目录
一、概述
二、信息安全行业动态
一、概述
根据中国国家信息安全漏洞库的数据统计,2022年10月份新增安全漏洞1831个,相比2022年9月份减少了663个,建议根据厂商提供的漏洞修补方案,下载和部署补丁程序或者新版本应用,规避安全风险。
二、信息安全行业动态
2.1 《信息安全技术 软件供应链安全要求》(征求意见稿)发布
软件供应链是一个全球分布的、具有供应商多样性、产品服务复杂性、全流程覆盖等诸多特点的复杂系统,在软件供应链各个供应活动中均可能引入安全隐患,导致软件漏洞、软件后门、恶意篡改、假冒伪劣、知识产权风险、供应中断、信息泄露等安全风险。
随着软件的复杂度不断提高,软件产品内部开发过程中产生的以及从上游继承的软件漏洞无法避免,这些软件漏洞可能被攻击者利用,对软件以及计算机系统造成严重的安全风险。
在此背景下,近日,全国信息安全标准化技术委员会发布了《信息安全技术 软件供应链安全要求》(征求意见稿)(以下简称《安全要求》)。
《安全要求》给出了软件供应链安全保护目标,规定了软件供应链组织管理和供应活动管理的安全要求;适用于指导软件供应链中的需方、供方开展组织管理和供应活动管理,可为第三方机构开展软件供应链安全测试和评估提供依据,也可为主管监管部门提供参考。
针对组织管理,《安全要求》提出相应的安全要求。
1、机构管理
需方应明确软件供应链安全管理机构,明确其职责及人员,并提供用于软件供应链安全管理的资金、资产和权限等可用资源,保障软件供应链安全管理工作顺利执行;
对于重要组织或场景,例如关键信息基础设施运营者等,需方宜设立专职的软件供应链管理机构,根据a)至c)条款开展全流程软件供应链安全管理工作。
2、制度管理
需方应制定软件供应关系的安全管理制度,包括但不限于自主研发软件、现货类软件、定制开发软件等相关供应关系的风险管理制度、流程或机制;
需方应制定软件供应活动的安全管理制度,包括但不限于软件采购、交付、运维等软件供应活动的风险管理制度、流程或机制;
需方应制定软件供应链参与人员的管理制度或机制,包括但不限于人员权限、能力、资质、背景、技能培训等内容;
需方应制定知识产权管理制度,包括但不限于专利、软件著作权、许可协议等内容;
需方应制定软件供应链安全风险的持续监测、风险评估和事件响应制度,包括但不限于应急处理流程、系统恢复流程等内容;
需方应明确不同等级安全事件的 告、处置和响应流程和机制,规定安全事件的现场处理、事件 告和后期恢复等要求;
对于重要组织或场景,例如关键信息基础设施运营者等,需方宜制定全流程软件供应链软件安全监管制度,覆盖软件供应链的全部供应活动。
3、人员管理
需方应划分软件供应链各供应活动参与人员的职责定位、权限级别,并建立操作规范,创建操作日志;
需方应定期开展软件供应链安全培训,培训内容包括但不限于a)、b)中涉及的内容;
对于重要组织或场景,例如关键信息基础设施运营者等,需方宜配置软件供应链安全保障团队,根据需要开展相关人员的背景调查工作;
对于重要组织或场景,例如关键信息基础设施运营者等,需方宜要求安全保障人员具备防范全流程软件供应链安全威胁的能力,如软件供应链恢复、未知安全漏洞分析、软件持续供应能力分析等。
附:《信息安全技术 软件供应链安全要求》(征求意见稿)全文
2.2 《信息安全技术 智能手机预装应用程序基本安全要求》发布
近日,全国信息安全标准化技术委员会发布了《信息安全技术 智能手机预装应用程序基本安全要求(征求意见稿)》(以下简称《安全要求》)。
《安全要求》给出了智能手机预装应用程序的基本安全要求,适用于智能手机生产企业的生产活动,也可为相关监管、第三方评估工作提供参考。
《安全要求》明确了可卸载范围,指出除系统设置、文件管理、多媒体摄录、接打电话、收发短信、通讯录、浏览器、应用商店等直接支撑操作系统运行或实现智能手机基本功能所必须的基本功能应用程序外,智能手机中其他预装应用程序均应可卸载。实现同一基本功能的预装应用程序,至多有一款可设置为不可卸载。不可卸载应用程序内含有直接支撑操作系统运行或实现智能手机基本功能之外的其他功能时,应提供禁用或卸载这些功能的方式。
《安全要求》对预装应用程序的卸载安全要求包括:
预装应用程序卸载后不应影响智能手机的正常使用,包括但不限于:不应造成系统安全环境破坏,不应导致系统崩溃等;
在不影响智能手机安全使用的情况下,卸载预装应用程序应将相关程序文件及数据完全删除,用户选择保留的用户数据、配置文件除外;
在个人信息安全要求方面,对预装应用程序的要求包括:
预装应用程序收集个人信息应符合 GB/T 41391—2022 要求;
预装应用程序应仅在用户开始对该应用程序进行交互操作后向用户申请相关系统以及个人信息权限,不应在用户未进行交互操作前获取相关权限;
不可卸载应用程序宜提供停止使用功能,用户选择停止使用后,不可卸载应用程序不应再对用户个人信息进行处理;
预装应用程序将敏感个人信息传出智能手机的,应取得用户单独同意。智能手机生产企业应确保用户选择不同意时不影响智能手机基本功能的使用,并在征求同意时将该情况明确告知用户。
应用程序基本信息,包括应用程序名称、包名、版本 、更新日期、安装文件;
应用程序提供者信息,包括应用程序提供者名称、联系方式;
个人信息保护政策,包括生效日期、全文文本、可查看全文的有效链接;
收集的个人信息范围,包括提供的服务类型、收集的个人信息类型以及通过收集的个人信息所实现的业务功能或使用目的;
申请的可收集个人信息权限列表,包括权限名称、相关业务功能/使用目的、用户能否拒绝权;
涉及到收集个人信息的第三方 SDK 信息,包括名称、包名、提供者名称、嵌入目的、SDK 收集的个人信息类型、SDK 使用的可收集个人信息权限;
第三方预装应用程序提供者关于收集个人信息的工具或手段的声明。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!