移动互联网应用程序(App)安全认证获取及实践
2022-12-12 17:43:59 Author: www.freebuf.com(查看原文) 阅读量:5 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

序言

近期有很多公司及安全从业者咨询CCRC的移动互联网应用程序(App)安全认证,包括认证介绍、准备工作、注意事项、认证周期、好不好过等,这里整合大家关注的问题,结合实际的认证过程给大家做一个介绍和说明,供有需求的人参考。

一.认证背景

2019年,国家市场监管总局、中央网信办发布《关于开展App安全认证工作的公告》,明确认证机构为中国网络安全审查技术与认证中心,旨在保障APP安全合规,属于推荐性认证。在中央网信办、工业和信息化部、公安部、市场监管总局开展App违法违规收集使用个人信息专项治理过程中,推出该认证,并首批18款APP获取该认证。另外部分行业也有一些发文支持,如2021年七部委联合发文《教科技函[2021]20号-教育部等七部门办公厅关于加强教育系统数据安全工作的通知》,规定“教育行政部门和学校开发和使用的存储100万以上个人信息的教育APP应通过个人信息安全认证”,这里的APP个人信息安全认证就是指移动互联网应用程序(App)安全认证。

综上,在APP隐私合规专项审查背景下、在各行业数据安全的通知发文中以及市场需求的驱动下,各大企业纷纷开始申请该认证。

二.认证介绍

该认证共分为8个步骤,详细流程分为提交申请、受理申请、技术验证、现场审核、结果评价、证书批准、证书制作和证书发放。

  1. 申请提交

认证申请需要去中国网络安全审查与认证中心的认证综合业务管理平台提交。地址为:https://ebs.isccc.gov.cn/Login.aspx。需要填写的申请信息包括认证委托人信息、APP运营者信息(注意:认证委托人和APP运营者可能不是同一个单位)、APP基本信息等。

  1. 申请受理

申请信息提交后,中国网络安全审查技术与认证中心中心后台会进行审核,审核通过后会发放《App安全认证申请受理及版本确认的通知》。再次核对委托单位、APP名称与版本,并确认开启技术验证。

  1. 技术验证

技术验证单位不是中国网络安全审查技术与认证中心,是其委托专门的测评中心进行技术验证,比如中国电子科技集团公司第十五研究所,具体是其信息产业信息安全测评中心负责技术验证。技术验证围绕管理和技术二部分开展,验证依据为《信息安全技术 个人信息安全规范》和《GB∕T 34975-2017 信息安全技术 移动智能终端应用软件 安全技术要求和测试评价方法》。

管理部分主要核查企业在个人信息保护中的管理要求和制度文件,如《个人信息安全保护管理办法》、《隐私影响评估》、《信息安全风险评估》、《信息泄露向应急处置程序》等等,制度主要解决企业在个人信息管理过程中的要求和依据。

技术部分主要按照验证依据进行检测,其中《GB∕T 34975-2017 信息安全技术 移动智能终端应用软件 安全技术要求和测试评价方法》要求验证包括应用配置安全、公共组件安全、代码安全、恶意攻击防范、身份认证安全等。《信息安全技术 个人信息安全规范》包括个人信息收集、个人信息保存、个人信息的使用、个人信息主体的权利、个人信息的委托处理、共享、转让、公开披露、个人信息安全事件处置、组织的个人信息安全管理要求等。部分示例如下,供参考:

  1. 现场审核

技术验证通过后就开始现场审核。现场审核会派遣专业的审核老师驻场审核,审核的主要依据是GB_T 35273_2020《 信息安全技术 个人信息安全规范》。从个人信息的收集、保存、使用、处理、共享、转让、公开纰漏、安全事件处置及组织的管理要求开展。现场审核比较严格,每一条都会抽查具体的系统要求或需要企业举证具体的实施证据。建议大家仔细研究35273,收益良多。

现场审核,会协助企业发现很多问题,这些问题会根据要求和影响开具不符合项。企业需要在1个月内整改完成,提交审核老师复核。

  1. 评价结果

审核老师将现场审核的结果上传系统,中国网络安全审查技术与认证中心审核证据无误后,会给出评价结果,也就是认证通过或不通过。

  1. 证书批准、证书制作和证书发放

后面这3个步骤,相对简单,按照系统通知操作即可,这里不在累述。证书示例如下:

三.注意事项

整个认证其实是一个相对复杂的项目,需要联动协调多方资源,调研内部情况、制定管理制度并落地技术措施。这里总结一些注意事项,供大家参考:

  1. 一定要有专职的项目经理。也就是说该项目要有专人负责跟进和推动,把控风险,确保项目顺利落地;
  2. 该认证周期较长。至少半年到1年时间,所以做好持久战准备;
  3. 如果资源、能力或时间都比较紧缺,建议聘请外部的咨询机构。如梆梆安全、爱加密、娜迦科技等,很多移动安全类公司都可以做这种咨询服务。但是要注意,请外部的咨询机构,要确保部门核心能力的沉淀和积累,规避一个项目下来核心能力都是外部咨询机构的,企业就只做了项目管理;
  4. 开票问题。中国网络安全审查技术与认证中心的认证需要先付款,后开票,开票流程及其缓慢。6月份支付的款,12月份票才开过来,整个过程催了无数次,导致公司财务非常暴躁。所以支付后,马上将付款凭证上传后台,并催促对接的销售尽快开票,不要拖;
  5. 该认证的技术含量相对较高。整个项目做下来,你会发现自己在个人信息保护、APP隐私合规、企业个人信息安全建设等方面有更深入的理解和落地实践。建议各位从业者可以借此机会,提升自己;
  6. 该认证是年审机制,每年都会监督审核。所以记得要不断优化和改善体系建设和流程,保障每年监审顺利。

写在最后

近年来,国际、国内及各行业都对个人信息保护越来越重视。从GDPR、到国内各法规的实施、以及部委的专项审查等。数据安全建设,尤其是个人信息的保护,企业隐私合规的建设等都是安全从业者要关注的重点。相关的安全认证是一个很好的抓手或切入点,对认证流程的了解、对认证依据的学习、对认证资料的准备,以及在技术验证过程中,对不符合项的整改,在现场审核中跟经验丰富的审核老师的对接,都能扩充自己的知识面、找出自己及企业在安全建设中存在的缺失及不足。

2022年即将完结,2023年祝大家心有所向,身有所往!


文章来源: https://www.freebuf.com/articles/es/352257.html
如有侵权请联系:admin#unsafe.sh