freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

网络与数据|APP安全认证实操手册
2021-01-13 11:25:17

导读:

2019年3月13日,市场监管总局、中央网信办联合发文《关于开展App安全认证工作的公告》(以下简称认证公告),标志我国APP认证工作开启。时隔一年多,在选择了28款软件进行试点认证后,2020年9月20日,云闪付、苏宁易购、中国移动、百度地图等10家企业的18款App(移动互联网应用程序)在京获颁安全认证证书,标志着我国App安全认证工作正式开展。作者结合团队过往的协助企业数据合规的经验,对照App安全认证的要求,对认证工作的要点进行梳理,协助企业认证工作的展开。

一、APP安全认证的优势

首先,我们要明确,APP安全认证是自愿申请的,这与某些行业或情境下强制要求等保定级备案不同。既然并非强制性质,为何还要进行APP安全认证,其优势有三:

第一,帮助企业以合理方式进行优势竞争。《认证公告》中列明,若运营者自愿通过APP安全认证,则鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的APP,这对于APP的用户获取助益良多。

第二,可佐证企业数据工作合规。在国家对于网络安全和数据安全的监管日趋严格的情况下,众多场景中都对互联网企业的数据安全工作有所关注。近期,众多公司(如蚂蚁科技,丽人丽妆等)的ipo过程中,交易所都对数据问题进行了问询和关注。而APP安全认证就可以作为企业数据工作合规的佐证,帮助企业开展各项工作。

第三,助力企业获得宣传优势。在APP认证的指导文件《移动互联网应用程序(APP)安全认证实施细则》(以下简称“《安全认证细则》”)第7项,列明了认证证书和认证标志的使用和管理。这意味着在企业的宣传中,我们可借此进行宣传,使产品APP与竞品有所区别。

二、APP安全认证的相关机构

(一)认证机构

《认证公告》列明,APP安全认证的认证机构为中国网络安全审查技术与认证中心(以下简称“认证中心”)。

(二)检测机构

APP安全认证的检测机构,《认证公告》中规定了“由认证机构根据认证业务需要和技术能力确定”,从APP安全认证的实践中来看,检测机构的选择是由中国网络安全审查技术与认证中心认定,并没有企业自主选择的先例。目前,APP安全认证检测机构的目录并未披露,但依照之前的经验,传统的“国字号”检测机构一般都在选择目录中。

三、APP认证的依据

(一)原则性标准

《中华人民共和国网络安全法》、《中华人民共和国认证认可条例》,这是《认证公告》中提及认证的依据,但二者规定多为原则性,仅可作为参考,落地性较差。

(二)具体认证标准

1. 《信息安全技术个人信息安全规范(2020)》(以下简称《个人信息安全规范》)

这是我国目前个人信息安全合规参考的主要依据。《实施细则》中第2项规定,认证依据为最新版本的《信息安全技术个人信息安全规范》,也就是2020年10月生效的版本。

值得注意的是,认证中心给出的《移动互联网应用程序(APP)认证申请书》(以下简称《认证申请书》中),将《个人信息安全规范》的要求逐项细化,足以见得《个人信息安全规范》对于认证的重要性。下图为《个人信息安全规范》(图一)与《认证申请书》(图二)部分对比。

1610508202_5ffe67aa379bdbb7554b0.png!small(图一)1610508226_5ffe67c21803dcfeed077.png!small(图二)

2.《移动互联网应用程序(APP)安全评价指标》(以下简称《安全评价指标》)

这是认证机构(即认证中心)根据《个人信息安全规范》指定的内部操作手册性质的文件,不对公众发布。不过实践中我们只要满足《个人信息安全规范》与《认证申请书》的要求,即可达标。

四、APP认证的具体操作

01  认证申请:15个工作日

1.拥有申请主体资格

【正面规定】App向用户提供服务的网络运营者(以下简称“App运营者”),且取得市场监督管理部门或有关机构注册登记的法人资格。【负面规定】App运营者有下列情形之一的,不得申请认证:

(1)违反相关法律法规;

(2)在12个月内发生重大信息安全事件;

(3)所持同类证书在撤销认证影响期内;

(4)认证机构规定的其他情况。

2.确定申请单元

原则上按App版本申请认证。同一名称的App,版本号、操作系统平台等不同时,一般应分为不同申请单元。

3.提交申请材料

申请材料包括①认证申请书;②法人资格证明材料;③认证授权书;④认证申请方承诺;⑤《个人信息安全规范》自评价表⑥第三方产品和服务信息列表⑦APP发布渠道情况说明⑧App版本控制说明;⑨对认证要求符合性的自评价结果及相关证明文档;⑩对App符合相关安全技术标准的证明文件(需满足《信息安全技术-移动智能终端应用软件安全技术和测试评价方法》(GB/T 34975-2017);⑫不同发布渠道的版本差异性说明;⑬其他需要的文件。

02  技术验证:不超过30个工作日

(不计整改和确认时间)

1.实施单位:认证中心指定的检测机构

2.提供样本:根据《安全认证申请书》填写的送样方式向检测机构提交样本,并留存副本;

3.技术验证方式:实验室检测和现场核查等方式;

4.具体工作:出具技术验证报告,发现不符合项时,检测机构向认证申请方出具不符合报告,并要求限期整改;逾期未完成整改的,中止认证过程。

03  现场审核:不超过30个工作日

1.实施单位:认证中心

2.具体工作:认证机构对技术验证报告进行评审,做出评审结论。评审通过的,在30个工作日内完成现场审核;评审不通过的,视情况决定限期整改或中止认证,也可要求检测机构重新出具技术验证报告。

04  认证决定:不超过15个工作日

1.实施单位:认证中心

2.具体工作:认证机构根据申请资料、技术验证结论和现场审核结论等进行综合评价,做出认证决定。认证决定通过后,由认证机构向认证申请方颁发认证证书,并授权获证App运营者使用规定的认证标志。认证决定不通过的,终止认证。

05  对认证决定的申诉

认证机构根据申请资料、技术验证结论和现场审核结论等进行综合评价,做出认证决定。认证决定通过后,由认证机构向认证申请方颁发认证证书,并授权获证App运营者使用规定的认证标志。认证决定不通过的,终止认证。

五、获证后的保持工作

与普通的认证不同,由于互联网变化迅速的特征,认证中心对获证后的APP提出了更高的要求,即获证后受监督以及证书的及时变更,这是在APP认证中较易忽略的问题。以下对二者作简要说明。

(一)获证后监督

1、实施单位:认证中心

2、监督方式

(1)获证后自评价

获证App运营者应对获证App持续符合认证要求的情况进行自评价。当出现分发渠道变化、隐私政策变化、认证标志适用变化等情形时,获证App运营者应向认证机构提交自评价报告;

(2)日常监督

日常监督包括一致性检查、更新情况、企业自评价情况等;

(3)专项监督

专项监督较为严格,可在事先不通知获证APP运营者的情况下,对获证APP进行全面审核,必要时还可进行技术验证。目前列明的专项监督的情形有三,分别是①网民举报投诉、媒体曝光、行业通报等涉及获证App存在个5人信息安全方面的问题,并经查实获证App运营者负有责任时;②获证App运营者因组织架构、服务模式等发生重大变更,或发生破产并购等可能影响App认证特性符合性时;③认证机构根据日常监督结果,对获证App与本规则中规定的标准要求的符合性提出具体质疑时。

(二)证书的变更

当出现APP名称变更、版本变更、认证范围变化等情形时,向认证中心请求变更。

结语

由获证后的保持工作可以看出,APP安全认证是个长期且系统的工作。这也是国家对于数据安全工作的态度,希望可以保持一个健康绿色安全的数字社会。而随着我国《个人数据保护法》等规定的即将出台,数据保护的效力将在法律的层面上得到强化与确认。而作为国家明确鼓励数据安全认证工作,其地位也将逐步提高,APP运营者可以将其列入企业的合规框架中,帮助企业在新一轮的数字竞争中获得先机。

往期 · 推荐

IDC|IDC企业开展REITs融资时的项目合规审查

IDC|数据中心机房评测到底怎么做?

IDC|供电方案,合规要趁早

IDC|碳排放,绿色数据中心不得不重视的问题

网络与数据|人脸识别合规体系讨论

网络与数据 | RCEP中关于个人信息、网络安全及跨境数据传输等内容规定

网络与数据|“第三方”数据处理下的隐私政策合规风险

网络与数据|解析《个人信息保护法(草案)》(下)

资本市场刑事监管新动向——兼评《刑法修正案(十一)》资本市场新规

公司内部向职工集资的合法性分析、核查要点及完善措施建议

《基础设施REITs指引》落地!哪些方面作了较大调整

REITs新规,构建“公募基金+ABS+底层资产”产品模式

债务融资工具新规,“分层分类”管理模式升级

本文作者:, 转载请注明来自FreeBuf.COM

# 数据安全 # app安全 # APP
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦
收入专辑