《信息安全技术 移动智能终端数据存储安全技术要求与测试评价方法》编制说明

一、任务来源

根据国家标准化管理委员会2012年信息安全国家标准项目计划，国家标准《信息安全技术 移动智能终端数据存储安全技术要求与测试评价方法》由中国移动通信研究院负责主办。任务参加单位：北京智言金信信息技术有限公司、中科院研究生院委员会。

二、编制原则

本标准是全新编制的标准，以自主编写的方式完成。标准编制参考了《GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求》、《GB/T 17859-1999 计算机信息系统 安全保护等级划分准则》、《YD/T 2407-2013 移动智能终端安全能力技术要求》《GB/T 20272-2006 信息安全技术 操作系统安全技术要求》、《GB/Z 28828-2012 信息安全技术 公共及商用服务信息系统个人信息保护指南》等国家、行业标准，在进行广泛调研、征求意见的基础上，同时借鉴国外先进理念和技术，以先进性、实用性、兼容性、可操作性为原则，完成国家标准《信息安全技术 移动智能终端数据存储安全技术要求与测试评价方法》的研制。

三、主要工作过程

1. 成立专门标准编写组

中国移动通信研究院于2012年筹建标准编制组，进行了前期研究工作。2013年3月，由中国移动通信研究院牵头，北京智言金信信息技术有限公司、中科院研究生院委员会联合组成编制组，进行标准编写。

2. 制定工作计划

编制组首先根据调研和收集资料、完成草稿、征求意见稿、送审稿的工作流程，制定了相应的工作计划，并确定定期召开编制组人员会议或组内通报编制情况，以及时征求到意见和交流情况。

3. 确定标准内容

经编写组多次会议讨论之后，编写完成《信息安全技术 移动智能终端数据存储安全技术要求与测试评价方法》标准草稿，“技术要求”部分包括安全框架、安全目标、数据存储安全等级划分、数据存储安全技术要求，“测试方法”部分包括基础级测试评价方法和增强级测试评价方法。

4. 主要工作过程

1) 前期调研

2012年12月-2013年2月，进行标准前期调研，研究相关技术和标准，形成标准编制思路。

2) 项目启动

2013年3月，中国移动通信研究院、北京智言金信信息技术有限公司、中科院研究生院委员会三家单位联合成立标准起草小组。

3) 初稿编制

2013年6月，标准起草小组完成《信息安全技术 移动智能终端数据存储安全技术要求与测试评价方法》草稿，并召开了专家讨论会，征求意见，形成初稿。

4) 不断完善

2013年7月，参加信安标委组织的标准审查会，根据会议专家意见进行修改，形成《信息安全技术 移动智能终端数据存储安全技术要求与测试评价方法》国家标准征求意见第1稿。

2013年10月，参加信安标委组织的标准审查会，根据会议专家意见进行修改，形成《信息安全技术 移动智能终端数据存储安全技术要求与测试评价方法》国家标准征求意见第2稿。

2013年12月，参加信安标委组织的标准审查会，根据会议专家意见进行修改，形成《信息安全技术 移动智能终端数据存储安全技术要求与测试评价方法》国家标准征求意见第3稿。

2014年6月，参加信安标委组织的标准审查会，根据会议专家意见进行修改，形成《信息安全技术 移动智能终端数据存储安全技术要求与测试评价方法》国家标准征求意见第4稿。

2014年6月~2014年8月，编制组召开多次内部会议和征求意见会，落实专家意见，形成《信息安全技术 移动智能终端数据存储安全技术要求与测试评价方法》征求意见第5稿。

2014年9月，邀请国内安全标准专家对本标准进行详尽修订，形成《信息安全技术 移动智能终端数据存储安全技术要求与测试评价方法》征求意见第6稿。

5) 形成送审稿

2014年10月，参加信安标委组织的标准审查会，对标准进行审议，会后我们根据成员单位的意见进行了修改，形成了送审稿第1稿。

2015年1月，参加信安标委组织的标准审查会，对标准进行审议，会后我们根据成员单位的意见进行了修改，形成了送审稿第2稿。

6) 形成报批稿

2015年3月，参加信安标委组织的标准审查会，根据会议专家意见进行修改，形成《信息安全技术 移动智能终端数据存储安全技术要求与测试评价方法》国家标准报批稿。

四、标准的主要内容及确定内容的依据

本标准从数据加解密、数据校验、访问控制、安全隔离、数据备份和恢复、数据销毁和安全审计等七个终端安全能力划分了移动智能终端数据存储安全等级，按照不同的安全等级提出了具体的移动智能终端数据存储安全技术要求和测试评价方法。

本标准主要由数据信息分类、安全框架和目标、安全等级划分、安全技术要求和测试评价方法四部分。

数据信息的分类：对移动智能终端中的数据分为以下四大类：硬件信息、操作系统数据、应用软件数据和用户个人数据。对每个大的分类分别进行了细化分类。

安全框架主要包含4个部分：最底层是硬件信息存储安全，中间层是操作系统数据存储安全，顶层是应用软件数据存储安全，用户个人数据存储安全涉及到应用软件、操作系统及硬件3个层面，对4个部分分别提出数据存储安全技术要求，以达到数据存储安全的机密性、完整性和可用性的目的。

安全等级划分依据数据存储安全能力划分了基本级和增强级。基本级规定了移动智能终端数据存储安全的基本技术要求，其包含了基本级应支持的数据存储安全能力集合。增强级规定了移动智能终端数据存储安全应满足基本级要求以外还应满足的增强的数据存储安全技术要求，其包含了增强级应支持的数据存储安全能力集合。

安全技术要求分别对基本级和增强级从数据加解密、数据校验、访问控制、安全隔离、数据备份和恢复、数据销毁和安全审计等七个方面提出了具体的安全技术要求。

测试方法对测评方法、步骤进行了规范，测试内容来自于本标准中技术要求部分相关章节。本标准确定了所有的测试项目及结果，力求准确全面。

五、与相关法律法规及国家有关规定、国内相关标准的关系

随着移动互联网和移动智能终端的迅猛发展，移动智能终端所面临的安全问题也日益凸显。与此同时，移动智能终端越来越多地涉及商业秘密和个人隐私等敏感信息，面临着盗取涉密信息、窃取个人隐私等安全威胁，对我国经济、社会发展带来了潜在威胁。为确保移动智能终端安全，保护移动智能终端数据信息安全，制定移动智能终端数据安全技术要求迫在眉睫。

本标准依据国家和相关行业信息安全法规、制度和规范性文件、智能终端数据防护技术，面向智能终端数据存储提出安全技术要求，并提出测试评价方法。

六、有关问题的说明

建议本标准以推荐性标准发布。

七、其有关专利的说明

本标准不涉及专利。

《移动智能终端数据存储安全技术要求与测试评价方法》编制组

二〇一五年七月

信息安全技术移动智能终端数据存储安全技术要求与测试评价方法