本文我们一起来看一下,移动安全有哪些安全政策/法规。首先是《网络安全法》,它自2017年6月1日起施行,使得我国的网络安全犯罪有法可依,也是我国有关网络安全的一部基础性的法律。
另外一个是《个人信息保护法》,它在今年的3月份已经提交了人大审核,还没有正式发布。
还有一个重要的法律是《中华人民共和国密码法》,密码法是我们商用密码测评的一个重要依据。它将密码分成了核心密码、普通密码和商用密码,核心密码和普通密码一般用来保护国家秘密,商用密码一般保护非国家秘密。现在国家对商用密码也提了一些要求,也在大力推广我们国家的一些国密,像SM2、SM3这些。我们的国密算法在安全性上是比较高的,有些还成了国际标准。
《关于开展App违法违规收集使用个人信息专项治理的公告》,这个是国家四部委联合发布的。从19年的1月份到12月份,公安部门也针对其规定进行过一些检查。
《市场监管总局中央网信办 关于开展App安全认证工作的公告》是由市场监管总局和中央网信办联合发布的,这个公告里有一个需要我们注意的点是,一年内发生重大安全事件不得申请APP安全认证。
中央网信办还发布了一个《中央网信办具有舆论属性或社会动员能力的互联网信息服务安全评估规定》,他也有一个需要我们注意的地方,就是新软件(包括小程序)提交上架必须提供安全评估报告。
以上是政策法规,接下来我们一起看一下安全相关的一些标准。像《YD/T 3228-2017 移动应用软件安全评估方法》,这个标准规定了移动应用软件安全评估方法,包括评估架构、安全分级和评估方法。
《GB_T 35273-2020 信息安全技术 个人信息安全规范》是针对个人信息的收集、存储、使用等做了一些相关规定。
还有一个强制标准,《GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》,它里面涵盖了移动互联扩展要求的一些规定和要求。
再重点给大家说一个《YD/T2439-2012 移动互联网恶意程序描述格式》,比如说,网约车要上线,去走各部门的流程的时候,这部分的内容是必须要嵌入进去的,是要体现在安全报告中的。
最后一个《GM/T 0054-2018 信息系统密码应用基本要求》,这个也是我们商用密码测评的一个重要依据。剩下的我们就不一一来说了。
接下来我们一起看一下相关的发文和规范。
中国人民银行办公厅关于开展支付安全风险专项排查工作的通知
颁布日期:2018-08-15
发文文号:银办发[2018]146号
中国人民银行关于进一步加强银行卡风险管理的通知
颁布日期:2016-06-15
实施日期:2016-06-15
发文文号:银发[2016]170号
四部门联合发公告,开展App违法违规收集使用个人信息专项治理
日期:2019-01-25
1月25日,中央网信办、工业和信息化部、公安部、市场监管总局在北京举行“App违法违规收集使用个人信息专项治理”新闻发布会,正式对外发布《关于开展App违法违规收集使用个人信息专项治理的公告》。
公安部每年也会举行一些护网行动、净网行动,都是去查找一些暴漏的安全问题和安全漏洞。
《工业和信息化部国务院国有资产监督管理委员会关于开展基础电信企业网络与信息安全责任考核有关工作的指导意见》(工信部联保〔2012〕551 号)
《2019年基础电信企业专业公司网络与信息安全工作考核要点与评分标准》)
《电信和互联网行业提升网络数据安全保护能力专项行动方案》工信厅网安〔2019〕42号