《移動(dòng)終端雙系統(tǒng)產(chǎn)品安全評(píng)價(jià)規(guī)范》(2017RB013)-編制說(shuō)明
《《移動(dòng)終端雙系統(tǒng)產(chǎn)品安全評(píng)價(jià)規(guī)范》(2017RB013)-編制說(shuō)明》由會(huì)員分享,可在線閱讀,更多相關(guān)《《移動(dòng)終端雙系統(tǒng)產(chǎn)品安全評(píng)價(jià)規(guī)范》(2017RB013)-編制說(shuō)明(7頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
附件7: 認(rèn)證認(rèn)可行業(yè)標(biāo)準(zhǔn)草案編制說(shuō)明 (參考格式) 1、基本信息 1.1 標(biāo)準(zhǔn)草案名稱 中文 移動(dòng)終端雙系統(tǒng)產(chǎn)品安全評(píng)價(jià)規(guī)范 英文 Security evaluation specifications for Dual-System of mobile device 1.2 與國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)一致性程度情況 □等同采用 □修改采用 □非等效采用 R未采用 標(biāo)準(zhǔn)編號(hào) / 英文名稱 / 中文名稱 / 1.3 任務(wù)來(lái)源 批準(zhǔn)立項(xiàng)的文件名稱和文件號(hào) 國(guó)家認(rèn)監(jiān)委關(guān)于下達(dá)2017年第一批認(rèn)證認(rèn)可行業(yè)標(biāo)準(zhǔn)制定計(jì)劃項(xiàng)目的通知(國(guó)認(rèn)科[2017]70號(hào)) 計(jì)劃編號(hào) 2017RB013 1.4制(修)訂 制定 □修訂(被修訂標(biāo)準(zhǔn)名稱及編號(hào): ) 1.5 起止時(shí)間 2017年6 月16日--- 2018年 12月31日 1.6 標(biāo)準(zhǔn)起草單位 中國(guó)網(wǎng)安安全審查技術(shù)與認(rèn)證中心、信息產(chǎn)業(yè)信息安全測(cè)評(píng)中心 1.7 起草組成員 劉思蓉、霍珊珊、董晶晶、蘭丹妮、崔穎、劉宇、劉健、畢強(qiáng)、賈雪飛、吳迪、布寧、胡楊 1.8標(biāo)準(zhǔn)體系表內(nèi)編號(hào) 1.9調(diào)整情況 2、背景情況 2.1 目的、意義 (工作開(kāi)展背景及要求) 隨著移動(dòng)互聯(lián)網(wǎng)技術(shù)飛速發(fā)展,移動(dòng)智能終端設(shè)備功能越來(lái)越強(qiáng)大,移動(dòng)智能終端正逐漸由影響我們的生活開(kāi)始走進(jìn)我們的工作當(dāng)中。移動(dòng)智能終端為企事業(yè)單位提供了更為豐富的辦公渠道、提高了工作效率,同時(shí),也為企事業(yè)單位保護(hù)和維護(hù)系統(tǒng)安全、數(shù)據(jù)安全帶來(lái)了更大的挑戰(zhàn)。由于移動(dòng)終端接入的開(kāi)放性、靈活性和終端的多樣性,因此其安全性一直備受關(guān)注。移動(dòng)終端雙系統(tǒng)產(chǎn)品應(yīng)運(yùn)而生,目前國(guó)內(nèi)相關(guān)產(chǎn)品存出不窮。 移動(dòng)終端雙系統(tǒng)產(chǎn)品是一種能夠在移動(dòng)終端上同時(shí)運(yùn)行的兩個(gè)系統(tǒng),并能夠?qū)崿F(xiàn)兩個(gè)系統(tǒng)數(shù)據(jù)相互隔離的移動(dòng)終端操作系統(tǒng)產(chǎn)品。兩個(gè)系統(tǒng)中,一個(gè)系統(tǒng)為安全系統(tǒng)(工作系統(tǒng)),一個(gè)為生活系統(tǒng)(個(gè)人系統(tǒng)),兩個(gè)系統(tǒng)同時(shí)運(yùn)行,互相隔離,兼顧工作使用和個(gè)人使用。工作系統(tǒng)和生活系統(tǒng)分別有各自獨(dú)立的文件系統(tǒng)、應(yīng)用和數(shù)據(jù),工作系統(tǒng)通常安裝內(nèi)網(wǎng)的工作應(yīng)用,生活系統(tǒng)安裝個(gè)人應(yīng)用,兩個(gè)系統(tǒng)擁有各自獨(dú)立的數(shù)據(jù)存儲(chǔ)區(qū),實(shí)現(xiàn)應(yīng)用和數(shù)據(jù)的隔離。在工作系統(tǒng)內(nèi),通??梢愿鶕?jù)用戶需求,從硬件驅(qū)動(dòng)層進(jìn)行限制(包括禁用工作系統(tǒng)的USB口、藍(lán)牙和SD卡等),能夠有效防止數(shù)據(jù)通過(guò)移動(dòng)終端泄露。 近年來(lái),移動(dòng)終端雙系統(tǒng)產(chǎn)品備受關(guān)注。因此,開(kāi)展移動(dòng)終端雙系統(tǒng)產(chǎn)品安全評(píng)價(jià)研究就顯得尤為迫切,制定《移動(dòng)終端雙系統(tǒng)產(chǎn)品安全評(píng)價(jià)規(guī)范》不僅可為用戶選擇移動(dòng)終端雙系統(tǒng)產(chǎn)品提供合理依據(jù),也可為移動(dòng)終端雙系統(tǒng)產(chǎn)品的研制、生產(chǎn)、測(cè)試、評(píng)估和認(rèn)證提供指導(dǎo),對(duì)于保障信息系統(tǒng)安全運(yùn)行和數(shù)據(jù)安全具有重要的意義。 另外,目前國(guó)內(nèi)移動(dòng)終端雙系統(tǒng)產(chǎn)品的實(shí)現(xiàn)水平不一,安全性參差不齊,與國(guó)外水平也存在一定的差距,在未來(lái)的應(yīng)用中必將存在很大的安全隱患。因此,必須盡快地建立一套移動(dòng)終端雙系統(tǒng)產(chǎn)品的安全技術(shù)評(píng)價(jià)標(biāo)準(zhǔn),來(lái)規(guī)范移動(dòng)終端雙系統(tǒng)產(chǎn)品功能及安全性的實(shí)現(xiàn),為移動(dòng)終端雙系統(tǒng)產(chǎn)品在未來(lái)的應(yīng)用中能夠提供更安全的服務(wù)奠定更堅(jiān)實(shí)的基礎(chǔ)。 2.2 與國(guó)內(nèi)外相關(guān)標(biāo)準(zhǔn)、文獻(xiàn)的關(guān)系 1. 目前國(guó)內(nèi)外尚無(wú)移動(dòng)終端雙系統(tǒng)產(chǎn)品安全技術(shù)相關(guān)標(biāo)準(zhǔn),國(guó)內(nèi)移動(dòng)終端雙系統(tǒng)行業(yè)的發(fā)展處于深度困擾和迷茫狀態(tài)中。出臺(tái)移動(dòng)終端雙系統(tǒng)產(chǎn)品的標(biāo)準(zhǔn),對(duì)于移動(dòng)終端雙系統(tǒng)行業(yè)的發(fā)展具備至關(guān)重要的作用。 2. 《移動(dòng)終端雙系統(tǒng)產(chǎn)品安全評(píng)價(jià)規(guī)范》制定項(xiàng)目將以《GB/T 18336-2015信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則》標(biāo)準(zhǔn)框架為基礎(chǔ),以提高和規(guī)范移動(dòng)終端雙系統(tǒng)產(chǎn)品安全技術(shù)為目標(biāo),充分考慮國(guó)內(nèi)外主要移動(dòng)終端雙系統(tǒng)產(chǎn)品的特點(diǎn)和安全機(jī)制,提出安全技術(shù)的評(píng)價(jià)規(guī)范,為國(guó)內(nèi)相關(guān)產(chǎn)品的研制、生產(chǎn)、測(cè)試和評(píng)估提供指導(dǎo)作用。 3. 《GB/T 18336信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則》等同采用ISO/IEC 15408國(guó)際標(biāo)準(zhǔn),對(duì)應(yīng)CC標(biāo)準(zhǔn)(Common Criteria for Information Technology Security Evaluation:信息技術(shù)安全性通用評(píng)估準(zhǔn)則)。 4. 國(guó)外CC標(biāo)準(zhǔn)發(fā)展情況 5. 國(guó)外,CC(Common Criteria)組織一直致力于信息安全通用評(píng)估準(zhǔn)則(Common Criteria for Information Technology Security Evaluation,簡(jiǎn)稱“CC”)的研究和發(fā)布。在1996年發(fā)布了信息技術(shù)安全評(píng)價(jià)通用準(zhǔn)則V1.0版,1998年發(fā)布CC V2.0版,1999年升級(jí)為CC V2.1版,同年被國(guó)際標(biāo)準(zhǔn)組織ISO吸納為國(guó)際標(biāo)準(zhǔn),編號(hào)ISO/IEC 15408:1999。 6. 隨著各國(guó)在使用該標(biāo)準(zhǔn)過(guò)程中經(jīng)驗(yàn)的積累和反饋,CC組織不斷對(duì)該標(biāo)準(zhǔn)進(jìn)行相關(guān)修訂工作,2005年發(fā)布了CC V2.3版,該版本被ISO組織吸納升級(jí)為國(guó)際標(biāo)準(zhǔn)ISO/IEC 15408:2005版。2006年CC組織發(fā)布了CC V3.1版,這次修訂對(duì)上一版本進(jìn)行了較大調(diào)整,經(jīng)過(guò)多次反復(fù)的意見(jiàn)征集和討論,最終在2009年7月發(fā)布最終修訂版(V3.1 Revision 3 Final)。2009年12月,國(guó)際標(biāo)準(zhǔn)組織ISO通過(guò)吸收CC V3.1的內(nèi)容,陸續(xù)將該標(biāo)準(zhǔn)的3部分完成發(fā)布(ISO/IEC 15408-1:2009、ISO/IEC 15408-2:2008、ISO/IEC 15408-3:2008),作廢了ISO/IEC 15408:2005標(biāo)準(zhǔn)。 7. 國(guó)內(nèi)GB/T 18336標(biāo)準(zhǔn)情況 8. 國(guó)內(nèi),2001年3月我國(guó)發(fā)布了信息安全技術(shù)評(píng)價(jià)的基礎(chǔ)標(biāo)準(zhǔn)《GB/T 18336-2001信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則》(等同采用國(guó)際標(biāo)準(zhǔn)ISO/IEC 15408:1999)。在GB/T 18336中定義了評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全性所需的基礎(chǔ)準(zhǔn)則,是度量信息技術(shù)安全性的基準(zhǔn)。該標(biāo)準(zhǔn)針對(duì)在安全性評(píng)估過(guò)程中,信息技術(shù)產(chǎn)品和系統(tǒng)的安全功能及相應(yīng)的保證措施提出一組通用要求,使各種相對(duì)獨(dú)立的安全性評(píng)估結(jié)果具有可比性。 9. 2008年6月根據(jù)相應(yīng)國(guó)際標(biāo)準(zhǔn)的修訂和更新情況,發(fā)布了該標(biāo)準(zhǔn)的新版本,編號(hào)為GB/T 18336-2008(等同采用國(guó)際標(biāo)準(zhǔn)ISO/IEC 15408:2005)。 10. 2015年根據(jù)相應(yīng)國(guó)際標(biāo)準(zhǔn)的修訂和更新情況,發(fā)布了該標(biāo)準(zhǔn)的最新版本,編號(hào)為GB/T 18336-2015(等同采用國(guó)際標(biāo)準(zhǔn)ISO/IEC 15408:2009),目前該標(biāo)準(zhǔn)已經(jīng)發(fā)布生效。 3 編制過(guò)程 3.1 分工情況 項(xiàng)目(標(biāo)準(zhǔn))承擔(dān)單位:中國(guó)網(wǎng)安安全審查技術(shù)與認(rèn)證中心、信息產(chǎn)業(yè)信息安全測(cè)評(píng)中心。 本標(biāo)準(zhǔn)共分為6個(gè)章節(jié),各部分內(nèi)容及分工如下: 1~3范圍、規(guī)范性引用文件、術(shù)語(yǔ)定義和縮略語(yǔ),由承擔(dān)單位共同編制。 4、評(píng)價(jià)過(guò)程:由中國(guó)網(wǎng)安安全審查技術(shù)與認(rèn)證中心負(fù)責(zé)編制。 5、評(píng)價(jià)要求:功能要求、安全要求、保障要求由信息產(chǎn)業(yè)信息安全測(cè)評(píng)中心負(fù)責(zé)編制, 總體說(shuō)明、質(zhì)量保證能力基本要求、產(chǎn)品一致性檢查由中國(guó)網(wǎng)安安全審查技術(shù)與認(rèn)證中心負(fù)責(zé)編制。 6、測(cè)評(píng)要求:由信息產(chǎn)業(yè)信息安全測(cè)評(píng)中心負(fù)責(zé)編制。 3.2起草階段 2017年6月-2017年12月 研究移動(dòng)終端雙系統(tǒng)產(chǎn)品有關(guān)規(guī)范,根據(jù)相關(guān)產(chǎn)品認(rèn)證工作開(kāi)展情況,在目前的草案基礎(chǔ)上提出《移動(dòng)終端雙系統(tǒng)產(chǎn)品安全評(píng)價(jià)規(guī)范》組內(nèi)討論稿。 2018年1月-2018年8月 結(jié)合認(rèn)證評(píng)價(jià)實(shí)踐和產(chǎn)品調(diào)研情況,修訂《移動(dòng)終端雙系統(tǒng)產(chǎn)品安全評(píng)價(jià)規(guī)范》組內(nèi)討論稿,形成征求意見(jiàn)稿。 2018年9月-2018年10月 對(duì)《移動(dòng)終端雙系統(tǒng)產(chǎn)品安全評(píng)價(jià)規(guī)范》(征求意見(jiàn)稿)向相關(guān)檢測(cè)機(jī)構(gòu)、技術(shù)專家、企業(yè)等以函件和會(huì)議形式征求意見(jiàn)。 3.3征求意見(jiàn)階段 2018年9~11月,以郵件形式向相關(guān)第三方檢測(cè)機(jī)構(gòu)、技術(shù)專家、企業(yè)征求意見(jiàn),并以會(huì)議形式向項(xiàng)目組及相關(guān)機(jī)構(gòu)、專家征求意見(jiàn),達(dá)成一致。 3.4標(biāo)準(zhǔn)審定階段 4 主要技術(shù)內(nèi)容的確定 1、 研究?jī)?nèi)容 本項(xiàng)目研究?jī)?nèi)容包括: 1) 通過(guò)分析國(guó)內(nèi)外移動(dòng)終端雙系統(tǒng)產(chǎn)品涉及的關(guān)鍵技術(shù)及工作原理,確定安全邊界并分析其“安全環(huán)境”; 2) 結(jié)合產(chǎn)品功能和實(shí)際需求,識(shí)別移動(dòng)終端雙系統(tǒng)產(chǎn)品應(yīng)用可能存在的威脅及安全假設(shè); 3) 基于安全環(huán)境、安全威脅和應(yīng)用假設(shè)的分析結(jié)果,提煉、標(biāo)識(shí)移動(dòng)終端雙系統(tǒng)產(chǎn)品應(yīng)達(dá)到的技術(shù)和管理“安全目標(biāo)”; 4) 根據(jù)確定的安全目標(biāo),結(jié)合現(xiàn)有技術(shù)和法律法規(guī)要求提出對(duì)移動(dòng)終端雙系統(tǒng)產(chǎn)品的技術(shù)要求; 5) 基于產(chǎn)品功能和安全功能技術(shù)要求,研究制定相應(yīng)的檢測(cè)方法,并建立相關(guān)評(píng)價(jià)準(zhǔn)則; 6) 根據(jù)我國(guó)產(chǎn)業(yè)發(fā)展現(xiàn)狀,及用戶應(yīng)用和國(guó)家信息安全管理需要,確定有效實(shí)現(xiàn)移動(dòng)終端雙系統(tǒng)產(chǎn)品安全目標(biāo)導(dǎo)出的安全要求,產(chǎn)品研發(fā)生產(chǎn)者信息安全保障能力應(yīng)達(dá)到的級(jí)別,明確相關(guān)要求及方法; 7) 綜合產(chǎn)品功能、安全功能、安全保障能力要求,及相應(yīng)測(cè)試評(píng)價(jià)方法的研究結(jié)果,形成標(biāo)準(zhǔn)草案; 8) 根據(jù)標(biāo)準(zhǔn)驗(yàn)證應(yīng)用結(jié)果、專家評(píng)審意見(jiàn),修訂標(biāo)準(zhǔn)草案,包括:在檢測(cè)認(rèn)證活動(dòng)中驗(yàn)證應(yīng)用標(biāo)準(zhǔn),組織專家對(duì)標(biāo)準(zhǔn)草案及驗(yàn)證應(yīng)用情況進(jìn)行評(píng)審,遵循保證標(biāo)準(zhǔn)科學(xué)性、可操作性、一定前瞻性等原則,對(duì)標(biāo)準(zhǔn)草案進(jìn)行修訂。 2、 技術(shù)方案 本項(xiàng)目擬采取的技術(shù)路線如下: 1) 廣泛調(diào)研國(guó)內(nèi)外移動(dòng)終端雙系統(tǒng)產(chǎn)品技術(shù)現(xiàn)狀,深入分析移動(dòng)終端雙系統(tǒng)產(chǎn)品實(shí)際需求; 2) 基于分析調(diào)研結(jié)果,確定產(chǎn)品安全邊界,并分析產(chǎn)品“安全環(huán)境”,識(shí)別可能存在的威脅、組織安全策略及安全用戶假設(shè); 3) 根據(jù)識(shí)別的安全環(huán)境和威脅,標(biāo)識(shí)技術(shù)和管理“安全目標(biāo)”; 4) 依據(jù)安全目標(biāo),從《GB/T 18336-2015信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則》第二部分中選取相應(yīng)的安全功能要求組件,研究制定相應(yīng)的檢測(cè)和評(píng)價(jià)方法,并增加標(biāo)識(shí)產(chǎn)品的功能要求,及相應(yīng)測(cè)試評(píng)價(jià)方法; 5) 根據(jù)當(dāng)前管理和應(yīng)用需求,確定移動(dòng)終端雙系統(tǒng)產(chǎn)品應(yīng)達(dá)到的信息安全保障能力級(jí)別,從《GB/T 18336-2015信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則》第三部分中選取相應(yīng)的安全保障要求組件,并規(guī)定相關(guān)評(píng)估方法和評(píng)價(jià)準(zhǔn)則; 6) 制定移動(dòng)終端雙系統(tǒng)產(chǎn)品安全評(píng)價(jià)規(guī)范草案; 7) 在檢測(cè)、認(rèn)證活動(dòng)中驗(yàn)證移動(dòng)終端雙系統(tǒng)產(chǎn)品安全評(píng)價(jià)規(guī)范標(biāo)準(zhǔn)草案,并根據(jù)需要進(jìn)行標(biāo)準(zhǔn)草案修訂。 5 驗(yàn)證情況(適用于方法類標(biāo)準(zhǔn)) 5.1 驗(yàn)證單位情況 驗(yàn)證單位 驗(yàn)證人員 驗(yàn)證時(shí)間 5.2 驗(yàn)證、試行過(guò)程 5.3 驗(yàn)證數(shù)據(jù)分析 5.4 驗(yàn)證、試行評(píng)價(jià) 5.5 其他應(yīng)說(shuō)明的情況 無(wú) 6 附加說(shuō)明(可選項(xiàng)) 6.1 宣貫標(biāo)準(zhǔn)的建議 6.2 修訂和廢除現(xiàn)行有關(guān)標(biāo)準(zhǔn)的建議 6.3重大分歧意見(jiàn)的處理經(jīng)過(guò)和依據(jù) 6.4 其他需要說(shuō)明的情況 6.5 參考文獻(xiàn) 聯(lián)系人 聯(lián)系電話 電子郵箱 注1:本格式的通用部分為第1章、第2章、第4章和第6章。 注2:3.4適用于標(biāo)準(zhǔn)草案送審稿,3.5適用于標(biāo)準(zhǔn)草案報(bào)批稿,3.6中“預(yù)期的管理目標(biāo)”適用于規(guī)程類標(biāo)準(zhǔn),3.6中“技術(shù)指標(biāo)”適用于方法類標(biāo)準(zhǔn),第5章適用于方法類標(biāo)準(zhǔn)編制說(shuō)明的編寫(xiě)。 注3:3.1和第6章為可選項(xiàng),其余為必填項(xiàng)。 編寫(xiě)日期: 年 月 日- 1.請(qǐng)仔細(xì)閱讀文檔,確保文檔完整性,對(duì)于不預(yù)覽、不比對(duì)內(nèi)容而直接下載帶來(lái)的問(wèn)題本站不予受理。
- 2.下載的文檔,不會(huì)出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請(qǐng)點(diǎn)此認(rèn)領(lǐng)!既往收益都?xì)w您。
下載文檔到電腦,查找使用更方便
3 積分
下載 |
- 配套講稿:
如PPT文件的首頁(yè)顯示word圖標(biāo),表示該P(yáng)PT已包含配套word講稿。雙擊word圖標(biāo)可打開(kāi)word文檔。
- 特殊限制:
部分文檔作品中含有的國(guó)旗、國(guó)徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計(jì)者僅對(duì)作品中獨(dú)創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 移動(dòng)終端雙系統(tǒng)產(chǎn)品安全評(píng)價(jià)規(guī)范 移動(dòng) 終端 雙系統(tǒng) 產(chǎn)品 安全評(píng)價(jià) 規(guī)范 2017 RB013 編制 說(shuō)明
鏈接地址:http://m.hcyjhs8.com/p-719358.html