[PDF] GB/T 42884-2023 - 英文版
| 标准号码 | 美元 | 购买PDF | 工期 | 标准名称(英文版) |
| GB/T 42884-2023 | 499 | GB/T 42884-2023 | <=5 | 信息安全技术 移动互联网应用程序(App)生命周期安全管理指南 |
| 基本信息 | |
|---|---|
| 标准编号 | GB/T 42884-2023 (GB/T42884-2023) |
| 中文名称 | 信息安全技术 移动互联网应用程序(App)生命周期安全管理指南 |
| 英文名称 | Information security technology - Guidelines for life cycle security management of mobile Internet applications(App) |
| 行业 | 国家标准 (推荐) |
| 中标分类 | L80 |
| 国际标准分类 | 35.030 |
| 字数估计 | 26,239 |
| 发布日期 | 2023-08-06 |
| 实施日期 | 2024-03-01 |
| 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 |
GB/T 42884-2023: 信息安全技术 移动互联网应用程序(App)生命周期安全管理指南
ICS 35.030
CCSL80
中华人民共和国国家标准
信息安全技术 移动互联网应用程序(App)
生命周期安全管理指南
2023-08-06发布
2024-03-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 2
5 概述 2
5.1 App存在的安全问题 2
5.2 App生命周期安全管理 2
6 生命周期阶段管理过程 3
6.1 需求分析阶段 3
6.2 开发设计阶段 4
6.3 测试验证阶段 5
6.4 上架发布阶段 6
6.5 安装运行阶段 7
6.6 更新维护阶段 7
6.7 终止运营阶段 8
6.8 其他安全支持过程 8
7 风险监测管理过程 9
7.1 风险数据管理 9
7.2 安全漏洞管理 10
附录A(资料性) App存在的安全问题分类及描述 13
A.1 恶意程序的分类及描述 13
A.2 个人信息风险的分类及描述 13
A.3 应用行为风险的分类及描述 14
A.4 安全漏洞的分类及描述 15
附录B(资料性) App存在的安全问题与安全管理活动的应对关系 16
附录C(资料性) 安全开发 17
C.1 程序安全 17
C.2 安全保障 20
参考文献 21
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本文件起草单位:武汉安天信息技术有限责任公司、北京赛西科技发展有限责任公司、中国信息通
信研究院、华为技术有限公司、维沃移动通信有限公司、三六零科技集团有限公司、OPPO广东移动通
信有限公司、北京小米移动软件有限公司、公安部第三研究所、国家计算机病毒应急处理中心、中国软件
评测中心、国家计算机网络应急技术处理协调中心、中国科学院信息工程研究所、启明星辰信息技术集
团股份有限公司、联想(北京)有限公司、美的集团股份有限公司、海信集团控股股份有限公司、蚂蚁科技
集团股份有限公司、南方电网数字电网研究院有限公司、北京智游网安科技有限公司、杭州安恒信息技
术股份有限公司、北京指掌易科技有限公司、北京百度网讯科技有限公司、北京版信通技术有限公司、北
京快手科技有限公司、陕西省信息化工程研究院、北京梆梆安全科技有限公司。
本文件主要起草人:潘宣辰、许玉娜、陈诚、王淞鹤、袁中举、成明江、姚一楠、李腾、陆伟、陈家林、
张艳、田原、刘彦、蔡一鸣、秦晓磊、何能强、卢志刚、余丽娜、孙海燕、史景、李汝鑫、杨坤、张淯易、王昕、
白晓媛、母天石、韩云、李献振、李彪、唐佳伟、董宏、潘正泰、方宁、衣强、杜丹、贾科、落红卫、杨明慧、
徐祥智、毕凯峰。
信息安全技术 移动互联网应用程序(App)
生命周期安全管理指南
1 范围
本文件提供了移动互联网应用程序(App)生命周期阶段管理过程和风险监测管理过程的安全管理
指南。
本文件适用于App提供者对App的开发、运营等生命周期安全管理,App分发平台管理者和移动
智能终端厂商等参考使用。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 25069-2022 信息安全技术 术语
GB/T 28458-2020 信息安全技术 网络安全漏洞标识与描述规范
GB/T 38674-2020 信息安全技术 应用软件安全编程指南
GB/T 39720-2020 信息安全技术 移动智能终端安全技术要求及测试评价方法
GB/T 41391-2022 信息安全技术 移动互联网应用程序(App)收集个人信息基本要求
3 术语和定义
GB/T 25069-2022、GB/T 38674-2020、GB/T 39720-2020和GB/T 41391-2022界定的以及
下列术语和定义适用于本文件。
3.1
移动智能终端 smartmobileterminal
具有能够提供应用程序开发接口的开放系统,并......