信部关于开展App侵害用户权益专项整治工作的通知等。市场上各种与App相关的认证也不断涌现出来,因此,必须尽快地建立一套移动智能终端应用软件个人信息安全评价标准,来规范App个人信息相关评价和认证,为App及其运营者能够提供更安全的个人信息保护服务奠定更坚实的基础。2.2 与国内外相关标准、文献的关系美国标准组织NIAP和NIST发布了若干移动设备安全标准规范,包括移动设备基础保护轮廓、移动设备

6、管理保护轮廓、企业移动设备安全管理指南等,提出了针对移动设备的安全管理措施。在个人信息安全方面,美国以隐私权法、电子通信隐私法等基础性和行业性法律为依据,同时针对某个行业或某一部分特定人群制定了专门的法律,如电子通信隐私法儿童在线隐私保护法等,这些法规对包括移动智能设备在内的信息产品收集、存储、使用用户信息进行了规定,防止用户信息泄露和被滥用。欧洲议会通过的通用数据保护条例(简称GDPR)明确了“遗忘权”、“数据可携权”等用户权利。另外,韩国、澳大利亚也纷纷修订原有个人信息保护的法律法规,这些法规同样适用于移动设备上用户信息的监管。目前国内发布实施了若干移动设备安全标准规范,包括GB/T 34

7、975-2017 信息安全技术 移动智能终端应用软件安全技术要求与测试评价方法、GB/T 34978-2017信息安全技术移动智能终端个人信息保护技术要求、YD/T 2407-2013 移动智能终端安全能力技术要求和YD/T 2408-2013 移动智能终端安全能力测试方法等,为移动智能终端设备或应用软件的安全管理和测评提供依据。在个人信息安全方面,我国相继出台了网络安全法、数据安全管理办法、儿童个人信息网络保护规定和个人信息出境安全评估办法等法律法规,此外国内与个人信息安全相关的标准包括GB/Z 28828-2012 信息安全技术 公共及商用服务信息系统个人信息保护指南、GB/T 35273

8、-2017信息安全技术 个人信息安全规范和GB/T 34978-2017信息安全技术 移动智能终端个人信息保护技术要求等。因此,纵观国内外尚未发现有关于移动智能终端应用软件个人信息安全评价规范的标准已发布。3 编制过程3.1 分工情况项目(标准)承担单位:中国网络安全审查技术与认证中心。其他参与单位:上海市信息测评认证中心、北京软件产品质量检测检验中心、信息产业信息安全测评中心、中国信息通信研究院、公安部第一研究所、北京邮电大学移动互联网安全技术国家工程实验室、中国科学院软件研究所。本标准共分为7个章节,各部分内容及分工如下:13范围、规范性引用文件、术语定义和缩略语,由中国网络安全审查技术与

9、认证中心编制。4、符合性:由北京软件产品质量检测检验中心负责编制。56、评价过程、评价要求:由中国网络安全审查技术与认证中心负责编制。7、评价方法:7.1个人信息的收集由公安部第一研究所负责编制;7.2个人信息的保存和7.6安全事件处理由中国信息通信研究院负责编制;7.3个人信息的使用由信息产业信息安全测评中心负责编制;7.4个人信息的委托处理、共享、转让、公开披露由北京软件产品质量检测检验中心负责编制;7.5组织的安全管理由上海市信息测评认证中心负责编制。3.2起草阶段2016年7月-2018年4月研究移动智能终端应用软件有关规范,结合相关课题研究,形成移动智能终端应用程序安全评价要求组内讨

10、论稿。2018年5月-2018年8月结合产品调研情况,修订移动终端双系统产品安全评价规范组内讨论稿,形成移动智能终端应用程序安全评价要求征求意见稿。2018年9月-2018年11月随着国标GB/T 34975-2017的正式发布与实施,标准编制组讨论决定调整研究方向和主要内容,并向主管部门提交认证认可行业标准项目调整申请表。2018年12月-2019年6月调整后研究重点集中到个人信息保护方面,并结合App安全认证试点工作的实际经验,形成了移动智能终端应用软件个人信息安全评价规范组内讨论稿。2019年7月-2019年8月结合App安全认证试点工作的评价实践和产品调研情况,修订移动智能终端应用软件

11、个人信息安全评价规范组内讨论稿,形成征求意见稿。2019年9月-2019年10月对移动智能终端应用软件个人信息安全评价规范(征求意见稿)向相关检测机构、技术专家、企业等以函件和会议形式征求意见。3.3征求意见阶段2019年910月,以邮件形式向相关第三方检测机构、技术专家、企业征求意见,并以会议形式向项目组及相关机构、专家征求意见,达成一致。3.4标准审定阶段4 主要技术内容的确定1、研究内容本项目研究内容包括:1)通过分析国内外个人信息保护相关法律法规及标准规范,确定评价要求内容;2)结合移动智能终端应用软件的特征,确定评价流程和评价方法;3)基于 GB/T 35273信息安全技术 个人信息

12、安全规范要求,研究制定相应的评价方法,并建立相关评价准则;4)结合App安全认证试点经验,及相应测试评价方法的研究结果,形成标准草案;5)根据标准验证应用结果、专家评审意见,修订标准草案,包括:在检测认证活动中验证应用标准,组织专家对标准草案及验证应用情况进行评审,遵循保证标准科学性、可操作性、一定前瞻性等原则,对标准草案进行修订。2、技术方案本项目拟采取的技术路线如下:1)广泛调研国内外个人信息保护问题现状,深入分析移动智能终端个人信息安全认证的实际需求;2)从个人信息生命各周期角度出发,分析研究个人信息保护的重点问题,并确定以现有标准GB/T 35273条款为评价要求,开展评价流程、评价方

13、法及判断准则的细化及落地研究;3)根据识别的安全环境和威胁,标识技术和管理“安全目标”;4)依据安全目标,从GB/T 18336-2015信息技术 安全技术 信息技术安全评估准则第二部分中选取相应的安全功能要求组件,研究制定相应的检测和评价方法,并增加标识产品的功能要求,及相应测试评价方法;5)根据应满足的App技术要求和App运营者应符合的管理要求,将移动智能终端应用软件个人信息安全评价工作划分为技术验证环节和现场审核环节,其中技术验证环节涵盖个人信息收集、使用、保存及对外提供、共享、转让及公开披露的内容,现场审核涉及组织的安全管理和安全事件处理,并进一步规定了相关评估方法和评价准则;6)制

14、定移动智能终端应用软件个人信息安全评价规范草案;7)在检测、认证活动中验证移动智能终端应用软件个人信息安全评价规范草案,并根据需要进行标准草案修订。5 验证情况(适用于方法类标准)5.1 验证单位情况验证单位验证人员验证时间5.2 验证、试行过程5.3 验证数据分析5.4 验证、试行评价5.5 其他应说明的情况无6 附加说明(可选项)6.1 宣贯标准的建议6.2 修订和废除现行有关标准的建议6.3重大分歧意见的处理经过和依据6.4 其他需要说明的情况6.5 参考文献1GB/T 35273 信息安全技术 个人信息安全规范(征求意见稿)联系人联系电话电子邮箱注1:本格式的通用部分为第1章、第2章、第4章和第6章。注2:3.4适用于标准草案送审稿,3.5适用于标准草案报批稿,3.6中“预期的管理目标”适用于规程类标准,3.6中“技术指标”适用于方法类标准,第5章适用于方法类标准编制说明的编写。注3:3.1和第6章为可选项,其余为必填项。编写日期: 年 月 日

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 国内外标准规范

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号