《信息安全技术 信息技术产品安全可控评价指标 第1部分：总则-编制说明》

一、任务来源及编制单位

1.1任务来源

经中国电子信息产业发展研究院申请，全国信息安全标准化技术委员会于2015年下达

了《信息安全技术信息技术产品安全可控评价指标第1部分：总则》国家标准制定任务，国

家标准化委员会于2016年6月下达了《信息安全技术信息技术产品安全可控评价指标第1

部分：总则》国家标准制定计划（计划号：20160655-T-469）。标准由中国电子信息产业发

展研究院牵头起草，起草单位包括公安部第一研究所、工信部软件与集成电路促进中心、中

国电子技术标准化研究院、中国信息安全研究院有限公司、中国电子科技集团公司、中国软

件评测中心、中国信息通信研究院、联想集团等。

1.2主要工作过程

《信息安全技术信息技术产品安全可控评价指标第1部分：总则》课题始于2015年7

月，标准编制期间召开了10余次10名以上专家参会的大型研讨会，十余次小型研讨会，电

话、邮件、现场沟通讨论百余次，根据研讨结果进行了几次较大规模的修订和反复的推敲琢

磨。编制过程主要分为三个阶段：

（一）课题启动

经过前期调研，2015年3月，《信息安全技术信息技术产品安全可控评价指标第1部

分：总则》标准项目上报全国信息安全标准化技术委员会；2015年7月，全国信息安全标

准化技术委员会批准立项，所属工作组为WG7。

（二）编制初稿

2015年7月，在前期研究基础上，编制组开始初稿编制工作。编制组调研了国内主要

的中央处理器厂商和研究机构，走访国内知名专家学者，参考了CC、ISO/IEC27036、SP

800-53、NISTSP800-161、FIPS_PUB_140-2等相关国际标准，且标准制定过程中将充分考

虑了WTO等国际规则要求，基本保持国内外标准一致性。2015年9月，编制完成统一的标

1

准初稿。

（三）标准修订

标准初稿完成后，编制组组织了多次征求意见行动，包括2015年9-10月面向技术专家、

主要厂商、研究机构和用户单位等的广泛征求意见活动，11月面向WTO和法律专家的征求

意见活动，以及12月面向知名外企的征求意见会。编制组充分吸取各方专家意见，对标准

反复讨论，多次修订，于2016年10月形成较为完善成熟的标准草案。2016年10月份，在

全国信息安全标准化技术委员会2016年第二次工作组会议周上，王闯代表标准编制组做了

标准编制工作报告及标准草案的说明，根据与会代表提出的意见和建议，完成了意见汇总处

理表，并在此基础上修订标准文本，于2017年4月份形成新的标准草案。2017年4月，在

全国信息安全标准化技术委员会2017年第一次工作组会议周上，王闯代表标准编制组做了

标准编制工作报告及标准草案的说明，工作组同意进入“征求意见稿”阶段。2017年5月，

编制组对标准草案进行了进一步修改，形成标准（征求意见稿）版本。

二、编制原则和主要内容

2.1编制原则

本标准的研究与编制工作遵循以下原则：

（1）公平性原则

信息技术产品安全可控评价指标的制定应对国内外产品一视同仁，采用同一标准，由第

三方认证机构进行评估，营造公平竞争环境，促进国内厂商和企业更快的提升技术能力。

（2）系统性原则

信息技术产品安全可控评价指标的制定应跳出单点技术和产品的局限，从技术体系、管

理能力、供应链、司法管辖等方面综合考虑评价标准，指标的各部分应相互协调，形成统一

的整体，可单独使用，也可配合使用。

（3）简单性原则

2

信息技术产品安全可控评价指标的制定应避繁就简，无需全面，但求有效，尽可能找到

实现信息技术产品安全可控的关键点，简化标准使用流程，对于事关信息产品安全的核心指

标，可设为“一票否决”。

（4）可操作性原则

标准规范是对实际工作成果的总结与提升，最终还需要用于实践中，并经得起实践的检

验，做到可操作、可用与实用。

2.2主要内容

前言.................................................................................II

引言................................................................................III

1范围...............................................................................1

2规范性引用文件.....................................................................1

3术语和定义.........................................................................1

4安全可控概述.......................................................................2

4.1风险分析.......................................................................2

4.2安全可控的内涵.................................................................2

5安全可控保障.......................................................................2

5.1概述...........................................................................2

5.2保障目标.......................................................................2

6安全可控评价.......................................................................3

6.1评价原则.......................................................................3

6.1.1科学合理...................................................................3

6.1.2客观公正...................................................................3

6.1.3知识产权保护...............................................................3

6.2评价指标体系...................................................................3

6.2.1体系框架...................................................................3

6.2.2研发生产评价类.............................................................4

6.2.3供应链评价类...............................................................5

6.2.4运维服务评价类.............................................................5

6.3评价实施.......................................................................5

6.3.1评价流程...................................................................5

6.3.2评价方法...................................................................5

6.3.3评价结果...................................................................6

三、主要试验（或验证）的分析、综述报告、技术经济论证、预期的经济效果

编制组已请相关编制单位对标准进行试用，基本可以达到安全可控水平评价的目的。反

3

馈的建议为标准的制定奠定了良好基础。

四、采用国际标准和国外先进标准的程度、以及与国际、国外同类标准水平的对比情况、

或与测试的国外样品、样机的有关数据对比情况

标准在编制过程中参考了CC、ISO/IEC27036、SP800-53、NISTSP800-161、

FIPS_PUB_140-2等国际标准的相关内容，充分考虑了WTO等国际规则要求，基本保持国

内外标准一致性。

五、与有关的现行法律、法规和强制性国家标准的关系

本标准符合现有法律法规。该标准项目主要依据现有法律法规制定，与现行强制性国家

标准及相关标准不冲突。2015年7月正式发布的《国家安全法》第25条明确要求要“实现

网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”。在国家标准

方面，我国目前尚未制定信息技术产品安全可控相关国家标准，本标准项目主要从安全可控

角度提出管理要求，现有的信息技术产品相关安全标准主要从安全功能和安全要求方面提出

技术要求，标准内容之间不重叠，可同时使用。

六、重大分歧意见的处理经过和依据

本标准在编制过程中未出现重大分歧，其他详见意见汇总处理表。

七、国家标准作为强制性国家标准或推荐性国家标准的建议

建议本标准作为推荐性国家标准发布实施。

八、贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法等内容）

本标准