《移动终端信息安全—第3部分:敏感信息风险评估》(DB44/T 2189.3-2019)是2019年12月1日实施的一项中华人民共和国广东省地方标准,归口于广东省大数据标准化技术委员会。
地方标准《移动终端信息安全—第3部分:敏感信息风险评估》(DB44/T 2189.3-2019)规定了敏感信息生成阶段、存储阶段、加工阶段、转移阶段、应用阶段、废止与删除阶段的风险评估实施流程、评估内容和评估方法。该标准适用于移动通信网的智能手机和平板电脑设备。
中国移动互联网行业面临着严峻的安全形势,针对移动智能终端的安全事件时有发生,造成的后果日益严重,而大部分信息安全事件的产生根源在于智能移动终端用户敏感数据信息泄露。中国国内针对移动智能终端及移动互联网行业的安全风险评估、安全检测等标准体系正在不断完善,但缺乏专门针对智能移动终端敏感信息的安全检测、安全风险评估的标准规范,这对大数据应用、移动互联网等行业的质量监督检验及质量提升造成了一定的困难。因此亟需开展专门针对智能移动终端敏感信息的安全评估与检测制定相关的标准。
标准计划
地方标准《移动终端信息安全—第3部分:敏感信息风险评估》(DB44/T 2189.3-2019)由广东省工业和信息化厅提出,由广东省大数据标准化技术委员会归口。
成立项目工作组2016年初,工业和信息化部电子第五研究所组织成立广东省地方标准《移动终端信息安全—第3部分:敏感信息风险评估》项目工作组,由单位的相关专家和技术骨干组成,确定标准的编制思路。
草案稿讨论2016年3月,工作组及时了解国际移动终端信息敏感信息安全的技术标准,同时收集分析中国国内敏感信息安全的发展现状与特点,研究了相关参考标准的文章组织结构、表达方法以及移动终端敏感信息安全技术要求的基本结构和特点,初拟了标准文稿的大纲。
2016年4月,召开工作组内部会议,邀请信息安全领域的相关专家共同对草案多次进行商议和修改,形成《移动终端信息安全—第3部分:敏感信息风险评估》标准草案。会议邀请4位外部专家指导,会议共收集4位专家8条意见,全部采纳。
征求意见稿阶段工作组在调研的基础上,将目标任务进行分解,明确工作的目标与内容,编制广东省服务业地方标准制修订计划项目申报书,多次召开项目专家评审会,征集专家意见,并参加由广东省质监局组织的标准立项会议,听取与会专家的修改意见。
2016年5月,工作组参与由广东省质监局组织的标准立项会议,工作组听取了来自华南师范大学、广东省市标院等单位的专家共同对草案进行讨论并修改,会议收集了3位专家的8条修改意见,全部采纳,并按照意见进行了修改。
2016年8月,工作组负责人召开项目会议讨论,邀请中山大学、华南师范大学等信息安全领域的相关专家参与,会议收集3条修改意见,均完全采纳。
送审讨论稿2016年9月,工作组与移动终端企业进行交流,介绍标准的写作内容,征求相关专家的意见,以便保证标准内容的正确性和可操作性,共征集17家相关企业的25条修改意见(其中12家企业无意见),采纳22条,部分采纳2条,不采纳1条。
送审稿2017年3月,工作组在送审讨论稿的基础上,进行重新修改和调整,确定为送审稿,并向广东省质监局申请召开标准审定会。
发布实施2019年9月9日,地方标准《移动终端信息安全—第3部分:敏感信息风险评估》(DB44/T 2189.3-2019)由中华人民共和国广东省市场监督管理局发布。
2019年12月1日,地方标准《移动终端信息安全—第3部分:敏感信息风险评估》(DB44/T 2189.3-2019)实施。
地方标准《移动终端信息安全—第3部分:敏感信息风险评估》(DB44/T 2189.3-2019)依据中国国家标准《标准化工作导则—第1部分:标准的结构和编写》(GB/T 1.1-2009)规则起草。
主要起草单位:工业和信息化部电子第五研究所。
主要起草人:王韬、王贵虎、杨春晖、林军、冯晓荣、谢克强、华小方。
前言 | Ⅲ |
|---|---|
1 范围 | 1 |
2 规范性引用文件 | 1 |
3 术语和定义 | 1 |
4 概述 | 1 |
5 移动终端敏感信息风险评估模型 | 1 |
6 敏感信息风险要素识别 | 2 |
7 敏感信息风险评估实施 | 4 |
8 敏感信息风险分析 | 10 |
9 敏感信息风险评估文档 | 11 |
参考文献 | 12 |
参考资料:
地方标准《移动终端信息安全—第3部分:敏感信息风险评估》(DB44/T 2189.3-2019)规定了敏感信息生成阶段、存储阶段、加工阶段、转移阶段、应用阶段、废止与删除阶段的风险评估实施流程、评估内容和评估方法。该标准适用于移动通信网的智能手机和平板电脑设备。
GB/T 20984-2007 信息安全技术—信息安全风险评估规范 | GB/Z 24364-2009 信息安全技术—信息安全风险管理指南 |
DB44/T 2189.1-2019 移动终端信息安全—第1部分:敏感信息安全检测技术要求 | - |
参考资料:
地方标准《移动终端信息安全—第3部分:敏感信息风险评估》(DB44/T 2189.3-2019)旨在制定广东省大数据应用环境下移动终端信息安全测试技术要求,为广东省移动终端产业在大数据环境下的敏感信息安全测试提供规范指引;有利于规范针对信息安全防护能力的设计和研发,形成良好的安全防护技术规范;提高产品应用的自主创新水平,推动广东省移动终端行业质量提升,不断推动大数据应用环境下移动互联网产业的快速健康发展。另外,也可供关注移动终端敏感信息安全检测的从业人员和研究机构提供理论参考。
温馨提示:
