ICS 33.020 CCS M10 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T XXXX—XXXX YD 物联网基础安全 物联网平台安全分级分类 管理评估方法 IoT basic security ——Assessment methods for the internet of things platform grading and classification management （报批稿） XXXX - XX - XX发布 XXXX - XX - XX实施 中华人民共和国工业和信息化部发布 YD/T XXXX—XXXX I目次 前 言 ............................................................................. V 1 范围 ................................................................................. 1 2 规范性引用文件 ....................................................................... 1 3 术语和定义 ........................................................................... 1 4 缩略语 ............................................................................... 1 5 分级评估方法概述 ..................................................................... 1 6 第一级安全评估 ....................................................................... 2 6.1 数据安全及个人信息保护评估 ....................................................... 2 6.1.1 数据存储 ..................................................................... 2 6.1.2 数据传输 ..................................................................... 2 6.1.3 数据使用 ..................................................................... 3 6.1.4 数据迁移及备份 ............................................................... 3 6.1.5 个人信息保护 ................................................................. 3 6.2 接入安全评估 ..................................................................... 4 6.2.1 身份验证 ..................................................................... 4 6.2.2 接入设备 OTA升级 ............................................................. 5 6.3 基础硬件及软件系统安全评估 ....................................................... 5 6.3.1 主机安全 ..................................................................... 5 6.3.1.1 身份验证 .................................................................. 5 6.3.1.2 访问控制 .................................................................. 5 6.3.1.3 入侵防范 .................................................................. 6 6.3.1.4 恶意代码防范 .............................................................. 6 6.4 网络安全评估 ..................................................................... 6 6.4.1 网络架构安全 ................................................................. 7 6.4.2 入侵防范 ..................................................................... 7 6.4.3 恶意代码防范 ................................................................. 7 6.4.4 网络安全监测 ................................................................. 7 6.5 业务及应用安全评估 ............................................................... 8 6.5.1 身份验证 ..................................................................... 8 6.5.2 访问控制 ..................................................................... 8 6.5.3 Web安全 ...................................................................... 9 6.6 安全管理评估 ..................................................................... 9 6.6.1 风险评估 ..................................................................... 9 6.6.2 维护与升级 ................................................................... 9 6.6.3 配置管理 .................................................................... 10 7 第二级安全评估 ...................................................................... 10 7.1 数据安全及个人信息保护评估 ...................................................... 10 7.1.1 数据分类 .................................................................... 10 7.1.2 数据存储 .................................................................... 10 YD/T XXXX—XXXX II7.1.3 数据传输 .................................................................... 11 7.1.4 数据使用 .................................................................... 11 7.1.5 数据迁移及备份 .............................................................. 11 7.1.6 数据删除 .................................................................... 12 7.1.7 个人信息保护 ..........................