中国信息产业商会团体标准

PAGE5PAGE1中国信息产业商会团体标准《移动互联网应用程序安全监测指标及评价指南（征求意见稿）》编制说明一、工作简况1、任务来源本标准工作基础最初来源于国家卫生健康委员会发布的《关于加快推进电子健康卡普及应用工作的意见》（国卫办规划发〔2018〕34号），开展互联网医疗健康服务应用软件（包括App、公众号、小程序、其它服务号等）接入电子健康卡的专项治理工作，降低移动互联网应用在运行过程中的安全风险。并依托于同年12月中国人民银行、发改委、科技部、工信部、人社部、卫健委六部委联合批复的金融科技应用试点工作“移动互联网医疗与金融应用风险联防联控实践”项目，移动互联网医疗安全风险防控体系从管理机制和技术平台实现两方面展开了研究和落地。本标准的制定计划由中国信息产业商会健康科技分会提出，经中国信息产业商会团体标准委员会批准，正式列入中国信息产业商会团体标准委员会2021年第二批标准制订立项计划（中信商【2021】标12号），计划号为CIITA403-2021，标准名称为移动互联网应用程序安全监测指标及评价指南，计划完成时间2022年8月。主要工作过程2.1前期策划2018年9月，在国家居民健康卡注册管理中心指导下，由中国软件评测中心（工业和信息化部软件与集成电路促进中心）、北京智游网安科技有限公司、北京知道创宇信息技术股份有限公司建设了移动互联网医疗应用安全运行监测平台，作为电子健康卡的专项治理工作技术支撑，初步形成于满足电子健康卡安全监管的移动互联网医疗应用安全监测体系。2019年10月正式开展金融科技应用试点工作“移动互联网医疗与金融应用风险联防联控实践”项目，并在9家应用试点验证单位共19款App和微信公众号进行安全风险监测，实现了在金融与医疗融合领域的移动互联网应用程序安全监测指标及评价指南初步落地实践。2.2提案立项2021年5月，由中国软件评测中心（工业和信息化部软件与集成电路促进中心）展开编制本标准的可行性讨论，通过分析，目前国内外均没有针对移动互联网医疗应用安全监测的标准体系，此项标准的建立将能为政府管理层和移动互联网应用运营单位及管理部门对于移动互联网应用监测提供技术支撑和标准依据，因此决定开始立项。同时考虑到在前期策划方面的工作基础以及北京智游网安科技有限公司和北京知道创宇信息技术股份有限公司在移动互联网应用安全领域的优势，联合这些机构加入编制组。2021年6月，完成立项书初稿并展开讨论会。2021年7月，将立项书提交至中国信息产业商会团体标准委员会，正式列入中国信息产业商会团体标准委员会2021年第二批标准制订立项计划。2.3组织起草立项书提交同步开展起草工作，起草组由各参编单位的技术负责人、专业标准化工程师及相关技术人员组成，并成立了由卫健委的技术专家组建的内审组，邀请行业专家初步评审。根据立项反馈意见，起草组及时召开工作会议，补充相关计划，细化范围，组织召开标准编制启动会，确立参编职责，开展资料收集分析，2021年8月初完成标准初稿，并与内审组召开7次工作组讨论会，于2021年9月底形成征求意见稿V1.0。2022年4月20日，标准编制工作组针对专家提出的意见与专家进行了线上讨论，并在4月24日工作组根据讨论结果对部分反馈意见进行了修改，形成了征求意见稿V2.0。2022年4月28日，工作组召开线上会议与专家再次就新的反馈意见进行沟通，并于5月10日对专家提出的意见进行了修改，形成了征求意见稿V3.0。2022年5月16日，专家对征求意见稿V3.0反馈了相关意见，工作组内部进行讨论，决定对标准的名称进行了修改，修订为《移动互联网应用程序安全监测指标及评价指南》，同时对其他意见进行了修改，完成征求意见稿V4.0。2022年5月30日，对标准英文表述、术语定义、ICS号等进行细节探讨，完成征求意见稿V5.0。3、主要成员单位及所做工作本标准主编单位为中国软件评测中心（工业和信息化部软件与集成电路促进中心），参编单位为北京智游网安科技有限公司、北京知道创宇信息技术股份有限公司、腾讯云计算(北京)有限责任公司、国家信息技术安全研究中心、北京医慧科技有限公司、中电科（北京）信息测评认证有限公司。其中中国软件评测中心（工业和信息化部软件与集成电路促进中心）负责本标准编制的全面统筹、协调工作，以及立项的报批工作；北京智游网安科技有限公司和北京医慧科技有限公司负责移动APP的监测技术指标制定工作，北京知道创宇信息技术股份有限公司负责微信公众号的监测技术指标制定工作，腾讯云计算(北京)有限责任公司负责微信小程序的监测技术指标制定工作，国家信息技术安全研究中心和中电科（北京）信息测评认证有限公司负责监测技术指标框架制定工作。二、标准编制原则和确定主要内容的论据及解决的主要问题1、编制原则本标准的制定充分考虑多个重要行业的最新监管要求和移动互联网应用的技术要求，认真分析并识别了移动互联网应用所面临的安全风险，从安全风险监测和评价出发，选择通用性和能落地的规范性要素，制定本标准。具体的编制原则如下：1.1合法和合规性符合国家有关法律法规和已有标准规范的相关要求。1.2通用性和实用性本标准主要面向重要行业的移动互联网应用，考虑能适用于多个重要行业，并能兼顾能实现在各个行业的落地，实现本标准向行业推广应用。1.3可操作性本标准通过充分的前期调研，收集了大量的技术资料与相关标准，与现行法规与标准均不冲突，宜于应用。1.4科学性本标准充分考虑移动互联网应用的各个形态，并收集多个重点行业移动互联网应用的技术标准，抽取并进行重新组织后实现可科学的、实际可行能用于监测的技术指标体系。2、确定主要内容的依据本标准为首次制定，是在卫生健康行业和金融行业成功进行多家机构进行试点验证后确定的。本标准主要依据《GB/T35273信息安全技术个人信息安全规范》、《GB/T41391信息安全技术移动互联网应用程序（APP）收集个人信息基本要求》，参考《GB/T34978-2017信息安全技术移动智能终端个人信息保护技术要求》、《GB/T35281-2017信息安全技术移动互联网应用服务器安全技术要求》和《GB/T34975-2017信息安全技术移动智能终端应用软件安全技术要求和测试评价方法》等国家标准，以及《电子健康卡建设与管理指南》和《中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》等应用的重要行业的监管要求，来制定监测技术指标和评价方法。编制过程中解决的主要问题本标准为保证移动互联网应用在公众使用时的安全性和合规性，参考国内外相关政策要求和标准规范，并通过研究分析移动互联网应用安全风险，建立移动互联网应用安全风险监测指标体系。该指标体系为政府管理层的移动互联网应用安全态势判断和宏观决策提供支持；为各移动互联网应用运营单位及管理部门的信息安全管理工作提供参考，为评估机构展开安全风险评价提供指导。三、主要试验[或验证]情况分析不涉及。四、知识产权情况说明本标准不涉及知识产权问题。五、产业化情况、推广应用论证和预期达到的经济效果1、产业化情况随着5G的持续推进和移动智能终端设备的深化应用，越来越多的生活服务类数据通过移动应用涌入移动互联网，数据规模越来越大，移动应用软件供应链也出现了长足的增长态势。然而，随着移动互联网的深化应用，越来越多的重要数据和隐私信息通过移动互联网进行传输，应用过程中风险和安全问题主要来自互联网黑客频繁侵袭、系统漏洞、病毒木马攻击、用户信息泄露、用户安全意识薄弱等。为了应对移动互联网应用存在的种种安全风险，为保护公民、法人和其他组织的合法权益，在国家层面陆续发布了一系列的安全政策。面对国家在移动互联网应用方面的监管要求，各级监管机构都在积极探讨和尝试移动互联网应用监管、监控解决方案。同时，在移动互联网应用方面，卫健委、工信部和中国人民银行等相关部门已意识到移动终端在各行业领域将会大范围应用的需求，一旦出现安全问题就会导致危害范围和程度不断扩大的风险。从国际上来看，尚未有对移动互联网应用安全管理标准。总的来说，目前国内对于移动互联网应用安全专门制定了一些国家标准，在重点行业各监管部门制定了移动客户端应用软件安全管理标准，但国内国外都没有专门标准用于移动互联网应用安全风险监测和评价的标准。本项目主要从这方面出发提出适用于重点行业的移动互联网应用安全风险监测和评价标准，满足监管机构对于行业移动互联网应用安全治理需求、行业运营者运营安全需求、检测认证机构评价需求。标准推广应用积极采取措施支撑监管部门扩大试点验证，开展最佳实践应用场景研究分析，加强标准宣贯，促进行业推广应用和落地，为监管部门提供决策支撑。标准应用的预期效果本标准的落地实施能为政府管理层的移动互联网应用安全态势判断和宏观决策提供支持；为各移动互联网应用运营单位及管理部门的信息安全管理工作提供参考，为评估机构展开安全风险评价提供指导。六、采用国际标准和国外先进标准情况从国际上来看，尚未有对移动互联网应用安全管理标准。七、与现行相关法律、法规、规章及相关标准的协调性本技术指南遵守中华人民共和国现行的法律和法规，包括中华人民共和国网络安全法、中华人民共和国电子签名法、商用密码管理条例和个人信息保护法。以及行业管理规定《电子健康卡建设与管理指南》。本标准主要依据《GB/T35273信息安全技术个人信息安全规范》、《GB/T41391信息安全技术移动互联网应用程序（APP）收集个人信息基本要求》，参考《GB/T34978-2017信息安全技术移动智能终端个人信息保护技术要求》、《GB/T35281-2017信息安全技术移动互联网应用服务器安全技术要求》和《GB/T34975-2017信息安全技术移动智能终端应用软件安全技术要求和测试评价方法》等国家标准，以及《电子健康卡建设与管理指南》和《中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全