中國信息產(chǎn)業(yè)商會團體標準

PAGE5PAGE1中國信息產(chǎn)業(yè)商會團體標準《移動互聯(lián)網(wǎng)應用程序安全監(jiān)測指標及評價指南（征求意見稿）》編制說明一、工作簡況1、任務來源本標準工作基礎最初來源于國家衛(wèi)生健康委員會發(fā)布的《關(guān)于加快推進電子健康卡普及應用工作的意見》（國衛(wèi)辦規(guī)劃發(fā)〔2018〕34號），開展互聯(lián)網(wǎng)醫(yī)療健康服務應用軟件（包括App、公眾號、小程序、其它服務號等）接入電子健康卡的專項治理工作，降低移動互聯(lián)網(wǎng)應用在運行過程中的安全風險。并依托于同年12月中國人民銀行、發(fā)改委、科技部、工信部、人社部、衛(wèi)健委六部委聯(lián)合批復的金融科技應用試點工作“移動互聯(lián)網(wǎng)醫(yī)療與金融應用風險聯(lián)防聯(lián)控實踐”項目，移動互聯(lián)網(wǎng)醫(yī)療安全風險防控體系從管理機制和技術(shù)平臺實現(xiàn)兩方面展開了研究和落地。本標準的制定計劃由中國信息產(chǎn)業(yè)商會健康科技分會提出，經(jīng)中國信息產(chǎn)業(yè)商會團體標準委員會批準，正式列入中國信息產(chǎn)業(yè)商會團體標準委員會2021年第二批標準制訂立項計劃（中信商【2021】標12號），計劃號為CIITA403-2021，標準名稱為移動互聯(lián)網(wǎng)應用程序安全監(jiān)測指標及評價指南，計劃完成時間2022年8月。主要工作過程2.1前期策劃2018年9月，在國家居民健康卡注冊管理中心指導下，由中國軟件評測中心（工業(yè)和信息化部軟件與集成電路促進中心）、北京智游網(wǎng)安科技有限公司、北京知道創(chuàng)宇信息技術(shù)股份有限公司建設了移動互聯(lián)網(wǎng)醫(yī)療應用安全運行監(jiān)測平臺，作為電子健康卡的專項治理工作技術(shù)支撐，初步形成于滿足電子健康卡安全監(jiān)管的移動互聯(lián)網(wǎng)醫(yī)療應用安全監(jiān)測體系。2019年10月正式開展金融科技應用試點工作“移動互聯(lián)網(wǎng)醫(yī)療與金融應用風險聯(lián)防聯(lián)控實踐”項目，并在9家應用試點驗證單位共19款App和微信公眾號進行安全風險監(jiān)測，實現(xiàn)了在金融與醫(yī)療融合領域的移動互聯(lián)網(wǎng)應用程序安全監(jiān)測指標及評價指南初步落地實踐。2.2提案立項2021年5月，由中國軟件評測中心（工業(yè)和信息化部軟件與集成電路促進中心）展開編制本標準的可行性討論，通過分析，目前國內(nèi)外均沒有針對移動互聯(lián)網(wǎng)醫(yī)療應用安全監(jiān)測的標準體系，此項標準的建立將能為政府管理層和移動互聯(lián)網(wǎng)應用運營單位及管理部門對于移動互聯(lián)網(wǎng)應用監(jiān)測提供技術(shù)支撐和標準依據(jù)，因此決定開始立項。同時考慮到在前期策劃方面的工作基礎以及北京智游網(wǎng)安科技有限公司和北京知道創(chuàng)宇信息技術(shù)股份有限公司在移動互聯(lián)網(wǎng)應用安全領域的優(yōu)勢，聯(lián)合這些機構(gòu)加入編制組。2021年6月，完成立項書初稿并展開討論會。2021年7月，將立項書提交至中國信息產(chǎn)業(yè)商會團體標準委員會，正式列入中國信息產(chǎn)業(yè)商會團體標準委員會2021年第二批標準制訂立項計劃。2.3組織起草立項書提交同步開展起草工作，起草組由各參編單位的技術(shù)負責人、專業(yè)標準化工程師及相關(guān)技術(shù)人員組成，并成立了由衛(wèi)健委的技術(shù)專家組建的內(nèi)審組，邀請行業(yè)專家初步評審。根據(jù)立項反饋意見，起草組及時召開工作會議，補充相關(guān)計劃，細化范圍，組織召開標準編制啟動會，確立參編職責，開展資料收集分析，2021年8月初完成標準初稿，并與內(nèi)審組召開7次工作組討論會，于2021年9月底形成征求意見稿V1.0。2022年4月20日，標準編制工作組針對專家提出的意見與專家進行了線上討論，并在4月24日工作組根據(jù)討論結(jié)果對部分反饋意見進行了修改，形成了征求意見稿V2.0。2022年4月28日，工作組召開線上會議與專家再次就新的反饋意見進行溝通，并于5月10日對專家提出的意見進行了修改，形成了征求意見稿V3.0。2022年5月16日，專家對征求意見稿V3.0反饋了相關(guān)意見，工作組內(nèi)部進行討論，決定對標準的名稱進行了修改，修訂為《移動互聯(lián)網(wǎng)應用程序安全監(jiān)測指標及評價指南》，同時對其他意見進行了修改，完成征求意見稿V4.0。2022年5月30日，對標準英文表述、術(shù)語定義、ICS號等進行細節(jié)探討，完成征求意見稿V5.0。3、主要成員單位及所做工作本標準主編單位為中國軟件評測中心（工業(yè)和信息化部軟件與集成電路促進中心），參編單位為北京智游網(wǎng)安科技有限公司、北京知道創(chuàng)宇信息技術(shù)股份有限公司、騰訊云計算(北京)有限責任公司、國家信息技術(shù)安全研究中心、北京醫(yī)慧科技有限公司、中電科（北京）信息測評認證有限公司。其中中國軟件評測中心（工業(yè)和信息化部軟件與集成電路促進中心）負責本標準編制的全面統(tǒng)籌、協(xié)調(diào)工作，以及立項的報批工作；北京智游網(wǎng)安科技有限公司和北京醫(yī)慧科技有限公司負責移動APP的監(jiān)測技術(shù)指標制定工作，北京知道創(chuàng)宇信息技術(shù)股份有限公司負責微信公眾號的監(jiān)測技術(shù)指標制定工作，騰訊云計算(北京)有限責任公司負責微信小程序的監(jiān)測技術(shù)指標制定工作，國家信息技術(shù)安全研究中心和中電科（北京）信息測評認證有限公司負責監(jiān)測技術(shù)指標框架制定工作。二、標準編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題1、編制原則本標準的制定充分考慮多個重要行業(yè)的最新監(jiān)管要求和移動互聯(lián)網(wǎng)應用的技術(shù)要求，認真分析并識別了移動互聯(lián)網(wǎng)應用所面臨的安全風險，從安全風險監(jiān)測和評價出發(fā)，選擇通用性和能落地的規(guī)范性要素，制定本標準。具體的編制原則如下：1.1合法和合規(guī)性符合國家有關(guān)法律法規(guī)和已有標準規(guī)范的相關(guān)要求。1.2通用性和實用性本標準主要面向重要行業(yè)的移動互聯(lián)網(wǎng)應用，考慮能適用于多個重要行業(yè)，并能兼顧能實現(xiàn)在各個行業(yè)的落地，實現(xiàn)本標準向行業(yè)推廣應用。1.3可操作性本標準通過充分的前期調(diào)研，收集了大量的技術(shù)資料與相關(guān)標準，與現(xiàn)行法規(guī)與標準均不沖突，宜于應用。1.4科學性本標準充分考慮移動互聯(lián)網(wǎng)應用的各個形態(tài)，并收集多個重點行業(yè)移動互聯(lián)網(wǎng)應用的技術(shù)標準，抽取并進行重新組織后實現(xiàn)可科學的、實際可行能用于監(jiān)測的技術(shù)指標體系。2、確定主要內(nèi)容的依據(jù)本標準為首次制定，是在衛(wèi)生健康行業(yè)和金融行業(yè)成功進行多家機構(gòu)進行試點驗證后確定的。本標準主要依據(jù)《GB/T35273信息安全技術(shù)個人信息安全規(guī)范》、《GB/T41391信息安全技術(shù)移動互聯(lián)網(wǎng)應用程序（APP）收集個人信息基本要求》，參考《GB/T34978-2017信息安全技術(shù)移動智能終端個人信息保護技術(shù)要求》、《GB/T35281-2017信息安全技術(shù)移動互聯(lián)網(wǎng)應用服務器安全技術(shù)要求》和《GB/T34975-2017信息安全技術(shù)移動智能終端應用軟件安全技術(shù)要求和測試評價方法》等國家標準，以及《電子健康卡建設與管理指南》和《中國人民銀行關(guān)于發(fā)布金融行業(yè)標準加強移動金融客戶端應用軟件安全管理的通知》等應用的重要行業(yè)的監(jiān)管要求，來制定監(jiān)測技術(shù)指標和評價方法。編制過程中解決的主要問題本標準為保證移動互聯(lián)網(wǎng)應用在公眾使用時的安全性和合規(guī)性，參考國內(nèi)外相關(guān)政策要求和標準規(guī)范，并通過研究分析移動互聯(lián)網(wǎng)應用安全風險，建立移動互聯(lián)網(wǎng)應用安全風險監(jiān)測指標體系。該指標體系為政府管理層的移動互聯(lián)網(wǎng)應用安全態(tài)勢判斷和宏觀決策提供支持；為各移動互聯(lián)網(wǎng)應用運營單位及管理部門的信息安全管理工作提供參考，為評估機構(gòu)展開安全風險評價提供指導。三、主要試驗[或驗證]情況分析不涉及。四、知識產(chǎn)權(quán)情況說明本標準不涉及知識產(chǎn)權(quán)問題。五、產(chǎn)業(yè)化情況、推廣應用論證和預期達到的經(jīng)濟效果1、產(chǎn)業(yè)化情況隨著5G的持續(xù)推進和移動智能終端設備的深化應用，越來越多的生活服務類數(shù)據(jù)通過移動應用涌入移動互聯(lián)網(wǎng)，數(shù)據(jù)規(guī)模越來越大，移動應用軟件供應鏈也出現(xiàn)了長足的增長態(tài)勢。然而，隨著移動互聯(lián)網(wǎng)的深化應用，越來越多的重要數(shù)據(jù)和隱私信息通過移動互聯(lián)網(wǎng)進行傳輸，應用過程中風險和安全問題主要來自互聯(lián)網(wǎng)黑客頻繁侵襲、系統(tǒng)漏洞、病毒木馬攻擊、用戶信息泄露、用戶安全意識薄弱等。為了應對移動互聯(lián)網(wǎng)應用存在的種種安全風險，為保護公民、法人和其他組織的合法權(quán)益，在國家層面陸續(xù)發(fā)布了一系列的安全政策。面對國家在移動互聯(lián)網(wǎng)應用方面的監(jiān)管要求，各級監(jiān)管機構(gòu)都在積極探討和嘗試移動互聯(lián)網(wǎng)應用監(jiān)管、監(jiān)控解決方案。同時，在移動互聯(lián)網(wǎng)應用方面，衛(wèi)健委、工信部和中國人民銀行等相關(guān)部門已意識到移動終端在各行業(yè)領域?qū)蠓秶鷳玫男枨?，一旦出現(xiàn)安全問題就會導致危害范圍和程度不斷擴大的風險。從國際上來看，尚未有對移動互聯(lián)網(wǎng)應用安全管理標準?？偟膩碚f，目前國內(nèi)對于移動互聯(lián)網(wǎng)應用安全專門制定了一些國家標準，在重點行業(yè)各監(jiān)管部門制定了移動客戶端應用軟件安全管理標準，但國內(nèi)國外都沒有專門標準用于移動互聯(lián)網(wǎng)應用安全風險監(jiān)測和評價的標準。本項目主要從這方面出發(fā)提出適用于重點行業(yè)的移動互聯(lián)網(wǎng)應用安全風險監(jiān)測和評價標準，滿足監(jiān)管機構(gòu)對于行業(yè)移動互聯(lián)網(wǎng)應用安全治理需求、行業(yè)運營者運營安全需求、檢測認證機構(gòu)評價需求。標準推廣應用積極采取措施支撐監(jiān)管部門擴大試點驗證，開展最佳實踐應用場景研究分析，加強標準宣貫，促進行業(yè)推廣應用和落地，為監(jiān)管部門提供決策支撐。標準應用的預期效果本標準的落地實施能為政府管理層的移動互聯(lián)網(wǎng)應用安全態(tài)勢判斷和宏觀決策提供支持；為各移動互聯(lián)網(wǎng)應用運營單位及管理部門的信息安全管理工作提供參考，為評估機構(gòu)展開安全風險評價提供指導。六、采用國際標準和國外先進標準情況從國際上來看，尚未有對移動互聯(lián)網(wǎng)應用安全管理標準。七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標準的協(xié)調(diào)性本技術(shù)指南遵守中華人民共和國現(xiàn)行的法律和法規(guī)，包括中華人民共和國網(wǎng)絡安全法、中華人民共和國電子簽名法、商用密碼管理條例和個人信息保護法。以及行業(yè)管理規(guī)定《電子健康卡建設與管理指南》。本標準主要依據(jù)《GB/T35273信息安全技術(shù)個人信息安全規(guī)范》、《GB/T41391信息安全技術(shù)移動互聯(lián)網(wǎng)應用程序（APP）收集個人信息基本要求》，參考《GB/T34978-2017信息安全技術(shù)移動智能終端個人信息保護技術(shù)要求》、《GB/T35281-2017信息安全技術(shù)移動互聯(lián)網(wǎng)應用服務器安全技術(shù)要求》和《GB/T34975-2017信息安全技術(shù)移動智能終端應用軟件安全技術(shù)要求和測試評價方法》等國家標準，以及《電子健康卡建設與管理指南》和《中國人民銀行關(guān)于發(fā)布金融行業(yè)標準加強移動金融客戶端應用軟件安全