标准解读

《GA/T 1390.3-2017 信息安全技术 网络安全等级保护基本要求 第3部分:移动互联安全扩展要求》这一标准,是针对移动互联网环境下的信息安全保护提出的详细规范。它在原有的网络安全等级保护体系基础上,专门针对移动设备、移动应用及移动网络通信等方面的安全需求,制定了相应的扩展性安全要求。以下是该标准内容的几个关键点概述:

  1. 适用范围:标准明确了其适用于采用移动互联网技术的信息系统,包括但不限于使用智能手机、平板电脑等移动终端,以及通过无线网络进行数据传输和业务处理的场景。

  2. 安全保护框架:构建了基于移动互联特性的安全保护框架,强调了在移动环境下应增强的身份认证、访问控制、数据加密和传输安全等措施,确保信息的机密性、完整性和可用性。

  3. 移动终端安全:要求对移动终端实施安全管理,包括设备注册、身份认证、安全配置、恶意软件防护及数据保护等,确保终端层面的安全可控。

  4. 移动应用安全:强调了移动应用开发、发布、安装、运行全生命周期的安全管理,包括代码安全、权限控制、数据隔离、安全更新及应用商店的安全审核机制等,防止应用层成为安全漏洞。

  5. 网络通信安全:规定了移动通信网络中的安全要求,如使用安全的网络协议、实施网络访问控制、防止中间人攻击和数据泄露,保障通信链路的安全性。

  6. 安全管理策略:提出了针对移动互联环境的特定安全管理要求,包括安全策略的制定与执行、安全审计、应急响应及安全意识培训等,以建立全面的安全管理体系。

  7. 等级保护实施:依据信息系统的重要程度,将移动互联信息系统划分为不同安全保护等级,并针对每个等级提出了具体的安全控制措施和实施指南,确保安全保护与系统风险相匹配。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2017-05-08 颁布
  • 2017-05-08 实施
©正版授权
GA/T 1390.3-2017信息安全技术网络安全等级保护基本要求第3部分:移动互联安全扩展要求_第1页
GA/T 1390.3-2017信息安全技术网络安全等级保护基本要求第3部分:移动互联安全扩展要求_第2页
GA/T 1390.3-2017信息安全技术网络安全等级保护基本要求第3部分:移动互联安全扩展要求_第3页
GA/T 1390.3-2017信息安全技术网络安全等级保护基本要求第3部分:移动互联安全扩展要求_第4页
GA/T 1390.3-2017信息安全技术网络安全等级保护基本要求第3部分:移动互联安全扩展要求_第5页

文档简介

ICS35040

L80.

中华人民共和国公共安全行业标准

GA/T13903—2017

.

信息安全技术网络安全等级保护基本

要求第3部分移动互联安全扩展要求

:

Informationsecuritytechnology—Generalrequirementsforclassified

rotectionofcbersecurit—Part3Secialsecuritreuirementsfor

pyy:pyq

mobileinterconnection

2017-05-08发布2017-05-08实施

中华人民共和国公安部发布

GA/T13903—2017

.

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

采用移动互联技术的等级保护对象概述

5………………2

安全通用要求

5.1………………………2

等级保护对象构成

5.2…………………2

保护要素

5.3……………3

保护对象定级

5.4………………………3

第一级安全要求

6…………………………3

技术要求

6.1……………3

物理和环境安全

6.1.1………………3

网络和通信安全

6.1.2………………3

设备和计算安全

6.1.3………………3

应用和数据安全

6.1.4………………4

管理要求

6.2……………4

安全策略和管理制度

6.2.1…………4

安全管理机构和人员

6.2.2…………4

安全建设管理

6.2.3…………………4

安全运维管理

6.2.4…………………5

第二级安全要求

7…………………………5

技术要求

7.1……………5

物理和环境安全

7.1.1………………5

网络和通信安全

7.1.2………………5

设备和计算安全

7.1.3………………6

应用和数据安全

7.1.4………………7

管理要求

7.2……………7

安全策略和管理制度

7.2.1…………7

安全管理机构和人员

7.2.2…………8

安全建设管理

7.2.3…………………8

安全运维管理

7.2.4…………………9

第三级安全要求

8…………………………9

技术要求

8.1……………9

物理和环境安全

8.1.1………………9

GA/T13903—2017

.

网络和通信安全

8.1.2………………10

设备和计算安全

8.1.3………………11

应用和数据安全

8.1.4………………12

管理要求

8.2……………12

安全策略和管理制度

8.2.1…………12

安全管理机构和人员

8.2.2…………13

安全建设管理

8.2.3…………………13

安全运维管理

8.2.4…………………14

第四级安全要求

9…………………………16

技术要求

9.1……………16

物理和环境安全

9.1.1………………16

网络和通信安全

9.1.2………………16

设备和计算安全

9.1.3………………17

应用和数据安全

9.1.4………………18

管理要求

9.2……………19

安全策略和管理制度

9.2.1…………19

安全管理机构和人员

9.2.2…………19

安全建设管理

9.2.3…………………19

安全运维管理

9.2.4…………………21

第五级安全要求

10………………………22

参考文献

……………………23

GA/T13903—2017

.

前言

信息安全技术网络安全等级保护基本要求已经或计划发布以下部分

GA/T1390《》:

第部分安全通用要求

———1:;

第部分云计算安全扩展要求

———2:;

第部分移动互联安全扩展要求

———3:;

第部分物联网安全扩展要求

———4:;

第部分工业控制安全扩展要求

———5:;

第部分大数据安全扩展要求

———6:。

本部分是的第部分

GA/T13903。

本部分按照给出的规范起草

GB/T1.1—2009。

本部分由公安部网络安全保卫局提出

本部分由公安部信息系统安全标准化技术委员会提出并归口

本部分起草单位北京鼎普科技股份有限公司公安部第三研究所北京工业大学工业控制系统信

:、、、

息安全技术国家工程实验室

本部分主要起草人王江波于晴张宗喜任卫红于东升赵勇杜静周颖谢朝海

:、、、、、、、、。

GA/T13903—2017

.

引言

为了适应移动互联云计算大数据物联网和工业控制等新技术新应用情况下信息安全等级保护

、、、、

工作的开展公安部信息系统安全标准化技术委员会提出针对移动互联云计算大数据物联网和工业

,、、、

控制等新技术新应用领域制定公共安全行业系列标准

、。

本部分是针对等级保护对象中采用移动互联技术部分提出的安全扩展要求所以等级保护对象需

,

同时符合安全通用要求

GB/T22239。

未来可能会随技术变化添加新的部分来阐述特定领域的安全扩展要求

GA/T13903—2017

.

信息安全技术网络安全等级保护基本

要求第3部分移动互联安全扩展要求

:

1范围

的本部分规定了采用移动互联技术不同安全保护等级保护对象的基本保护要求

GA/T1390。

本部分适用于指导分等级的非涉密等级保护对象的安全建设和监督管理

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

计算机信息系统安全保护等级划分准则

GB17859—1999

信息安全技术信息系统安全等级保护基本要求

GB/T22239

信息安全技术信息系统安全等级保护定级指南

GB/T22240

信息安全技术术语

GB/T25069—2010

3术语和定义

和界定的以及下列术语和定义适

GB17859—1999、GB/T22239、GB/T22240GB/T25069—2010

用于本文件

31

.

移动终端mobiledevice

在移动业务中使用的终端设备包括智能手机平板电脑个人电脑等通用终

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论