《信息安全技术 移动应用网络安全评价规范-编制说明》.pdfVIP

1 工作简况 1.1 任务来源 随着移动应用的快速发展，因我国尚未建立起有效、完备的移动 应用安全检测评价体系，存在检测评价体系不统一、检测评价的内容 不完备、检测评价流程待完善等安全问题。故此，2015 年7 月国家 信息技术安全研究中心开始着手制定 《信息安全技术 移动应用网络 安全评价规范》标准,以此来规范移动应用网络安全评价要求、规范 移动应用网络安全评价结果、提示各类移动应用存在的风险以及提供 对移动应用进行网络安全评价的参考流程和方法。 1.2 协作单位 《信息安全技术 移动应用网络安全评价规范》标准任务下达后， 国家信息技术安全研究中心立即与移动应用安全厂商和相关研究机 构进行联系与沟通，最后确定由中国信息通信研究院泰尔实验室、北 京洋浦伟业科技发展有限公司、深圳开源互联网安全技术有限公司等 单位作为标准编制协作单位。 1.3 主要工作过程 1.3.1 成立编制组 2015 年接到标编制任务后，立即组建标准编制组，开始标准草 1 案的起草工作。编制项目组主要成员：李京春、李冰、万仁忠、王宏、 李健、李蒙、纪崇廉、于园园、杨正军、董霁、阚志刚、胡波、刘一 鸣、陈彪、万振华、夏天泽等；标准编制协作单位的高级技术人员共 同参与标准的内容编制与研讨。 1.3.2 制定工作计划 编制组首先制订了编制工作计划，并确定了编制组人员例会安排 以便及时沟通交流工作情况。 1.3.3 参考资料 该标准编制过程中，主要参考了：  GB/T 25069-2010 信息安全技术术语  GB/T 18336-2015 信息技术 安全技术 信息技术安全性评价准则  GB/Z 28828-2012 信息安全技术 公共及商用服务信息系统个人信 息保护指南  YD/T 2407-2013 移动智能终端安全能力技术要求  OWASP Mobile TOP 10 Risks  NIST SP 800-163 1.3.4 确定编制内容 经编制组研究决定，以GB/T 18336-2015 信息技术 安全技术 信 息技术安全性评价准则、NIST SP 800-163 为主要参考依据，完成 《信 2 息安全技术 移动应用网络安全评价规范》标准的编制工作。 1.3.5 编制工作简要过程 按照项目进度，编制组人员首先对所参阅的文献、标准等资料进 行整理和阅读，编写标准编制提纲，并在对提纲进行修改完善的基础 上，开始具体的编制工作。 2015 年8 月开始对已有相关法律法规、政策、标准等文件进行 研究，总结国内外现有的移动应用安全检测评价规范及经验，并开始 编写 《信息安全技术 移动应用网络安全评价规范》草案 （第一版）。 2016 年6 月，在国家信息技术安全研究中心召开了组内讨论会 议，会议上编制组成员对标准进行了讨论，提出了新的意见和建议， 会后编制组成员讨论制定下一阶段工作计划，确定了标准框架、内容、 组织形式，期间形成 《信息安全技术 移动应用网络安全评价规范》 草案 （第二版）。 2016 年9 月，在国家信息技术安全研究中心召开了专家评审会， 会上征求了崔书昆、肖京华、上官晓丽、李嵩、刘蓓等专家的意见和 建议后，对标准整体框架进行调整，明确了标准面向对象和范围，会 后根据专家意见，由标准编制组编写形成 《信息安全技术 移动应用 网络安全评价规范》草案 （第三版）。 2017 年2 月，在国家信息技术安全研究中心召开了组内讨论会 议，会上收集意见，根据意见，会后形成 《信息安全技术 移动应用 网络安全评价规范》草案 （第四版）。 3 2017 年4 月，在武汉参加了全国信息安全标准化技术委员2017 年第一次会议周会议 （WG5 工作组），会上与会专家对标准名称、内 容提供了意见参考，会后根据意见，组织协作单位进行讨论修改，完 成 《信息安全技术 移动应用网络安全评价规范》征求意见稿。 1.3.6 起草