行動應用App基本資安檢測基準V2.1及V3.0分類之差異說明
2019/06/03 【一】行動應用App基本資安檢測基準V2.1及V3.0分類之差異說明
本聯盟於107年10月更新行動應用App基本資安檢測基準版本,將初級/中級/高級變更為甲類/乙類/丙類。
改版的重點將原來的分類分級制度,改以行動應用程式之性質分類不分級,依照各分類的性質來進行相對應的檢測項目。
修改目的主要有三點:
1.消除初級/中級/高級的安全等級的比較
2.消除低級高測與高級低測的迷思
3.以行動應用程式的性質決定它的檢測項目,精準地檢測應該檢測的項目
|
重要條文修訂 |
|
|
8.2.MAS標章依「行動應用App基本資安檢測基準」,將
|
8.2.MAS標章依「行動應用App基本資安檢測基準」,將
|
|
檢測項目對照表 |
||||||
|
|
初 |
甲 |
中 |
乙 |
高 |
丙 |
|
4.1.1.1.行動應用程式發布 |
- |
- |
★ |
★ |
★ |
★ |
|
4.1.1.2.行動應用程式更新 |
- |
- |
- |
- |
- |
- |
|
4.1.1.3.行動應用程式安全性問題回報 |
- |
- |
★ |
★ |
★ |
★ |
|
4.1.2.1.安全敏感性資料蒐集 |
- |
- |
★ |
★ |
★ |
★ |
|
4.1.2.2.安全敏感性資料利用 |
- |
- |
- |
- |
- |
- |
|
4.1.2.3.安全敏感性資料儲存 |
★ |
★ |
★ |
★ |
★ |
★ |
|
4.1.2.4.安全敏感性資料傳輸 |
- |
★ |
- |
★ |
- |
★ |
|
4.1.2.5.安全敏感性資料分享 |
△ |
★ |
★ |
★ |
★ |
★ |
|
4.1.2.6.安全敏感性資料刪除 |
- |
- |
- |
- |
- |
- |
|
4.1.3.1.交易/付費資源使用 |
- |
- |
- |
- |
★ |
★ |
|
4.1.3.2.交易/付費資源控管 |
- |
- |
- |
- |
★ |
★ |
|
4.1.4.1.使用者身分鑑別與授權 |
- |
- |
★ |
★ |
★ |
★ |
|
4.1.4.2.連線管理機制 |
- |
★ |
★ |
★ |
★ |
★ |
|
4.1.5.1.防範惡意程式碼與避免資訊安全漏洞 |
★ |
★ |
★ |
★ |
★ |
★ |
|
4.1.5.2.行動應用程式完整性 |
- |
- |
- |
- |
- |
- |
|
4.1.5.3.函式庫引用安全< |
△ |
★ |
★ |
★ |
★ |
★ |
|
4.1.5.4使用者輸入驗證 |
★ |
★ |
★ |
★ |
★ |
★ |
|
4.2.2.1. Webview安全檢測 |
- |
★ |
- |
★ |
- |
★ |
|
備註: 1. 此表僅列出檢測大項,檢測項目細節請參閱行動應用App基本資安檢測基準V2.1及V3.0 2. 本表使用符號說明:「★」表示檢測項目;「-」表示參考項目;「△」表示純功能性但納入中級/乙類之檢測項目。
|
||||||