进入等保2.0时代以来,等级保护对象范围扩大,除了信息系统要做等保,公众号、小程序、APP、网站等也在等级保护范围之内。并且,有些行业还发出了强制落实等级保护的要求,比如《关于引导规范教育移动互联网应用有序健康发展的意见》,教育APP必须取得等保备案证明和等级测评报告,才能进行业务备案,并且设定了教育APP做等级保护的限期。
现如今,伴随着智能手机市场的不断扩张以及智能手机的不断发展,手机APP软件用户群体不断扩大,APP发展速度越来越快。但是,在APP发展速度越来越快的同时,APP的安全问题却引起了人们的高度注意,最引人关注的莫过于APP个人信息泄露和获取权限的问题。让APP合规运行,同时保障APP用户权益和信息安全,APP是必须要做等级保护的。
APP等级保护从大的层面来说,分为APP备案和APP测评,APP上线需要取得的证明也是等保备案证明和等保测评报告。备案是测评的前提,只有成功备案,才能进行测评。让APP顺利落实等级保护,成功通过测评并拿证,这里提供解决方案:
一、APP等级保护如何备案?
APP的等保备案需要先定级(1-5级),定级流程为:确定定级对象→初步确定等级→专家评审→主管部门审核→公安机关备案审查→最终确定的等级。
其中,专家评审指定级对象的运营、使用单位组织信息安全专家和业务专家,对初步定级结果的合理性进行评审,出具专家评审意见。主管部门审核指定级对象的运营、使用单位应初步定级结果上报行业主管部门或上级主管部门进行审核。公安机关备案审查指定级对象的运营、使用单位应按照相关管理规定,将初步定级结果提交公安机关进行备案审查。如果审查不通过,其运营使用单位应组织重新定级。审查通过才能最终确定定级对象的所属等级。
此外,当等级保护对象所处理的信息、业务状态和系统服务范围发生变化,可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度有较大的变化时,应根据等保2.0标准要求重新确定定级对象和安全保护等级。
确定APP保护等级之后,就可以准备相关备案材料到公安机关进行等保备案,备案材料主要是《信息系统安全等级保护备案表》,同时还需要提供:
①系统拓扑结构及说明;
②系统安全组织机构和管理制度;
③系统安全保护设施设计实施方案或者改建实施方案;
④系统使用的信息安全产品清单及其认证、销售许可证明;
⑤测评后符合系统安全保护等级的技术检测评估报告;
⑥信息系统安全保护等级专家评审意见;
⑦主管单位核准信息系统安全保护等级的意见。
公安机关服务窗口会对备案材料进行审查,如审核通过,公安机关会出具《信息系统安全等级保护备案证明》。审核不通过,就根据公安机关的意见重新定级或者补足备案材料。
二、APP等级保护如何通过测评?
等保二级以上的APP需要做等级保护测评,等保测评得分要在70分以上,且信息系统没有高风险项才算通过。APP要想通过测评,需要按照等级保护要求,提升APP的安全防护水平,然后寻找合适的测评机构来进行测评,测评机构可以按照公安机关推荐的测评机构名单来进行选择。测评机构会提供测评报告。
根据等级保护相关标准,APP要想通过等级保护测评,需要注意以下几个方面:
1.移动终端安全防护
针对移动终端的安全,标准主要对移动终端的安全环境、应用安装管控、终端自身安全进行了要求,如应将移动终端处理访问不同等级保护对象的进行应用级隔离;应具有软件白名单功能,能根据白名单控制应用软件安装、运行;移动终端应接受等级保护对象移动终端管理服务端的设备生命周期管理、设备远程控制、设备安全管控。
2.移动应用安全防护
针对移动应用APP被篡改、被假冒的问题,标准要求采用校验技术保证代码的完整性。同时,应保证等级保护对象业务移动应用软件开发后、上线前经专业测评机构安全检测等。针对移动应用APP发布的问题,在移动应用APP发布渠道与管理中要求应保证移动终端安装、运行的应用软件来自可靠证书签名或可靠分发渠道。
3.移动互联安全管理
在安全管理方面,标准要求建立移动互联安全管理制度,对移动终端实施安全控制和管理。设置移动互联安全管理员,明确管理职责。加强终端设备管理,在移动终端设备丢失后进行远程数据擦除。在系统建设前要求根据信息系统的安全保护等级进行移动互联安全方案设计,并且纳入了系统总体方案设计。
如果企业自身无法根据等保标准提升APP的安全防护水平,可以委托专业的等保服务机构来做这一项工作。