税务移动应用安全实施要求2016.docVIP

税务移动应用安全实施要求 （试行 国家税务总局电子税务管理中心 二○一六年三月 目次前言 II 1 引言 1 2 概述 1 2.1 适用范围 1 2.2 术语和定义 1 2.3 规范性引用文件 2 3 移动应用安全分类概述 3 4 移动应用安全的实施角色和分工 4 5 分类的实施原则 4 6 移动应用安全分类规范 4 7 移动应用安全实施细则 5 7.1 需求制定阶段的移动应用安全实施 5 7.1.1 税务系统移动应用的分类的实施 5 7.1.2 移动应用安全需求文档的撰写 5 7.2 设计阶段的移动应用安全实施 5 7.2.1 移动应用整体安全设计 5 7.2.2 移动应用的安全测试用例设计 5 7.3 开发阶段的移动应用安全实施 5 7.4 测试阶段的移动应用安全实施 6 7.5 运行维护阶段的移动应用安全实施 6 7.5.1 移动应用运营安全管理 6 7.5.2 移动应用的安全监控 6 7.5.3 移动应用的安全事件处置和应急预案 6 7.5.4 移动应用的更新 7 7.6 废止阶段的移动应用安全实施 7 前言 本规范是税务系统移动应用安全相关系列规范之一,与本规范相关的系列标准/规范包括:? ——《税务移动应用安全开发规范》 ——《税务移动应用安全评估规范》 引言 2015年3月5日李克强总理在十二届全国人大三次会议政府工作报告中首次提出“互联网+”行动计划 我国的互联网应用安全，特别是移动应用安全尚处于起步阶段,基础薄弱,水平不高,存在以下突出问题： 移动应用安全意识和安全防范能力薄弱，安全滞后于整个移动互联体系的发展； 移动应用安全保障工作的重点不突出； 随着税务系统互联网+模式的推进，保障税务移动应用安全，保障税收安全，维护国家财产和人民群众的利益已经成了当前税务系统互联网+推行过程中迫切需要解决的重大问题。制定税务系统移动应用安全实施规范，能够有效的提高税务系统移动应用安全建设的整体水平。同时，从税务工作实际业务出发，进行移动应用安全的分类，有利于优化安全资源的配置，重点保障那些关系到税务系统安全，国家和人民财产安全的移动应用。 本规范共分七个章节，第一章引言部分描述了移动应用安全实施规范的背景。第二章概述部分对规范的试用范围和文件中涉及到的术语进行了描述。从第三章开始依次介绍了税务移动应用安全的分类规范，在实施过程中的规范以及移动应用安全的实施细则。规范着重强调了在移动应用全生命周期中不同阶段的安全实施方法，具有很强的执行意义和指导意义。 本规范的附件《税务移动应用安全开发规范》主要面向税务系统的应用管理人员，其正文部分主要涉及开发的规范要求，附录为开发的参考。《税务移动应用安全评估规范》面向安全管理人员，规定了税务移动应用安全的检验标准，附件提供了评估报告的规范板式。 概述 适用范围 本适用于移动税务应用 服务器端系统安全保障参考《网上办税系统信息安全基本技术规范》（税总函〔2014〕13号），物理安全、网络安全、主机安全应符合按GB/T 22239-2008 中第三级基本要求，本标准不作阐述。 术语和定义 下列术语和定义适用于本。 移动办公应用 移动办公也称移动 2.2.2 移动办税应用 移动办税是指纳税人通过移动客户端程序，访问税收信息系统办理税收业务的应用。 2.2.3 敏感个人信息一旦遭到泄漏或修改会对标识的个人信息主体造成损失或不良影响的个人信息本部分所涉及的敏感个人信息包括以下部分 个人身份信息包括证件种类号码及有效期限联系方式等 个人认证信息包括用户证书在金融机构支付机构留存的登录密码交易密码取款密码以及预留用于找回密码的问题信息特征码等 其它敏感个人信息在与个人建立业务关系过程中获取保存的其它敏感个人信息例如个人信用信息 2.2.4 一般个人信息个人信息中除去敏感个人信息剩余的部分 2.2.5 支付网关支付网关是银行金融网络系统和支付网关主要完成通信协议转换和数据加解密功能以保护银行内部网络 渠道监控 渠道监控是针对Android APP提供的渠道信息管理平台 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本规范。凡是不注日期的引用文件，其最新版本适用于本规范。 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 GB/Z 28828-2012 国家税务总局关于进一步加强网上办税系统信息安全保障工作的通知（国税函〔2010〕124号） 国家税务总局软件开发规范（试行） 移动终端白皮书，工业和信息化部电信研究院，2012 移动互联网恶意程序监测与处置机制，工业和信息化部 JRT0068-2012 网上银行系统信息安全通用规范 JR/T 0092—2012中国金融