2月8日,全国信息安全标准化技术委员会发布了《信息安全技术 移动互联网应用程序(App)生命周期安全管理指南》(征求意见稿),向社会公众征集意见。
征求意见稿明确了App生命周期的安全需求、安全保证框架和降低风险的宜进行的管理活动。明确开发者在开发App时,宜参考App的程序安全和安全保障相关的建议。程序安全包括:编码安全、通信安全、访问控制、日志记录与保护和数据保护与密码等方面的内容;安全保障包括:环境安全、第三方SDK或组件安全、发布安全和个人信息安全等方面的内容。在App生命周期管理过程中,开发者宜在需求分析及评审阶段进行安全需求分析,形成安全需求说明书,开展风险评估等;在开发设计阶段开发者宜参考附录要求进行安全开发相关的技术活动,形成安全设计方案、进行代码管理等;在测试验证阶段,开发者宜进行安全测试、安全验证、安全交付等管理活动;在更新维护阶段,开发者宜进行安全维护、安全更新等管理活动。
在个人信息管理方面,明确开发者收集个人信息后收集个人信息后,宜进行去标识化处理;设置个人信息存储的最短期限;个人生物识别信息和个人身份信息分开加密储存;共享个人信息时,需要事先征得用户的授权同意;当通过界面展示个人信息时,宜对需要展示的个人信息进行去标识化处理。