ICS35.240 L70/84 团 体 标 准 T/ZSA9-2020 代替T/ZSA3001.01-2016 企业移动智能终端应用软件开发、安装、运 行管控机制指南 Appdeveloping,installing,runningmanagementandcontrolmechanismguideline forenterprisemobilesmartterminal 2020-10-27实施 中关村标准化协会 发布2020-10-26发布 全国团体标准信息平台 全国团体标准信息平台 T/ZSA9-2020 I目次 前言.........................................................................................................................................................................II 引言.......................................................................................................................................................................III 1范围.....................................................................................................................................................................4 2规范性引用文件.................................................................................................................................................4 3术语和定义.........................................................................................................................................................4 4要求.....................................................................................................................................................................5 4.1通用APP基本流程.................................................................................................................................6 4.2定制APP基本流程.................................................................................................................................6 4.3企业专用证书定制APP基本流程.........................................................................................................7 附录A（规范性附录）EMCG应用审核指南..............................................................................................9 附录B（资料性附录）EMCG应用软件安全开发指南............................................................................14 全国团体标准信息平台 T/ZSA9-2020 II前  言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》给出 的规则起草。 本文件代替T/ZSA3001.01-2016《企业移动智能终端应用开发、安装、运行管控机制(指南)》，与 T/ZSA3001.01-2016相比除编辑性改动外，主要技术变化如下： a)标准名称，原标准名称“企业移动智能终端应用开发、安装、运行管控机制（指南）”修改为 “企业移动智能终端应用开发、安装、运行管控机制指南”。 b)引言，增加了“网络安全等级保护国家标准GB/T22239-2019对组织机构使用移动应用软件 （App）开发、检测及签名等提出要求。”的表述，删除了原标准“2014年……”等相关内容 表述。 c)2规范性引用文件，增加了的2个引用文件。 d)3术语和定义，将分散在各章节中的术语与定义，归集至“3术语与定义”中，并增加了移动 智能终端、App、数字签名（密码签名）3个术语及定义。 e)基本流程，删除“基本流程”三级标题，并到上一级标题。修改为4.1通用App基本流程、4.2定 制App基本流程、4.3企业专用证书定制App基本流程。 f)各节流程图，4基本要求中的图1、图2、图3等，附录B中的各图均增加了图题，图的步骤框 描述修改成段落描述。 g)4.1通用App基本流程，增加了“以下流程中App签名须使用国家密码管理部门核准的密码技 术。”的表述。 h)4.2定制App基本流程，增加了“以下流程中App签名须使用国家密码管理部门核准的密码技 术。”的表述。 i)4.3企业专用证书定制App基本流程，增加了“以下流程中App签名须使用国家密码管理部门 核准的密码技术。”的表述。 j)附录A（规范性附录）EMCG应用审核指南，A.8条题“隐私”修改为“隐私与权限”，A．8.1 条文增加“未得用户同意，不得收集并上传用户敏感信息和用户行为统计等信息”的内容，增 加“A.8.2应公开用户数据的收集、使用及分享方式，数据应仅用于公开说明的用途，且须获 得用户的同意。”、“A.8.5不得获取与软件无关的权限。”、“A.8.6请求权限必须给用户 提示授权。不得未得授权自动发短信、打电话、启动系统服务（蓝牙、GPS）、打开网络连接 等。”等条文。 本文件代替标准历次版本发布情况： ——T/ZSA3001.01—2016。 本文件由中关村标准化协会技术委员会提出并归口。 请注意本文件的某些内容可能涉及专利。中关村标准化协会不承担识别这些专利的责任。 本文件主要起草单位：中关村网络安全与信息化产业联盟、华为技术有限公司、联想集团、北京小 米科技有限责任公司、奇虎360科技有限公司、北京元心科技有限公司、安天实验室、北京中油瑞飞信 息技术有限责任公司、杭州安恒信息技术有限公司、江苏通付盾科技有限公司。 本文件主要起草人：王克、王梓、刘长山、石晓宏、张建国、黄晟、潘宣辰、宋超。 全国团体标准信息平台 T/ZSA9-2020 III引  言 随着4G、5G移动网络及智能移动终端技术快速发展，使用移动互联技术处理业务信息已成为政 府提高办事效率，企业产业转型升级的重要手段，网络安全等级保护国家标准GB/T22239-2019对组织 机构使用移动应用软件（App）开发、检测及签名等提出要求。为保障政企单位移动信息化建设发展， 解决移动应用软件安全问题，需建立移动应用软件管控机制。 全国团体标准信息平台 T/ZSA9-2020 企业移动智能终端应用软件开发、安装、运行管控机制指南 1范围 本文件规定了移动应用软件（App）开发准入、软件开发、软件签名及验证、软件审核、软件发布、 软件安装及运行监管等过程。本标准适用于智能终端厂商、应用开发者、企业应用软件服务商实施企业 移动应用软件（App）的生命期管理。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GM/Z0001-2013密码术语 T/EMCG001.1-2019移动智能终端密码模块技术框架第1部分：总则 3术语和定义 GM/Z0001-2013界定的以及下列术语和定义适用于本本件。 3.1 移动智能终端mobilesmartterminal 能够接入移动通信网，具有提供应用软件开发接口的开放操作系统，并能够安装和运行第三方移动 应用软件的移动设备。包括手机、Pad，这些设备可以是市场通用型的，也可以是政企机构专用型的。 [T/EMCG001.1-2019移动智能终端] 3.2 App（移动应用软件）application 安装在移动智能终端上，能够利用移动智能终端设备上操作系统提供的开发接口，实现某项或某几 项特定任务的应用程序，包括移动智能终端预置的应用程序，以及通过网站、应用商店等移动分发平台 下载、安装和升级的应用程序。 3.3 数字签名（密码签名）digitalsignature