移動互聯(lián)網(wǎng)應用程序（APP）合規(guī)開發(fā)管理測評規(guī)范 第2部分：需求設計

TAF-WG4AS0001-V1.0.0III移動互聯(lián)網(wǎng)應用程序（APP）合規(guī)開發(fā)管理測評規(guī)范第2部分需求設計范圍本文件規(guī)定了APP開發(fā)過程的需求設計階段中的合規(guī)開發(fā)管理要求，以及對應的測試方法。本文件適用于APP開發(fā)者的設計、生產(chǎn)活動，也適用于主管部門、第三方評估機構(gòu)等組織對APP開發(fā)全過程中的需求設計階段進行合規(guī)評估。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T11457-2006信息技術(shù)軟件工程術(shù)語T/TAFXXXX.1-20XX移動互聯(lián)網(wǎng)應用程序（APP）合規(guī)開發(fā)管理測評規(guī)范第1部分總則術(shù)語和定義下列術(shù)語和定義適用于本文件。移動互聯(lián)網(wǎng)應用程序mobileinternetapplication可安裝在移動智能終端內(nèi)，能夠利用移動智能終端操作系統(tǒng)提供的公開開發(fā)接口，實現(xiàn)某項或某幾項特定任務的應用程序。注：包含移動智能終端預置應用、小程序、快應用以及互聯(lián)網(wǎng)信息提供者提供的可以通過網(wǎng)站、應用商店等應用分發(fā)平臺下載、安裝、升級的應用程序，簡稱App。需求階段requirementsphase軟件生存周期中的一個階段，在此期間對軟件產(chǎn)品的需求（如功能和性能方面的能力）進行定義并編織出相應的文檔。需求分析requirementsanalysis研究用戶需要以得到系統(tǒng)、硬件或軟件需求的定義的過程。設計階段designphase軟件生存周期中的一段時間。在這段時間內(nèi)，進行體系結(jié)構(gòu)、軟件組成部分、接口和數(shù)據(jù)的涉及，為涉及編制文件，并對其進行驗證，以滿足預定需求。產(chǎn)品設計productdesign為使產(chǎn)品滿足規(guī)定的需求而定義產(chǎn)品或其部件的體系結(jié)構(gòu)、部件、接口和其他特征的過程?？s略語下列縮略語適用于本文件。APP：移動互聯(lián)網(wǎng)應用程序（MobileInternetApplication）SDK：軟件開發(fā)包（SoftwareDevelopmentKit）需求設計概述與相關(guān)角色職責需求設計流程需求設計包括需求和設計兩個階段。需求階段是整體產(chǎn)品研發(fā)流程中的起始環(huán)節(jié)，應依據(jù)“最小必要”、“合法合規(guī)”等個人信息安全原則，確定產(chǎn)品的個人信息保護和安全合規(guī)需求；設計階段用于將需求轉(zhuǎn)化為產(chǎn)品設計，從而達到后期落地的目的。需求設計原則為使產(chǎn)品服務能夠滿足合規(guī)性要求，在需求設計過程中應滿足T/TAFXXXX.1-20XX《移動互聯(lián)網(wǎng)應用程序（APP）合規(guī)開發(fā)管理測評規(guī)范第1部分總則》中的相關(guān)原則，以及以下原則：全流程保護原則：在需求階段，需將隱私合規(guī)相關(guān)內(nèi)容融入需求中考慮，在設計階段，需對相關(guān)內(nèi)容進行持續(xù)跟蹤，并確保隱私需求的完整實現(xiàn)。用戶中心原則：在需求設計過程中，以用戶為中心設計產(chǎn)品服務的相關(guān)功能，幫助用戶實現(xiàn)對個人信息更好的自主控制。人員角色及相關(guān)職責需求設計階段的人員角色及相關(guān)職責要求如下：——需求分析人員：在滿足安全合規(guī)規(guī)范的情況下，負責需求調(diào)研、需求收集、需求分析和需求規(guī)劃工作，根據(jù)產(chǎn)品規(guī)劃進行詳細的需求分析，對產(chǎn)品的功能、流程進行細化，編制需求說明書?！a(chǎn)品設計人員：在滿足安全合規(guī)規(guī)范的情況下，根據(jù)需求分析人員提供的需求說明書，進行產(chǎn)品的功能設計、交互方案設計等。——安全合規(guī)人員：負責評估相關(guān)需求說明書及方案設計等確保其符合合規(guī)要求，共同確定需求清單及方案設計。需求設計合規(guī)開發(fā)管理要求需求設計合規(guī)開發(fā)要求在滿足需求設計原則的情況下，還需考慮個人信息全生命周期的安全合規(guī)要求，并在需求設計階段中就融入相關(guān)方案或設計中。需求階段通常劃分為需求分析、需求評估以及需求確定三個部分：需求分析是需求分析人員根據(jù)產(chǎn)品的功能需求清單，識別涉及的個人信息處理場景并分析個人信息處理需求，梳理產(chǎn)品需滿足的相關(guān)合規(guī)要求，并識別可能存在的個人信息安全風險等過程；需求評估是需求分析人員對個人信息處理需求和安全需求進行評估，發(fā)現(xiàn)可能存在的安全合規(guī)風險，評估要點包括但不限于預期的個人信息處理目的和處理方式是否合法正當、預期收集的個人信息對實現(xiàn)產(chǎn)品功能的必要性、是否存在對用戶個人信息權(quán)益產(chǎn)生的影響及安全風險等過程；需求確定中的需求需要安全合規(guī)人員確認滿足合規(guī)性要求，其中不合規(guī)需求需要進行調(diào)整后再次評估，合規(guī)需求確認后輸出產(chǎn)品合規(guī)需求。設計階段通常劃分為安全設計、設計評估以及設計確定三個部分：安全設計是產(chǎn)品設計人員針對產(chǎn)品合規(guī)需求，設計對應的合規(guī)功能實現(xiàn)方案，包括制定產(chǎn)品合規(guī)設計規(guī)范，明確安全合規(guī)功能設計要求，根據(jù)產(chǎn)品功能需求和產(chǎn)品合規(guī)需求，在開發(fā)流程、模塊功能等設計中明確產(chǎn)品的合規(guī)處理設計等過程。設計評估是產(chǎn)品設計人員根據(jù)產(chǎn)品需滿足的合規(guī)要求，制定合規(guī)檢查項，并對合規(guī)設計進行評估檢查，發(fā)現(xiàn)可能存在的安全合規(guī)風險等過程。設計確定中的設計需求安全合規(guī)人員確認滿足合規(guī)性要求，其中不合規(guī)設計需要進行調(diào)整后再次評估，合規(guī)需求確認后輸出產(chǎn)品合規(guī)設計。需求設計合規(guī)管理要求在需求設計階段，應滿足以下合規(guī)管理要求：應對安全合規(guī)人員、需求分析/產(chǎn)品設計人員等角色進行分離設置；建立完善的需求安全合規(guī)評估流程，對涉及到的需求進行全面的安全合規(guī)評估；對需求本身進行相關(guān)安全風險評估；接入的第三方組件及SDK應經(jīng)過安全評估可用后再進行引入；對采用的開源代碼進行風險評估；制定個人信息的訪問控制策略，相應職責人員只能訪問職責所必須的最小必要的個人信息，且僅具備完成職責所需的最少的數(shù)據(jù)操作權(quán)限；建立完善的個人信息操作審批流程，如進行批量修改、拷貝、下載等重要操作；建立完善的個人信息操作留存機制，能夠追溯工作人員對個人信息進行的操作；建立完善的個人信息分類分級管理機制，能夠?qū)ο嚓P(guān)個人信息進行分級保護；注：若企業(yè)有完善的個人信息分類分級管理機制，在APP需求設計階段可復用該機制分級保護相關(guān)個人信息。需求設計合規(guī)開發(fā)管理測試方法對于需求設計過程中的合規(guī)開發(fā)管理的測試方法主要采用資料審查、技術(shù)驗證和人員訪談對相關(guān)的開發(fā)及管理要求進行符合性評估，具體見表1.表1需求設計合規(guī)開發(fā)管理要求與測評方法對應關(guān)系表要求條款測評方法資料審查技術(shù)驗證人員訪談5.2--√5.3--√6.1a）√√-6.1b）√√-6.2a）√-√6.2b）√√-6.2c）√√-6.2d）√√-6.2e）√√-6.2f）√-√注：“√”項為應采用的測試方法；“-”表示不適用。附?錄?A（資料性）移動互聯(lián)網(wǎng)應用程序需求設計階段合規(guī)開發(fā)管理參考A.1需求階段作為產(chǎn)品開發(fā)周期的第一個環(huán)節(jié)，每個項目在明確需求集合后均會對可能涉及的合規(guī)風險的需求點進行拆解和識別。經(jīng)過安全和合規(guī)專家評審后，制定風險緩控措施和開發(fā)設計要點，并將結(jié)論納入后續(xù)詳細設計方案中，同時發(fā)起其它必要的評估流程?？蓞⒖家韵虏襟E：企業(yè)根據(jù)國內(nèi)外法律法規(guī)及行業(yè)標準、客戶安全需求、業(yè)界最佳實踐等制定相關(guān)規(guī)范，對涉及到數(shù)據(jù)全生命周期、API接口、對外接口、數(shù)據(jù)使用、算法模型等多種場景提出明確要求，為業(yè)務需求分解提供指導。安全和合規(guī)專家協(xié)助產(chǎn)品經(jīng)理依照改規(guī)范進行拆解和分析，確定潛在安全與隱私需求并隨項目功能需求同步推進，確保項目需求落地的合規(guī)遵從性。對于將要進入并集成到代碼的外部能力，需建立完備的評估流程。通過資料收集建檔、基礎(chǔ)安全合規(guī)掃描、人工滲透分析以及迭代情況平臺留存等節(jié)點保證引入技術(shù)能力的合規(guī)遵從性。A.2設計階段設計階段在項目架構(gòu)設計階段，架構(gòu)師根據(jù)相應規(guī)范對產(chǎn)品開展安全架構(gòu)設計和業(yè)務安全需求設計，出具包含保障架構(gòu)安全性和合規(guī)性的設計方案后，需通過項目安全與合規(guī)專家評審。同時對判定為高風險功能場景的方案開展威脅建模，確保架構(gòu)設計的風險最小化。通過建模分析及評審產(chǎn)生的設計方案形成后續(xù)驗收階段的測試用例，用以對安全設計及風險保護能力的驗證。在實踐中，需要將隱私設計的7個原則（主動應對而非被動相應，隱私作為默認設置，隱私設計驅(qū)動，功能正和而不是零和，端到端安全和全生命周期保護，可見性、透明度、保持開放，尊重用戶隱私、以用戶為中心），貫穿整個產(chǎn)品的生命周期。在設計階段，通過系統(tǒng)化方法，對業(yè)務流程、產(chǎn)品、系統(tǒng)中涉及的個人信息收集、處理等活動開展風險識別、分析和評估。從威脅建模、基礎(chǔ)安全設計