2022年信息安全技术网络安全等级保护测评要求第部分：移动互联安全扩展要求编制说明 .pdf

信息安全技术网络安全等级保护测评要求第 3 部分：移动互联安全扩展要求编制说明一、任务来源随着移动互联技术的不断发展和使用，越来越多的单位使用移动终端设备进行业务访问，为了适应新技术的发展，加强对采用移动互联技术的等级保护对象的安全防护。2014年，公安部十一局组织召开了4 个领域 12 项标准的新技术研讨会，准备在云计算、移动互联、物联网、工业控制4 个领域开展新技术新标准的制定工作。其中，为了指导测评人员对采用移动互联技术的等级保护对象进行测试评估，准备开展信息安全技术网络安全等级保护测评要求第 3 部分：移动互联安全扩展要求 的标准制定。2014年，公安部第三研究所联合国家信息中心、中国移动通信有限公司研究院及北京鼎普科技有限公司、北京洋浦伟业科技发展有限公司、东巽科技（北京）有限公司等单位向安标委申请制定信息安全技术网络安全等级保护测评要求第 3 部分：移动互联安全扩展要求。二、目的与意义国内近几年在部分行业领域针对移动终端制定了一些行业标准，如：移动智能终端数据存储安全技术要求与测试评价方法、YD/T2408-2013 移动智能终端安全能力测试方法、YD/T 2407-2013 移动智能终端安全能力技术要求、中国金融移动支付客户端技术规范 等，2011年 12 月工信部发布了 移动互联网恶意程序监测与处置机制等标准。开展移动互联信息安全等级保护工作需要有统一的国家标准，因此，正在制定信息安全技术网络安全等级保护基本要求第 3 部分：移动互联安全扩展要求。为了评价等级保护对象是否符合信息安全技术网络安全等级保护基本要求第 3 部分：移动互联安全扩展要求，有必要针对采用移动互联技术的等级保护对象制定等级保护测评要求。通过参考国内外标准与移动互联的最佳实践，制定移动互联等级保护测评要求，对采用移动互联技术的等级保护对象进行安全等级保护测试评估的技术活动提出要求。为评价等级保护对象是否符合移动互联安全扩展要求提供获取证据的途径和方法。指导测评人员从信息安全等级保护的角度对移动互联技术的系统进行测试评估。名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页，共 4 页 -7 三、与其它标准的关系本标准的制定是以GB/T28448-2012信息安全技术信息系统安全等级保护测评要求为基础，根据信息安全技术网络安全等级保护基本要求第 3 部分：移动互联安全扩展要求提出的各项要求增加了针对采用移动互联技术的等级保护对象的测评要求。本标准是信息安全技术网络安全等级保护基本要求第 3 部分：移动互联安全扩展要求的配套要求，是GB/T28448-2012在移动互联系统测评方面扩展补充要求。四、主要工作过程1）2014 年 3 月，公安部第三研究所、国家信息中心、中国移动通信有限公司研究院及北京鼎普科技有限公司、北京洋浦伟业科技发展有限公司、东巽科技（北京）有限公司成立了移动互联安全扩展测评要求标准编制组。2）2014 年 3 月至 5 月，标准编制组按照计划调研了国际和国内与移动互联相关的标准和移动终端、移动无线接入、移动应用app 等移动互联新技术的情况，分析并总结了移动互联新技术中的安全风险点和要素；同时分析了信息安全技术网络安全等级保护测评要求第 3 部分：移动互联安全扩展要求的标准定位、与其它标准之间的关系以及可能对其他标准产生的影响。4）2014 年 5 月，为适应无线移动接入、虚拟计算环境、云计算平台应用、大数据应用和工控系统应用等新技术、新应用的情况下等级保护工作开展，公安部十一局牵头会同有关部门组织2014 年新领域的国家标准立项，根据新标准立项结果确定基本要求修订思路发生重大变化，为适应基本要求 修订思路的变化在 信息安全技术网络安全等级保护测评要求（GB/T 28228-2012）的基础上，针对无线移动接入、虚拟计算环境、云计算平台应用、大数据应用和工控系统应用等新领域形成“测评要求”的分册，如信息安全技术网络安全等级保护测评要求对采用云计算技术的信息系统的扩展测评要求、信息安全技术网络安全等级保护测评要求对采用移动互联技术的信息系统的扩展测评要求、信息安全技术网络安全等级保护测评要求对物联网系统的扩展测评要求、信息安全技术网络安全等级保护测评要求对工控控制系统的扩展测评要求。构成 GB/T 28448.1、GB/T 28448.2、,等测评要求系列标准，上述思路的变化直接影响了国家标准GB/T 28448-2012 的修订思路和内容。5）2014 年 6 月至 2014 年 9 月，标准编制组根据新修订信息安全技术网络安全等级保护基本要求第 3 部分：移动互联安全扩展要求草案第一稿编制了信息安全技术 网络安全等级保护测评要求第 3 部分：移动互联安全扩展要求草案第一稿。名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页，共 4 页 -7 6）2014 年 10 月至 2014 年 12月，标准编制组根据专家意见对信息安全技术网络安全等级保护测评要求第 3 部分：移动互联安全扩展要求草案第一稿进行了修订。7）2015 年 3 月至 2015 年 9 月，标准编制组根据新修订信息安全技术网络安全等级保护基本要求第 3 部分：移动互联安全扩展要求草案第二稿编制了信息安全技术 网络安全等级保护测评要求第 3 部分：移动互联安全扩展要求草案第二稿。8）2015 年 10 月至 2015 年 12月，标准编制组根据专家意见对信息安全技术网络安全等级保护测评要求第 3 部分：移动互联安全扩展要求草案第二稿进行了修订。9）2016 年 1 月至 7 月，标准编制组根据新修订 信息安全技术网络安全等级保护基本要求第 3 部分：移动互联安全扩展要求草案第三稿与测评要求草案第四稿编制了信息安全技术网络安全等级保护测评要求第 3 部分：移动互联安全扩展要求草案第三稿。10）2016 年 8 月 12日，参加等级保护系列标准专家评审会，会后根据专家意见修订标准草案形成标准草案第四稿。11）2016 年 8 月 25 日，参加 WG5 工作组组织的标准评审会，标准于组内投票过，形成标准征求意见稿。12）目前正在推进信息安全技术网络安全等级保护测评要求第 3 部分：移动互联安全扩展要求后续专家评审和修订工作。五、标准的主要内容信息安全技术网络安全等级保护测评要求第 3 部分：移动互联安全扩展要求定义了访谈、检查和测试等基本测评方法，规范了测评力度和测评内容等基本概念，并针对第一级、第二级、第三级和第四级采用移动互联技术的系统提出了实施测试评估活动的要求，以保证移动互联的等级测评过程、测评结果和结论的一致性、可比性和可重复性。信息安全技术网络安全等级保护测评要求第 3 部分：移动互联安全扩展要求标准文本主体由 9 个章节正文和 2 个附录组成。第 1 章、第 2 章和第 3 章为标准的固定格式要求，说明移动互联安全扩展要求标准的使用范围、引用的其他标准、使用到的术语定义。第 4 章描述了等级测评的基本概念，对测评内容、测评力度以及标准的使用方法进行说明。名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页，共 4 页 -7 第 5 章到第 8 章分别描述了第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统单元测评的内容。单元测评是等级测评基本工作单元，针对移动互联安全扩展要求中的单一安全控制点的测评，从测评指标、测评对象、测评实施和结果判定四个方面进行描述。主要技术内容包括：物理和环境安全测评要求（移动互联）设备和计算安全测评要求（移动互联）网络和通信安全测评要求（移动互联）应用和数据安全测评要求（移动互联）主要管理内容包括：安全策略和管理制度测评要求（移动互联）安全管理机构和人员测评要求（移动互联）系统安全建设管理测评要求（移动互联）系统安全运维管理测评要求（移动互联）第 9 章为第五级信息系统单元测评，内容另行制定。附录 A提供了 2 个表格，用于描述测评方法的测评力度和不同安全等级信息系统的测评力度要求，方便读者理解和对比不同测评方式的测评力度以及不同级别信息系统安全控制测评的测评力度增强情况。附录 B，描述了测评指标编码规则及专用缩略语。六、与相关法律法规及国家有关规定、国内相关标准的关系本标准与现行法律、法规以及国家标准没有冲突与矛盾的地方。七、有关问题的说明项目组在标准编制过程中，经历了内部讨论与论证、专家评审等过程，项目组在工作过程中遵循编制原则，对国内外的移动互联安全进行了调研，完成了标准制定工作。在整个过程中未遇到重大意见分歧，对专家提出的意见和建议，我们做了应答和处理，更好地完善了我们的标准编制工作。“移动互联安全扩展测评要求”标准编制组 2016年 8 月名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页，共 4 页 -