GB/T 42884-2023信息安全技術(shù)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)生命周期安全管理指南

ICS35030

CCSL.80

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T42884—2023

信息安全技術(shù)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序App

()

生命周期安全管理指南

Informationsecuritytechnology—Guidelinesforlifecyclesecuritymanagement

ofmobileInternetalicationsA

pp(pp)

2023-08-06發(fā)布2024-03-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T42884—2023

目次

前言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

縮略語(yǔ)

4……………………2

概述

5………………………2

存在的安全問(wèn)題

5.1App………………2

生命周期安全管理

5.2App……………2

生命周期階段管理過(guò)程

6…………………3

需求分析階段

6.1………………………3

開(kāi)發(fā)設(shè)計(jì)階段

6.2………………………4

測(cè)試驗(yàn)證階段

6.3………………………5

上架發(fā)布階段

6.4………………………6

安裝運(yùn)行階段

6.5………………………7

更新維護(hù)階段

6.6………………………7

終止運(yùn)營(yíng)階段

6.7………………………8

其他安全支持過(guò)程

6.8…………………8

風(fēng)險(xiǎn)監(jiān)測(cè)管理過(guò)程

7………………………9

風(fēng)險(xiǎn)數(shù)據(jù)管理

7.1………………………9

安全漏洞管理

7.2………………………10

附錄資料性存在的安全問(wèn)題分類(lèi)及描述

A()App……………………13

惡意程序的分類(lèi)及描述

A.1…………13

個(gè)人信息風(fēng)險(xiǎn)的分類(lèi)及描述

A.2……………………13

應(yīng)用行為風(fēng)險(xiǎn)的分類(lèi)及描述

A.3……………………14

安全漏洞的分類(lèi)及描述

A.4…………15

附錄資料性存在的安全問(wèn)題與安全管理活動(dòng)的應(yīng)對(duì)關(guān)系

B()App…………………16

附錄資料性安全開(kāi)發(fā)

C()………………17

程序安全

C.1……………17

安全保障

C.2……………20

參考文獻(xiàn)

……………………21

Ⅰ

GB/T42884—2023

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專(zhuān)利的責(zé)任

。。

本文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本文件起草單位武漢安天信息技術(shù)有限責(zé)任公司北京賽西科技發(fā)展有限責(zé)任公司中國(guó)信息通

:、、

信研究院華為技術(shù)有限公司維沃移動(dòng)通信有限公司三六零科技集團(tuán)有限公司廣東移動(dòng)通

、、、、OPPO

信有限公司北京小米移動(dòng)軟件有限公司公安部第三研究所國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心中國(guó)軟件

、、、、

評(píng)測(cè)中心國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心中國(guó)科學(xué)院信息工程研究所啟明星辰信息技術(shù)集

、、、

團(tuán)股份有限公司聯(lián)想北京有限公司美的集團(tuán)股份有限公司海信集團(tuán)控股股份有限公司螞蟻科技

、()、、、

集團(tuán)股份有限公司南方電網(wǎng)數(shù)字電網(wǎng)研究院有限公司北京智游網(wǎng)安科技有限公司杭州安恒信息技

、、、

術(shù)股份有限公司北京指掌易科技有限公司北京百度網(wǎng)訊科技有限公司北京版信通技術(shù)有限公司北

、、、、

京快手科技有限公司陜西省信息化工程研究院北京梆梆安全科技有限公司

、、。

本文件主要起草人潘宣辰許玉娜陳誠(chéng)王淞鶴袁中舉成明江姚一楠李騰陸偉陳家林

:、、、、、、、、、、

張艷田原劉彥蔡一鳴秦曉磊何能強(qiáng)盧志剛余麗娜孫海燕史景李汝鑫楊坤張淯易王昕

、、、、、、、、、、、、、、

白曉媛母天石韓云李獻(xiàn)振李彪唐佳偉董宏潘正泰方寧衣強(qiáng)杜丹賈科落紅衛(wèi)楊明慧

、、、、、、、、、、、、、、

徐祥智畢凱峰

、。

Ⅲ

GB/T42884—2023

信息安全技術(shù)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序App

()

生命周期安全管理指南

1范圍

本文件提供了移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序生命周期階段管理過(guò)程和風(fēng)險(xiǎn)監(jiān)測(cè)管理過(guò)程的安全管理

(App)

指南

。

本文件適用于提供者對(duì)的開(kāi)發(fā)運(yùn)營(yíng)等生命周期安全管理分發(fā)平臺(tái)管理者和移動(dòng)

AppApp、,App

智能終端廠(chǎng)商等參考使用

。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對(duì)應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息安全技術(shù)術(shù)語(yǔ)

GB/T25069—2022

信息安全技術(shù)網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)與描述規(guī)范

GB/T28458—2020

信息安全技術(shù)應(yīng)用軟件安全編程指南

GB/T38674—2020

信息安全技術(shù)移動(dòng)智能終端安全技術(shù)要求及測(cè)試評(píng)價(jià)方法

GB/T39720—2020

信息安全技術(shù)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序收集個(gè)人信息基本要求

GB/T41391—2022(App)

3術(shù)語(yǔ)和定義

和界定的以及

GB/T25069—2022、GB/T38674—2020、GB/T39720—2020GB/T41391—2022

下列術(shù)語(yǔ)和定義適用于本文件

。

31

.

移動(dòng)智能終端smartmobilet