信息安全技术移动应用网络安全评价规范-编制说明.doc
7页
《信息安全技术移动应用网络安全评价规范》编制说明1工作简况1.1任务来源随着移动应用的快速发展,因我国尚未建立起有效、完备的移动 应用安全检测评价体系,存在检测评价体系不统一、检测评价的内容 不完备、检测评价流程待完善等安全问题故此, 2015年7月国家 信息技术安全研究中心开始着手制定《信息安全技术 移动应用网络安全评价规范》标准,以此来规范移动应用网络安全评价要求、规范 移动应用网络安全评价结果、提示各类移动应用存在的风险以及提供 对移动应用进行网络安全评价的参考流程和方法1.2协作单位《信息安全技术 移动应用网络安全评价规范》标准任务下达后, 国家信息技术安全研究中心立即与移动应用安全厂商和相关研究机 构进行联系与沟通,最后确定由中国信息通信研究院泰尔实验室、 北京洋浦伟业科技发展有限公司、深圳开源互联网安全技术有限公司等 单位作为标准编制协作单位1.3主要工作过程 1.3.1成立编制组2015年接到标编制任务后,立即组建标准编制组,开始标准草案的起草工作编制项目组主要成员:李京春、李冰、万仁忠、王宏、 李健、李蒙、纪崇廉、于园园、杨正军、董霁、阚志刚、胡波、刘一 鸣、陈彪、万振华、夏天泽等;标准编制协作单位的高级技术人员共 同参与标准的内容编制与研讨。
1.3.2制定工作计划编制组首先制订了编制工作计划,并确定了编制组人员例会安排 以便及时沟通交流工作情况1.3.3参考资料该标准编制过程中,主要参考了:GB/T 25069-2010信息安全技术术语GB/T 18336-2015信息技术安全技术信息技术安全性评价准则GB/Z 28828-2012信息安全技术 公共及商用服务信息系统个人信 息保护指南YD/T 2407-2013移动智能终端安全能力技术要求OWASP Mobile TOP 10 RisksNIST SP 800-1631.3.4确定编制内容经编制组研究决定,以GB/T 18336-2015信息技术 安全技术 信 息技术安全性评价准则、NIST SP 800/63为主要参考依据,完成《信 息安全技术 移动应用网络安全评价规范》标准的编制工作1.3.5编制工作简要过程按照项目进度,编制组人员首先对所参阅的文献、标准等资料进 行整理和阅读,编写标准编制提纲,并在对提纲进行修改完善的基础 上,开始具体的编制工作2015年8月开始对已有相关法律法规、政策、标准等文件进行 研究,总结国内外现有的移动应用安全检测评价规范及经验, 并开始编写《信息安全技术 移动应用网络安全评价规范》草案(第一版)。
2016年6月,在国家信息技术安全研究中心召开了组内讨论会议,会议上编制组成员对标准进行了讨论,提出了新的意见和建议, 会后编制组成员讨论制定下一阶段工作计划, 确定了标准框架、内容、 组织形式,期间形成《信息安全技术 移动应用网络安全评价规范》 草案(第二版)2016年9月,在国家信息技术安全研究中心召开了专家评审会, 会上征求了崔书昆、肖京华、上官晓丽、李嵩、刘蓿等专家的意见和 建议后,对标准整体框架进行调整,明确了标准面向对象和范围,会后根据专家意见,由标准编制组编写形成《信息安全技术 移动应用 网络安全评价规范》草案(第三版)2017年2月,在国家信息技术安全研究中心召开了组内讨论会 议,会上收集意见,根据意见,会后形成《信息安全技术 移动应用网络安全评价规范》草案(第四版)2017年4月,在武汉参加了全国信息安全标准化技术委员 2017年第一次会议周会议(WG5I作组),会上与会专家对标准名称、内 容提供了意见参考,会后根据意见,组织协作单位进行讨论修改,完 成《信息安全技术 移动应用网络安全评价规范》征求意见稿1.3.6起草人及其工作标准编制组具体由李京春、李冰、万仁忠、王宏、李健、李蒙、纪崇廉、于园园、杨正军、董霁、阚志刚、胡波、刘一鸣、陈彪、万 振华、夏天泽组成。
李京春、李冰、万仁忠全面负责标准编制工作, 包括制定工作计划、确定编制内容和整体进度、人员的安排以及标准 审阅;王宏、杨正军主要负责标准的前期调研、现状分析、标准各版 本的编制、意见汇总的讨论处理、编制说明的编写等工作;李健、万 振华负责标准校准审核等工作;李蒙、刘一鸣主要负责标准编制过程 中的各项技术支持和整体指导2标准主要内容 2.1编制原则为了使本标准的内容从一开始就与国家标准保持一致, 本标准的 编写参考了其他国家有关标准,主要有 GB/T 18336-2015信息技术 安全技术 信息技术安全性评价准则、GB/Z 28828-2012信息安全技术 公共及商用服务信息系统个人信息保护指南本标准符合我国的实际情况,遵从我国有关法律、法规的规定具体原则与要求如下:1) 先进性标准是先进经验的总结,同时也是技术的发展趋势目前,我国 移动应用网络安全评价技术种类繁多,要制定出先进的国家标准,必 须参考国内外先进技术和标准,吸收其精华,才能制定出具有先进水 平的标准本标准的编写始终遵循这一原则2) 实用性标准必须是可用的,才有实际意义,因此本标准的编写是在对国 内外标准的相关技术内容消化、吸收的基础上,结合我国的实际情况, 广泛了解了市场上主流产品的功能, 吸收其精华,制定出符合我国国 情的、可操作性强的标准。
3) 兼容性本标准既要与国际接轨,更要与我国现有的政策、法规、标准、。
