《移動終端信息安全—第3部分:敏感信息風險評估》(DB44/T 2189.3-2019)是2019年12月1日實施的一項中華人民共和國廣東省地方標準,歸口於廣東省大數據標準化技術委員會。
地方標準《移動終端信息安全—第3部分:敏感信息風險評估》(DB44/T 2189.3-2019)規定了敏感信息生成階段、存儲階段、加工階段、轉移階段、套用階段、廢止與刪除階段的風險評估實施流程、評估內容和評估方法。該標準適用於移動通信網的智慧型手機和平板電腦設備。
基本介紹
- 中文名:移動終端信息安全—第3部分:敏感信息風險評估
- 外文名:Informataion security of mobile terminal—Part3:Risk evaluation for sensitiveinformation
- 標準號:DB44/T 2189.3-2019
- 發布日期:2019-09-09
- 實施日期:2019-12-01
- 中國標準分類號:M36
- 國際標準分類號:35.060
- 技術歸口:廣東省大數據標準化技術委員會
- 批准發布部門:廣東省市場監督管理局
- 行業分類:信息傳輸、軟體和信息技術服務業
- 標準類別:管理標準
- 性質:推薦性地方標準
- 狀態:現行
制定過程,制定背景,編制進程,制定依據,起草工作,標準目次,內容範圍,引用檔案,意義價值,
制定過程
制定背景
中國移動網際網路行業面臨著嚴峻的安全形勢,針對移動智慧型終端的安全事件時有發生,造成的後果日益嚴重,而大部分信息安全事件的產生根源在於智慧型移動終端用戶敏感數據信息泄露。中國國內針對移動智慧型終端及移動網際網路行業的安全風險評估、安全檢測等標準體系正在不斷完善,但缺乏專門針對智慧型移動終端敏感信息的安全檢測、安全風險評估的標準規範,這對大數據套用、移動網際網路等行業的質量監督檢驗及質量提升造成了一定的困難。因此亟需開展專門針對智慧型移動終端敏感信息的安全評估與檢測制定相關的標準。
編制進程
- 標準計畫
地方標準《移動終端信息安全—第3部分:敏感信息風險評估》(DB44/T 2189.3-2019)由廣東省工業和信息化廳提出,由廣東省大數據標準化技術委員會歸口。
- 成立項目工作組
2016年初,工業和信息化部電子第五研究所組織成立廣東省地方標準《移動終端信息安全—第3部分:敏感信息風險評估》項目工作組,由單位的相關專家和技術骨幹組成,確定標準的編制思路。
- 草案稿討論
2016年3月,工作組及時了解國際移動終端信息敏感信息安全的技術標準,同時收集分析中國國內敏感信息安全的發展現狀與特點,研究了相關參考標準的文章組織結構、表達方法以及移動終端敏感信息安全技術要求的基本結構和特點,初擬了標準文稿的大綱。
2016年4月,召開工作組內部會議,邀請信息安全領域的相關專家共同對草案多次進行商議和修改,形成《移動終端信息安全—第3部分:敏感信息風險評估》標準草案。會議邀請4位外部專家指導,會議共收集4位專家8條意見,全部採納。
- 徵求意見稿階段
工作組在調研的基礎上,將目標任務進行分解,明確工作的目標與內容,編制廣東省服務業地方標準制修訂計畫項目申報書,多次召開項目專家評審會,徵集專家意見,並參加由廣東省質監局組織的標準立項會議,聽取與會專家的修改意見。
2016年5月,工作組參與由廣東省質監局組織的標準立項會議,工作組聽取了來自華南師範大學、廣東省市標院等單位的專家共同對草案進行討論並修改,會議收集了3位專家的8條修改意見,全部採納,並按照意見進行了修改。
2016年8月,工作組負責人召開項目會議討論,邀請中山大學、華南師範大學等信息安全領域的相關專家參與,會議收集3條修改意見,均完全採納。
- 送審討論稿
2016年9月,工作組與移動終端企業進行交流,介紹標準的寫作內容,徵求相關專家的意見,以便保證標準內容的正確性和可操作性,共徵集17家相關企業的25條修改意見(其中12家企業無意見),採納22條,部分採納2條,不採納1條。
- 送審稿
2017年3月,工作組在送審討論稿的基礎上,進行重新修改和調整,確定為送審稿,並向廣東省質監局申請召開標準審定會。
- 發布實施
2019年9月9日,地方標準《移動終端信息安全—第3部分:敏感信息風險評估》(DB44/T 2189.3-2019)由中華人民共和國廣東省市場監督管理局發布。
2019年12月1日,地方標準《移動終端信息安全—第3部分:敏感信息風險評估》(DB44/T 2189.3-2019)實施。
制定依據
地方標準《移動終端信息安全—第3部分:敏感信息風險評估》(DB44/T 2189.3-2019)依據中國國家標準《標準化工作導則—第1部分:標準的結構和編寫》(GB/T 1.1-2009)規則起草。
起草工作
主要起草單位:工業和信息化部電子第五研究所。
主要起草人:王韜、王貴虎、楊春暉、林軍、馮曉榮、謝克強、華小方。
標準目次
前言 | Ⅲ |
|---|---|
1 範圍 | 1 |
2 規範性引用檔案 | 1 |
3 術語和定義 | 1 |
4 概述 | 1 |
5 移動終端敏感信息風險評估模型 | 1 |
6 敏感信息風險要素識別 | 2 |
7 敏感信息風險評估實施 | 4 |
8 敏感信息風險分析 | 10 |
9 敏感信息風險評估文檔 | 11 |
參考文獻 | 12 |
參考資料:
內容範圍
地方標準《移動終端信息安全—第3部分:敏感信息風險評估》(DB44/T 2189.3-2019)規定了敏感信息生成階段、存儲階段、加工階段、轉移階段、套用階段、廢止與刪除階段的風險評估實施流程、評估內容和評估方法。該標準適用於移動通信網的智慧型手機和平板電腦設備。
引用檔案
GB/T 20984-2007 信息安全技術—信息安全風險評估規範 | GB/Z 24364-2009 信息安全技術—信息安全風險管理指南 |
DB44/T 2189.1-2019 移動終端信息安全—第1部分:敏感信息安全檢測技術要求 | - |
參考資料:
意義價值
地方標準《移動終端信息安全—第3部分:敏感信息風險評估》(DB44/T 2189.3-2019)旨在制定廣東省大數據套用環境下移動終端信息安全測試技術要求,為廣東省移動終端產業在大數據環境下的敏感信息安全測試提供規範指引;有利於規範針對信息安全防護能力的設計和研發,形成良好的安全防護技術規範;提高產品套用的自主創新水平,推動廣東省移動終端行業質量提升,不斷推動大數據套用環境下移動網際網路產業的快速健康發展。另外,也可供關注移動終端敏感信息安全檢測的從業人員和研究機構提供理論參考。
