信息安全技術 移動互聯(lián)網安全審計指南-編制說明

工作簡況任務來源《信息安全技術移動互聯(lián)網安全審計技術要求》是全國信息安全標準化技術委員會2013年下達的信息安全國家標準制定項目，由北京交通大學主要負責起草，浪潮通信信息系統(tǒng)有限公司、思福迪信息技術有限公司、中國信息安全認證中心共同參與了該標準的起草工作。主要工作過程1、2013年6月由北京交通大學、浪潮通信信息系統(tǒng)有限公司、思福迪信息技術有限公司、中國信息安全認證中心共同組成標準編制組，召開該標準編制啟動工作會議。會上，對標準編制的組織形式及任務分工進行了安排，成立技術規(guī)范編制小組；2、2013年6-10月查找國內外相關技術資料，研究移動互聯(lián)網安全審計的相關技術。3、2013年11月，編制組組織技術專家研討會，依據GB/T18336-2001《信息技術安全技術信息技術安全性評估準則》等標準，確定技術規(guī)范的核心切入點與關鍵點。4、2014年1月-4月，編制組根據前期調研結果，結合專家研討會的意見，起草技術規(guī)范草案。期間多次與專家溝通意見，不斷的進行草案修改。5、2014年5月完成移動互聯(lián)網安全審計技術標準規(guī)范草案初稿。6、2014年7月25日，召開標準檢查會議。編制組根據專家提出的意見，對草案文本進行了修改完善。7、2014年9月1日，編制組進一步討論草案中現(xiàn)存的問題，進行了修改。8、2014年10月23日，第二次專家評審會。9、2014年11月17日，編制組專門對專家關于標準中術語的意見和建議，進行了處理，進一步完善了標準文本，形成了第二版草案文本。10、2014年12月22日，專家進一步提出改進意見，繼續(xù)完善。11、2015年1月14日，編制組會議，對目前的工作進展進行總結。12、2015年2月5日，第三次專家評審會。13、2015年3月-6月，根據專家意見和建議，重新組織標準架構和編寫思路，將標準名稱改為“信息安全技術移動互聯(lián)網安全審計技術要求”。14、2015年6月8日，邀請崔書昆、趙戰(zhàn)生、馮惠三位專家咨詢、指導。15、2015年7月-12月，根據三位專家意見，補充了一些內容，改用了最新版的國家標準模板，改進了標準語言描述的準確性。16、2015年12月8日，邀請崔書昆、趙戰(zhàn)生二位專家咨詢、指導。17、2015年12月，根據專家意見，征求了中國電信上海研究院、移動研究院兩家運營商相關人士的意見。18、2015年12月-2016年1月，根據二位專家以及運營商的意見和建議，對一些內容進行了修訂，修改了標準中的部分措辭，重新整理描述了安全審計技術體系和審計代理等相關內容，刪減了部分冗余內容。19、2016年1月，形成第三版草案文本。20、2016年1月，組織專家評審會征求專家意見。21、2016年2月-3月，根據專家意見修改草案。22、2016年3月31日，參加CCSA會議討論征求意見稿，廣泛征求意見。23、2016年4月-5月，根據CCSA會議意見修改征求意見稿。24、2016年7月6日，參加CCSA會議討論征求意見稿，廣泛征求意見。25、2016年8月-12月，根據CCSA會議專家意見修改征求意見稿。26、2016年12月29日，參加CCSA會議討論征求意見稿，廣泛征求意見。27、2017年1月-3月，根據CCSA會議專家意見修改征求意見稿。28、2017年4月，參加CCSA會議討論征求意見稿，廣泛征求意見。29、2017年4月-6月，根據CCSA會議專家意見修改征求意見稿。30、2017年7月14日，參加CCSA-TC8-WG2第51次會議討論，廣泛征求意見，組內審查通過。31、2017年10月16日，參加CCSA-TC260-WG6第4次會議，討論征求意見稿。32、2017年11月，根據CCSA-TC260-WG6第4次會議專家意見，修改征求意見稿。33、2018年1月，根據TC260秘書處在公開征求意見前收集到的一些專家意見進行修改,全部采納。編制原則和主要內容2.1編制原則本標準編制過程中，考慮到該標準的重要作用，結合我國移動互聯(lián)網信息安全體系相關標準和傳統(tǒng)網絡安全審計相關標準的研制現(xiàn)狀，本標準擬為移動互聯(lián)網安全審計平臺的設計與實現(xiàn)提供參考，為滿足安全審計要求的移動終端開發(fā)者提供參考，指導移動互聯(lián)網安全審計體系的構建。鑒于此，根據移動互聯(lián)網的特點和移動互聯(lián)網內部等方面的問題，建立針對移動互聯(lián)網安全審計的統(tǒng)一性要求。編制該技術規(guī)范的基本原則如下：科學合理，技術先進，積極參考國內外先進技術方法、標準；目的明確，有利于促進技術進步，提高科研水平；經濟適用，有利于合理利用資源，提高經濟效益。2.2主要內容本標準明確了安全審計的目的，規(guī)定了移動互聯(lián)網安全審計的體系結構、網絡架構、功能框架和基本模型。適用于安全審計產品的開發(fā)者、評估者和消費者。本標準主要框架如下：前言 引言 范圍 規(guī)范性引用文件 術語和定義 縮略語 移動互聯(lián)網安全審計體系移動互聯(lián)網安全審計體系架構功能框架安全審計模型功能要求綜述安全要求審計策略定制審計跟蹤審計記錄審計存儲審計分析審計代理審計響應審計記錄歸檔審計報告生成審計查閱參考文獻附錄A（資料性附錄）移動互聯(lián)網安全審計中的角色和職責主要試驗（或驗證）的分析、綜述報告，技術經濟論證，預期的經濟效果本標準的制定與目前國家開展移動互聯(lián)網信息安全管理工作緊密相關，作為了解和使用移動互聯(lián)網安全審計產品的基礎標準之一，本標準定義了移動互聯(lián)網安全架構以及安全審計在其中的位置，規(guī)定了移動互聯(lián)網安全審計的體系結構、網絡架構、功能框架和基本模型，并對移動互聯(lián)網應用安全審計平臺及滿足要求的移動終端的功能進行要求。本標準適用于安全審計評測機構、應用審計產品與服務提供商等評估主體對移動互聯(lián)網安全審計平臺和移動終端進行評估，也可用于指導移動互聯(lián)網安全審計平臺及移動終端的研制和開發(fā)。消費者可以使用評估結果來幫助決定安全審計平臺或移動終端是否滿足安全審計的需求，以及以此為參照比較不同的安全審計平臺。對于移動互聯(lián)網安全審計產業(yè)及其上下游產業(yè)的發(fā)展都有借鑒和推動意義。與有關的現(xiàn)行法律、法規(guī)和強制性國家標準的關系本標準基于GB/T25069-2010、GB17859-1999、GB/T20271-2006中的術語和要求，參考了GB/T18336.2-2008、GB/T18794.7-2003、20271-2006中的部分內容，與國家現(xiàn)行法律、法規(guī)和相關的強制性國家標準一致。本規(guī)范旨在總體上對安全審計體系架構和功能框架進行要求，GB20945-2013僅