1前言
在上篇文章“行动起来!APP认证测试进行时”一文中,已经给大家介绍了移动互联网应用程序(简称为:App)安全认证测试的背景及其必要性,想必有些APP运营商对于自己的产品或服务是否合规,十分关心,有跃跃欲试的冲动。但是对于这类服务将要对哪些内容进行测试,如果要达到合规要求,从哪些方面开始着手等等,却并不清楚,迫切地需要了解。本期文章将带领大家一探究竟。
2移动APP安全认证测试
(1)测试依据
移动APP安全认证测试主要依据GB/T 35273-2020《信息安全技术 个人信息安全规范》,测试标准的选择也是实施第三方测试首要明确的问题。根据这个标准,中国软件评测中心对其中所规定的测试项制定了更详细的测试规范。测试规范越详尽,可操作性越强,因为人员因素所导致的不确定性越小。
(2)测试范围
移动APP安全认证测试的范围包括个人信息的收集、个人信息的存储、个人信息的使用、个人信息主体的权利和个人信息的委托处理、共享、转让、公开披露共5个方面,如图1所示。其中GB/T 35273-2020标准中所提到的“个人信息安全事件处置”及“组织的个人信息安全管理要求”在认证阶段进行现场审核,不在测试范围内。不过如果要取得移动APP安全认证证书,这两部分内容也需要APP运营商好好准备。
图1移动APP个人信息安全认证测试范围
(3)测试对象
测试对象即测试所直接作用的目标。对于APP安全认证测试,测试对象包括APP及相关文档,其中对APP的测试覆盖业务功能项、数据和个人信息保护政策等,需要检查的文档类型包括各类证明材料,如管理制度、管理流程、记录、协议及合同等。
(4)测试内容
APP安全认证测试的指标项可分为安全技术测评项和安全管理测评项两类,对于技术方面的测试,由测试工程师按照测试技术规范中的测试项逐条进行测试即可,基本上与GB/T 35273-2020标准中的内容相对应。而对于安全管理类内容的测评,要满足APP认证测试的要求,则需要APP运营商做更多的前期准备及测试过程中的配合工作。不仅仅需要准备较多的管理体系文件,比如,运营商不仅仅需要编制完善的个人信息保护管理制度,还需要在日常运维过程中对管理制度进行落实,这就不可避免地产生相应的日常工作记录。另外,还需要由个人信息控制负责人全程配合,以应对测试人员的询问。
对于管理方面的文档,由于涉及内容数量繁多,对APP运营商准备起来可能是一件比较头疼的事情,为方便大家进行APP个人信息保护建设、内部开展自评估或对外委托开展第三方认证测试,下面将APP运营商应准备的文档整理列表,如表1所示。需要说明的是,其中所列出的文档名称仅供参考,大家当然也可将多个文档内容合并至一个文档中,只需保证测试所要求的内容体现在所提供的文档中即可。
3结束语
本文主要介绍了移动APP安全认证测试的内容,下一期将从实际操作的角度介绍认证测试的申请、测试实施周期及流程等方面的内容。大家敬请期待……
注:智能终端软件测试实验室拥有“国家智能终端软件产品质量监督检验中心”资质,多年来一致致力于移动互联网应用安全检测技术研究,可以提供移动互联网应用安全检测及评估、个人隐私合规性检测、源代码安全审计、适配性测试、渠道监测等服务。
联系人:王女士
联系人:王女士
文字 | 宋慧敏、王晓芹