YD_T 3663-2020 移动通信智能终端安全风险评估要求.docx

ICS 33.060 M36 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T 3663—2020 移动通信智能终端安全风险评估要求 Requirement of information security risk assessment for smart mobile terminal 2020-04-16发布 2020-07-01 实施 中华人民共和国工业和信息化部 发布 I YD/T 3663—2020 目 次 前言 Ⅱ 引言 Ⅲ 1 范围 1 2 规范性引用文件 1 3 术语、定义和缩略语 1 4 移动通信智能终端风险评估实施概述 3 4.1 实施的基本原则 3 4.2 实施的基本流程 3 4.3 风险评估的工作形式 4 4.4 移动通信智能终端生命周期内的风险评估 4 5 移动通信智能终端风险评估实施的阶段性工作 4 5.1 资产识别阶段 4 5.2 威胁分析阶段 5.3 设备安全脆弱性评估阶段 8 5.4 风险评估阶段 8 参考文献 10 Ⅲ YD/T 3663—2020 前 言 本标准按照GB/T1.1—2009 给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位：中国科学院大学、北京交通大学、华为技术有限公司、西安电子科技大学、北京 邮电大学和国家计算机网络应急技术处理协调中心。 本标准主要起草人：张玉清、王凯、吴昊、黄庭培、刘海涛、沈玉龙、裴庆祺、王枞、舒敏、王文 杰、王鹤、李学俊。 IV YD/T 3663—2020 引 言 随着普适计算、移动通信等技术的快速发展与日益成熟，移动通信智能终端已成为人们工作和生活 中不可缺少的工具。但移动通信智能终端在给用户和组织带来便捷的同时，也给用户和组织带来了各种 风险，如用户个人隐私信息的泄漏、第三方恶意应用程序等。因此，如何有效评估移动通信智能终端存 在的各种信息安风险，需要一套规范化的操作。 YD/T 3663—2020 移动通信智能终端安全风险评估要求 1 范围 本标准规范了移动通信智能终端信息安全风险评估实施的原则、流程、工作形式和风险评估实施的 阶段性操作。 本标准适用于安全评估组织开展的移动通信智能终端信息安全风险评估工作。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。 GB/T 20984—2007 《信息安全技术信息安全风险评估规范》 YD/T 2407—2013 《移动智能终端安全能力技术要求》 3 术语、定义和缩略语 3.1 术语和定义 GB/T 20984—2007和YD/T 2407—2013 中确立的以及下列术语和定义适用于本文件。 3.1.1 移动通信智能终端 smart mobile terminal 能够接入移动通信网，具有能提供应用程序开发接口的开放操作系统，并能安装和运行第三方应用 软件的移动终端。 [YD/T 2407—2013, 定义3.1.1] 3.1.2 (信息安全)风险评估 (information security)risk assessment 依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性 和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可 能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对用户或组织造成的影响。 [GB/T 20984—2007, 定义3.7] 2 YD/T 3663—2020 3.1.3 用户 user 使用移动通信智能终端资源的对象，包括人或第三方应用程序。 [YD/T 2407—2013, 定义3.1.3] 3.1.4 资产 asset 对用户或组织具有价值的信息或资源，是安全策略保护的对象。 [GB/T 20984—2007, 定义3.1] 3.1.5 威胁 threat 可能导致对系统、用户或组织危害的、不希望事故潜在起因。 [GB/T 20984—2007, 定义3.17] 3.1.6 脆弱性 vulnerability 可能被威胁所利用的资产或若干资产的薄弱环节。 [GB/T 20984—2007, 定义3.18] 3.2 缩略语 下列缩略语适用于本文件。 CDMA2000 码分多址2000 Code Division Multiple Access 2000 CPU