《信息安全技术 信息系统安全等级保护基本要求 第3部分 移动互联安全扩展要求-编制说明》.pdfVIP

一、任务来源 信息安全等级保护制度已经成为我国信息安全保护保障的基本制度，在全国信息安 全保护工作中取得了突出的成果，被广泛应用于各个行业的用户开展信息系统安全等级 保护的建设整改、等级测评工作中。但随着信息技术的发展，移动互联接入、虚拟计算 环境、云计算平台应用、大数据应用和工控系统应用等新技术、新应用相继出现GB/T 22239-2008 《信息安全技术 信息系统安全等级保护基本要求》已经不能完全满足包含 新技术、新应用的信息安全等级保护对象的需求。 根据公安部的统一部署，于2014年3月召开信息安全等级保护系列标准编制启动 会，统筹包括：云计算、移动互联、物联网、工业控制系统系列标准的编制工作。《信 息安全技术 网络安全等级保护基本要求 第3部分：移动互联安全扩展要求》编制任务 由北京鼎普科技股份有限公司负责牵头。 二、主要工作过程 1）2014年3月，北京鼎普科技股份有限公司牵头，联合公安部第三研究所、北京 工业大学、工业控制系统信息安全技术国家工程实验室成立了 《信息安全技术 网络安 全等级保护基本要求 第3部分：移动互联安全扩展要求》标准编制组。 2）2014年3月至4月，标准编制组根据项目推进组计划调研了国际和国内移动互 联技术现状，分析并总结了移动互联技术中的安全关注点和要素，同时标准编制组调研 了与移动互联技术相关的其他国家标准和行业标准，分析了应用移动互联技术等级保护 对象面临的心威胁，完成了标准草案初稿。 3）2014年4月11 日，标准编制组组织相关专家对标准草案初稿进行了评审，与会 专家对整个标准体系和标准草案初稿提出了修改意见。会后，标准编制组再次按照专家 提出的修改建议，对标准草案初稿进行了修改，形成了标准草案第二稿。 4）2014年4月至2015年1月，标准编制组继续组织继续针对激动互联技术及国内 外标准、现状进行研究，并广泛征求厂商、用户的意见，完善标准内容，形成标准第三 稿。 5）2015年1月20 日，公安部十一局牵头会同个标准编制牵头单位召开会议，调整 系列标准编制思路，将移动互联、云计算、物联网和工控系统应用等新领域标准编制工 作并入 《信息安全技术 网络安全等级保护基本要求》修订项目中，形成 “基本要求” 的分册，如《信息安全技术 信息系统安全等级保护基本要求 云计算平台技术要求》、《信 息安全技术 信息系统安全等级保护基本要求 移动终端技术要求》、《信息安全技术 信 息系统安全等级保护基本要求 工控系统技术要求》等，构成GB/T 22239.1、GB/T 22239.2、……等基本要求系列标准。标准草案经过修改形成第四稿。 6）2015年7月，全国信息安全标准化技术委员会第五工作组组织业内专家对 《信 息安全技术 网络安全等级保护基本要求 第3部分：移动互联安全扩展要求》标准草案 第四稿进行了研讨，专家对标准范围、内容、格式等进行了详细讨论，提出了很多宝贵 意见。标准编制组根据专家意见，对标准进行了修改形成第五稿。 7）2015年12月，北京鼎普科技股份有限公司组织业内专家对 《信息安全技术 网 络安全等级保护基本要求 第3部分：移动互联安全扩展要求》标准草案第五稿再次进 行了研讨，专家对标准范围、内容、格式等进行了详细讨论，提出了很多宝贵意见。标 准编制组根据专家意见，对标准进行了修改形成第六稿。 8）2016年4月25 日，北京鼎普科技股份有限公司再次组织专家对 《信息安全技 术 网络安全等级保护基本要求 第3部分：移动互联安全扩展要求》标准草案第六稿再 次进行了研讨，专家对标准范围、内容、格式等进行了详细讨论，提出了很多宝贵意见。 标准编制组根据专家意见，对标准进行了修改形成第七稿。 10）2016年7月1 日，北京鼎普科技股份有限公司再次组织专家对 《信息安全技术 网络安全等级保护基本要求 第3部分：移动互联安全扩展要求》标准草案第七稿进行 了评审。会后，标准编制组再次按照专家提出的修改建议，对草案进行了修改，形成了 标准草案第八稿。 11）2016年9月19 日，根据 《信息安全技术 第1部分 网络安全等级保护基本要 求 安全通用要求》的修改更新，《信息安全技术 网络安全等级保护基本要求 第3部分： 移动互联安全扩展要求》相关内容随之修改。 12）2016年10月17 日，全国信息安全标准化技术委员会在成都组织2016年第二 次工作组会议周，WG5工作组会议上对标准进行了评审，与会代表对标准内容提出了修 改意见，会后标准编制组对草案进行了修改，形成了标准草案