国家标准计划《网络安全技术 移动终端安全技术规范》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准委。

主要起草单位 中国信息通信研究院 、中国网络安全审查认证和市场监督大数据中心 、中国移动通信集团有限公司等 。

近年来，随着移动互联网技术和移动终端技术的迅速发展，移动终端的种类和使用场景日趋丰富，使得移动终端的功能不断扩展，其处理的数据种类和数量也得到了大幅提升。

2021年我国《数据安全法》和《个人信息保护法》等多项法律法规相继发布，对数据和个人信息处理活动提出了详细要求，移动终端作为数据和个人信息处理的重要载体，其处理能力和处理的安全性受到更加广泛的关注。

与此同时，不断发展的技术水平和丰富的使用场景使得移动终端在处理数据过程中面临更加复杂多样的安全威胁和风险，如非授权用户或进程对数据的访问和恶意操作、设备仿冒造成的数据泄露和滥用、恶意应用对系统敏感资源的窃取和破坏等，这给移动终端安全带来更加严峻的挑战。

由于不同移动终端的设计和实现方案不尽相同，其抵抗攻击威胁的强度和水平存在差异，使得移动终端具有不同的安全保护能力。

而在不同的使用场景下，移动终端处理的数据种类及面临的安全威胁和风险存在差异，使得不同场景对移动终端的安全保护能力要求不尽相同。

例如在支付场景下，移动终端需要处理用户账号、密码、交易金额等与个人利益强相关的数据和信息，这些数据和信息在移动终端处理过程中一旦遭到泄露或篡改，将会造成严重后果。

因此对这类数据的处理需要移动终端提供更加安全的保护能力。

为确保不同种类的数据可以得到有效的安全保护，因此需要对移动终端的安全保护能力进行准确判断和等级划分。

随着移动终端技术的发展，移动终端的安全保护能力在不断提升，现有移动终端安全能力分级标准已经无法对当前移动终端的安全保护能力进行准确的等级划分。

为确保对移动终端安全保护能力进行准确的判断和等级划分，需要对现有移动终端安全保护标准进行修订。

本标准规定了移动终端的安全功能要求和达到EAL2+、EAL3+、EAL4+和EAL5+级别的安全保障要求，以及相应的测试评估方法。适用于移动终端产品的设计、开发、测试和采购。 标准主要内容包括： （1）评估对象 （2）安全问题 （3）安全目标 （4）安全要求 a)安全功能要求（审计事件内容、DLP、跨设备数据传输、数据分类分级、关键资产保护、设备间互信认证、密钥层次、密钥存储、内核完整性、PAC、代码签名、运行完整性保护等） b)安全保障要求（脆弱性评估） （5）测试评估方法 a)安全功能要求测试方法 b)安全保障要求评估方法 C)渗透测试方法