TTAF 142—2022 eUICC卡生产企业安全保障能力要求

ICS 35.040 CCS L 80 团体标准 T/TAF 142—2022 eUICC卡生产企业安全保障能力要求 Security requirements for embedded UICC manufacturing enterprise 2022-12-29发布 2022-12-29实施电信终端产业协会发布 T/TAF 142—2022 I 目次前言 ................................ ................................ ................ II 引言 ................................ ................................ ............... III 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 安全保障体系 ................................ ................................ ....... 1 4.1 安全保障体系框架 ................................ ............................... 1 4.2 安全保障体系 ................................ ................................ ... 2 5 安全保障能力要求 ................................ ................................ ... 3 5.1 人员要求 ................................ ................................ ....... 3 5.2 设备要求 ................................ ................................ ....... 3 5.3 网络要求 ................................ ................................ ....... 3 5.4 环境要求 ................................ ................................ ....... 4 5.5 过程要求 ................................ ................................ ....... 4 5.6 数据要求 ................................ ................................ ....... 4 附录A（资料性） eUICC卡生产企业安全保障体系框架 ................................ ...... 5 T/TAF 142—2022 II 前言本文件按照 GB/T 1.1 —2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由电信终端产业协会提出并归口。本文件起草单位：中国信息通信研究院、中国电信股份有限公司、中国移动通信集团有限公司、中国联合网络通信有限公司、泰尔认证中心有限公司、博鼎实华（北京）技术有限公司、恒宝股份有限公司、恩智浦（中国）管理有限公司、武汉天喻信息产业股份有限公司、紫光同芯微电子有限公司、北京中电华大电子设计有限责任公司、东信和平科技股份有限公司。本文件主要起草人：薛刚、胡越男、李杰强、李俊宏、陈思宇、武小芳、郑海霞、崇静、张知晓、卢丽敏、张苒、徐从德、刘扬、贾翔榆、黄健文、周江、梁宇、朱在鹏、张一成、魏鑫宇、谢懿、刘嘉维、孙亨博、张娟娟、郑士超。 T/TAF 142—2022 III 引言近年来，随着《中华人民共和国网络安全法》和《中华人民共和国数据安全法》等法律的实施，对相关企业和产品的安全要求日益提高。 eUICC卡产品的生产过程涉及个性化的数据，面临较大的安全风险，因此生产企业的安全保障能力至关重要。本文件面向 eUICC卡生产企业，提供一套安全保障体系框架和基本的安全保障能力要求，可促进企业提高自身安全管理水平、对满足国家法律法规要求和监管部门合规要求也具有积极的作用。T/TAF 142—2022 1 eUICC卡生产企业安全保障能力要求 1 范围本文件规定了 eUICC卡生产企业的安全保障能力要求，包括安全保障体系框架、安全保障体系和具体的安全保障能力要求。本文件适用于 eUICC卡生产企业改进自身安全管理水平。需要时，也可以作为 eUICC卡的采购方和第三方机构对 eUICC卡生产企业进行安全性评价的依据。 2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件。不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 ISO/IEC 27000 信息技术安全技术信息安全管理体系概述和词汇（ Information technology -Security techniques -Information security management systems -Overview and vocabulary ） 3 术语和定义下列术语和定义适用于本文件。 3.1 eUICC卡个人化生产企业 eUICC personalisation manufacturing enterprise 实施eUICC卡个人化生产的组织。注：本文件中如未特殊指明，以“ eUICC卡生产企业”指代“ eUICC卡个人化生产企业” 。 3.2 eUICC卡个人化生产 eUICC personalisation manufacturing 将eUICC卡相关证书信息、密钥或其他必要的相关敏感数据写入 eUICC卡中的生产过程。 4 安全保障体系 4.1 安全保障体系框架 a) 安全保障体系框架见图A.1； b) 组织的战略需考虑安全发展要求，识别内外部环境的变化，并明确与战略匹配的安全保障需求。通过持续打造安全保障能力，获得期望的安全保障，实现战略落地。通过对战略循环过程进行跟踪评测，寻求战略、安全保障需求和安全保障能力互相匹配且不断改进的机会； T/TAF 142—2022 2 c) 组织应根据本文件第 5部分的要求及组织确定的安全能力要求，通过发挥人员、设备、网络、环境、过程和数据的协同作用，实现数据在生产过程的持续安全； d) 组织应围绕人员、设备、网络、环境、过程和数据的要求，充分发挥领导的核心作用，建立策划、支持、实施与运行、评测与改进管理机制，规范安全管理，推动安全保障能力的持续提升，稳定获取期望的安全保障。 4.2 安全保障体系 4.2.1 总则组织应充分认识影响其安全发展的内外部环境变化，按照本文件的要求，建立、实施、保持和改进安全保障体系，以持续打造并保持安全保障能力，获取与组织战略相匹配的安全保障。 4.2.2 识别组织的内外部环境组织应识别与安全保障有关的各种外部和内部因素。组织应对这些外部和内部因素的相关信息进行分析和确定。注1：外部因素包括政策、法律法规要求、相关方的需求和期望、本文件的要求。注2：内部因素包括组织内部的文化、方针和现状等。 4.2.3 获得安全保障组织应根据其战略，结合内外部环境的变化，对安全保障需求进行识别、调整、评审和确定。组织应按照确定的安全保障需求，对安全保障能力进行策划、实施、运行、评测和改进，确保获得与组织战略相匹配的安全保障。组织的安全保障能力至少应满足本文件第 5部分的要求。 4.2.4 安全保障体系的变更当组织需要对安全保障体系进行变更时，应考虑： a) 变更目的及其潜在后果； b) 安全保障体系的连续性和完整性； c) 资源的可获得性； d) 人员职责和权限的分配或再分配。 4.2.5 文件化信息安全保障体系文件化信息包括： a) eUICC卡个人化生产的范围和边界； b) 安全保障需求； c) 安全保障能力要求； d) 组织确定的为