2022年3月28日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處發(fā)布關(guān)于征求國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 電子政務(wù)移動(dòng)辦公系統(tǒng)安全技術(shù)規(guī)范》（征求意見稿）意見的通知。在標(biāo)準(zhǔn)的編制說明中陳述了其修訂的背景、目的和主要內(nèi)容。

首先，信息化發(fā)展催生移動(dòng)政務(wù)新應(yīng)用場(chǎng)景，目前在線政務(wù)服務(wù)用戶規(guī)模達(dá)6.94億，占網(wǎng)民的76.8%。

其次，新技術(shù)發(fā)展，移動(dòng)辦公模式實(shí)現(xiàn)方法多樣。

第三，近幾年國(guó)家極為重視網(wǎng)絡(luò)安全問題，先后發(fā)布了《網(wǎng)絡(luò)安全法》、《密碼法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律，《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》標(biāo)準(zhǔn)修訂，《政務(wù)信息系統(tǒng)密碼應(yīng)用與安全性評(píng)估工作指南》發(fā)布，以及國(guó)務(wù)院辦公廳關(guān)于印發(fā)全國(guó)一體化政務(wù)服務(wù)平臺(tái)移動(dòng)端建設(shè)指南的通知發(fā)布，對(duì)標(biāo)最新的法律法規(guī)和指南，支撐相關(guān)要求的落地實(shí)施，需要對(duì)原標(biāo)準(zhǔn)做出適應(yīng)性的修訂。

第四，本標(biāo)準(zhǔn)名稱為《信息安全技術(shù) 電子政務(wù)移動(dòng)辦公系統(tǒng)安全技術(shù)規(guī)范》，規(guī)范類標(biāo)準(zhǔn)都需要對(duì)安全技術(shù)要求提出相應(yīng)的測(cè)試評(píng)價(jià)方法，因此需要對(duì)原標(biāo)準(zhǔn)進(jìn)行修訂，增加測(cè)試評(píng)價(jià)要求。

標(biāo)準(zhǔn)是對(duì)國(guó)家標(biāo)準(zhǔn)GB/T 35282-2017《信息安全技術(shù) 電子政務(wù)移動(dòng)辦公 系統(tǒng)安全技術(shù)規(guī)范》的修訂，旨在令標(biāo)準(zhǔn)適應(yīng)于新的移動(dòng)政務(wù)應(yīng)用場(chǎng)景和新技術(shù)的發(fā)展。

標(biāo)準(zhǔn)擬主要修訂以下內(nèi)容:

(1)原標(biāo)準(zhǔn)規(guī)定了移動(dòng)終端安全、信道安全、移動(dòng)接入安全和服務(wù)端安全應(yīng)滿足的技術(shù)要求。自標(biāo)準(zhǔn)發(fā)布后，出于信息系統(tǒng)等級(jí)保護(hù)技術(shù)體系的發(fā)展，本標(biāo)準(zhǔn)為保持與等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)的一致，將該標(biāo)準(zhǔn)的范圍擴(kuò)展成了對(duì)移動(dòng)終端安全、移動(dòng)通信安全、移動(dòng)接入安全、服務(wù)端安全、安全管理中心技術(shù)要求的規(guī)定。

(2)對(duì)政務(wù)移動(dòng)辦公系統(tǒng)基本結(jié)構(gòu)進(jìn)行修訂，增加對(duì)政務(wù)辦公場(chǎng)景和政務(wù)服務(wù)類應(yīng)用場(chǎng)景的支持。政務(wù)移動(dòng)辦公系統(tǒng)主要包括兩種業(yè)務(wù)類型:政務(wù)辦公類和政務(wù)服務(wù)類。政務(wù)辦公通常指政務(wù)辦公人員使用移動(dòng)終端上安裝的政務(wù)應(yīng)用程序，開展流程審批、業(yè)務(wù)管理、工作協(xié)同等辦公應(yīng)用。政務(wù)服務(wù)通常指社會(huì)公眾使用移動(dòng)終端上安裝的政務(wù)應(yīng)用程序，獲取政務(wù)信息、開展網(wǎng)上辦事、進(jìn)行交流互動(dòng)等政務(wù)服務(wù)類辦公應(yīng)用。

(3)補(bǔ)充完善電子政務(wù)移動(dòng)辦公系統(tǒng)主要安全風(fēng)險(xiǎn)分析，并修訂了電子政務(wù)移動(dòng)辦公系統(tǒng)的安全技術(shù)框架。

(4)修訂完善了移動(dòng)終端安全、移動(dòng)通信安全、移動(dòng)接入安全、服務(wù)端安全等各部分的安全技術(shù)要求。

(5)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0技術(shù)框架，增加“安全管理中心”一章， 修訂移動(dòng)終端管理、移動(dòng)應(yīng)用管理、數(shù)據(jù)安全管理等要求，新增安全監(jiān)測(cè)、安全審計(jì)要求。

(6)新增加第十一章“測(cè)試評(píng)價(jià)方法”一章，對(duì)移動(dòng)終端安全、移動(dòng)通信安全、移動(dòng)接入安全、服務(wù)端安全、安全管理中心的安全技術(shù)要求提出相應(yīng)的測(cè)試評(píng)價(jià)方法。

政務(wù)辦公類政務(wù)移動(dòng)辦公系統(tǒng)應(yīng)符合本文件規(guī)定的全部技術(shù)要求和測(cè)試評(píng) 價(jià)方法。政務(wù)服務(wù)類政務(wù)移動(dòng)辦公系統(tǒng)不對(duì)社會(huì)公眾使用的移動(dòng)終端提安全要求，應(yīng)符合本文件第6.2章節(jié)至第10章規(guī)定的政務(wù)應(yīng)用程序安全、移動(dòng)通信安全、移動(dòng)接入安全、服務(wù)端安全和安全管理中心等相關(guān)技術(shù)要求和測(cè)試評(píng)價(jià)方法。

標(biāo)準(zhǔn)的第九章第五部分和第十章第三部分分別闡述了數(shù)據(jù)安全和數(shù)據(jù)安全管理相關(guān)的內(nèi)容：

1 數(shù)據(jù)安全存儲(chǔ)

a) 應(yīng)對(duì)數(shù)據(jù)進(jìn)行分類存儲(chǔ)；

b) 應(yīng)對(duì)存儲(chǔ)的用戶數(shù)據(jù)進(jìn)行完整性和保密性保護(hù)，并配置訪問控制策略；GB/T XXXXX—XXXX

c) 應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證服務(wù)端重要數(shù)據(jù)在存儲(chǔ)過程中的完整性，包括但不限于身份鑒別數(shù)據(jù)、重要數(shù)據(jù)和敏感個(gè)人信息等；

d) 應(yīng)采用密碼技術(shù)保證服務(wù)端數(shù)據(jù)在存儲(chǔ)過程中的保密性，包括但不限于身份鑒別數(shù)據(jù)、重要數(shù)據(jù)和敏感個(gè)人信息等；

e) 宜采用移動(dòng)終端虛擬化技術(shù)，實(shí)現(xiàn)政務(wù)應(yīng)用程序及數(shù)據(jù)在虛擬移動(dòng)服務(wù)端集中安裝和存儲(chǔ)。

2 數(shù)據(jù)防泄露

a) 應(yīng)支持按照設(shè)定的數(shù)據(jù)分類分級(jí)規(guī)則，配置服務(wù)端數(shù)據(jù)防泄漏安全策略，對(duì)服務(wù)端政務(wù)數(shù)據(jù)訪問行為和操作行為進(jìn)行監(jiān)測(cè)和審計(jì)；

b) 應(yīng)建立數(shù)據(jù)脫敏安全策略，在數(shù)據(jù)共享和導(dǎo)出過程中對(duì)敏感數(shù)據(jù)進(jìn)行脫敏處理；

c) 宜支持對(duì)政務(wù)數(shù)據(jù)文件進(jìn)行安全展現(xiàn)，如按頁(yè)加載、按頁(yè)清除等；

d) 宜建立數(shù)據(jù)共享管控和數(shù)據(jù)泄露溯源機(jī)制；

e) 宜采用密碼技術(shù)保證敏感數(shù)據(jù)提供給第三方機(jī)構(gòu)進(jìn)行處理過程中的保密性和完整性。

3 數(shù)據(jù)備份恢復(fù)

a) 應(yīng)支持對(duì)服務(wù)端重要數(shù)據(jù)定期進(jìn)行本地或異地備份，包括但不限于身份鑒別數(shù)據(jù)、重要數(shù)據(jù)和敏感個(gè)人信息等；

b) 應(yīng)支持選擇全部數(shù)據(jù)或部分?jǐn)?shù)據(jù)備份方式，并用不同時(shí)間點(diǎn)的備份數(shù)據(jù)進(jìn)行恢復(fù)，在數(shù)據(jù)恢復(fù)過程中應(yīng)進(jìn)行數(shù)據(jù)完整性校驗(yàn)；

c) 應(yīng)提供服務(wù)端重要數(shù)據(jù)的異地實(shí)時(shí)備份和恢復(fù)功能；

d) 應(yīng)對(duì)重要政務(wù)應(yīng)用系統(tǒng)采用熱冗余部署方式，保證系統(tǒng)的業(yè)務(wù)連續(xù)性。

4 剩余信息保護(hù)

a) 應(yīng)保證重要數(shù)據(jù)、個(gè)人信息和身份鑒別信息所在的存儲(chǔ)空間被釋放或重新分配前得到完全清除；

b) 應(yīng)保證服務(wù)端所使用的內(nèi)存和存儲(chǔ)空間回收時(shí)得到完全清除；

c) 當(dāng)用戶注銷賬戶時(shí)，應(yīng)支持同步銷毀該用戶在服務(wù)端數(shù)據(jù)庫(kù)中的用戶個(gè)人數(shù)據(jù)及其備份。

a) 應(yīng)支持多種格式數(shù)據(jù)文件的識(shí)別、導(dǎo)入、發(fā)布和下載，包括PNG、JPG、GIF、BMP、PDF、DOC、DOCX、XSL、CSV、TXT、HTML、OFD、WPS、ET、DPS、UOF等；

b) 應(yīng)支持對(duì)政務(wù)數(shù)據(jù)和個(gè)人信息進(jìn)行分類分級(jí)管理，并配置不同的數(shù)據(jù)訪問控制策略，如讀寫、拷貝、下載等；

c) 應(yīng)支持配置敏感數(shù)據(jù)和個(gè)人信息防泄露安全策略，支持敏感數(shù)據(jù)和個(gè)人信息的掃描、過濾、脫敏和外傳阻斷。