![《信息安全技术 信息技术产品安全可控评价指标 第1部分:总则-编制说明》_第1页](http://file4.renrendoc.com/view3/M00/1E/28/wKhkFmZL-FOAdmBiAAIK_9ai9QI705.jpg)
![《信息安全技术 信息技术产品安全可控评价指标 第1部分:总则-编制说明》_第2页](http://file4.renrendoc.com/view3/M00/1E/28/wKhkFmZL-FOAdmBiAAIK_9ai9QI7052.jpg)
![《信息安全技术 信息技术产品安全可控评价指标 第1部分:总则-编制说明》_第3页](http://file4.renrendoc.com/view3/M00/1E/28/wKhkFmZL-FOAdmBiAAIK_9ai9QI7053.jpg)
![《信息安全技术 信息技术产品安全可控评价指标 第1部分:总则-编制说明》_第4页](http://file4.renrendoc.com/view3/M00/1E/28/wKhkFmZL-FOAdmBiAAIK_9ai9QI7054.jpg)
下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
一、任务来源及编制单位
1.1任务来源
经中国电子信息产业发展研究院申请,全国信息安全标准化技术委员会于2015年下达
了《信息安全技术信息技术产品安全可控评价指标第1部分:总则》国家标准制定任务,国
家标准化委员会于2016年6月下达了《信息安全技术信息技术产品安全可控评价指标第1
部分:总则》国家标准制定计划(计划号:20160655-T-469)。标准由中国电子信息产业发
展研究院牵头起草,起草单位包括公安部第一研究所、工信部软件与集成电路促进中心、中
国电子技术标准化研究院、中国信息安全研究院有限公司、中国电子科技集团公司、中国软
件评测中心、中国信息通信研究院、联想集团等。
1.2主要工作过程
《信息安全技术信息技术产品安全可控评价指标第1部分:总则》课题始于2015年7
月,标准编制期间召开了10余次10名以上专家参会的大型研讨会,十余次小型研讨会,电
话、邮件、现场沟通讨论百余次,根据研讨结果进行了几次较大规模的修订和反复的推敲琢
磨。编制过程主要分为三个阶段:
(一)课题启动
经过前期调研,2015年3月,《信息安全技术信息技术产品安全可控评价指标第1部
分:总则》标准项目上报全国信息安全标准化技术委员会;2015年7月,全国信息安全标
准化技术委员会批准立项,所属工作组为WG7。
(二)编制初稿
2015年7月,在前期研究基础上,编制组开始初稿编制工作。编制组调研了国内主要
的中央处理器厂商和研究机构,走访国内知名专家学者,参考了CC、ISO/IEC27036、SP
800-53、NISTSP800-161、FIPS_PUB_140-2等相关国际标准,且标准制定过程中将充分考
虑了WTO等国际规则要求,基本保持国内外标准一致性。2015年9月,编制完成统一的标
1
准初稿。
(三)标准修订
标准初稿完成后,编制组组织了多次征求意见行动,包括2015年9-10月面向技术专家、
主要厂商、研究机构和用户单位等的广泛征求意见活动,11月面向WTO和法律专家的征求
意见活动,以及12月面向知名外企的征求意见会。编制组充分吸取各方专家意见,对标准
反复讨论,多次修订,于2016年10月形成较为完善成熟的标准草案。2016年10月份,在
全国信息安全标准化技术委员会2016年第二次工作组会议周上,王闯代表标准编制组做了
标准编制工作报告及标准草案的说明,根据与会代表提出的意见和建议,完成了意见汇总处
理表,并在此基础上修订标准文本,于2017年4月份形成新的标准草案。2017年4月,在
全国信息安全标准化技术委员会2017年第一次工作组会议周上,王闯代表标准编制组做了
标准编制工作报告及标准草案的说明,工作组同意进入“征求意见稿”阶段。2017年5月,
编制组对标准草案进行了进一步修改,形成标准(征求意见稿)版本。
二、编制原则和主要内容
2.1编制原则
本标准的研究与编制工作遵循以下原则:
(1)公平性原则
信息技术产品安全可控评价指标的制定应对国内外产品一视同仁,采用同一标准,由第
三方认证机构进行评估,营造公平竞争环境,促进国内厂商和企业更快的提升技术能力。
(2)系统性原则
信息技术产品安全可控评价指标的制定应跳出单点技术和产品的局限,从技术体系、管
理能力、供应链、司法管辖等方面综合考虑评价标准,指标的各部分应相互协调,形成统一
的整体,可单独使用,也可配合使用。
(3)简单性原则
2
信息技术产品安全可控评价指标的制定应避繁就简,无需全面,但求有效,尽可能找到
实现信息技术产品安全可控的关键点,简化标准使用流程,对于事关信息产品安全的核心指
标,可设为“一票否决”。
(4)可操作性原则
标准规范是对实际工作成果的总结与提升,最终还需要用于实践中,并经得起实践的检
验,做到可操作、可用与实用。
2.2主要内容
前言.................................................................................II
引言................................................................................III
1范围...............................................................................1
2规范性引用文件.....................................................................1
3术语和定义.........................................................................1
4安全可控概述.......................................................................2
4.1风险分析.......................................................................2
4.2安全可控的内涵.................................................................2
5安全可控保障.......................................................................2
5.1概述...........................................................................2
5.2保障目标.......................................................................2
6安全可控评价.......................................................................3
6.1评价原则.......................................................................3
6.1.1科学合理...................................................................3
6.1.2客观公正...................................................................3
6.1.3知识产权保护...............................................................3
6.2评价指标体系...................................................................3
6.2.1体系框架...................................................................3
6.2.2研发生产评价类.............................................................4
6.2.3供应链评价类...............................................................5
6.2.4运维服务评价类.............................................................5
6.3评价实施.......................................................................5
6.3.1评价流程...................................................................5
6.3.2评价方法...................................................................5
6.3.3评价结果...................................................................6
三、主要试验(或验证)的分析、综述报告、技术经济论证、预期的经济效果
编制组已请相关编制单位对标准进行试用,基本可以达到安全可控水平评价的目的。反
3
馈的建议为标准的制定奠定了良好基础。
四、采用国际标准和国外先进标准的程度、以及与国际、国外同类标准水平的对比情况、
或与测试的国外样品、样机的有关数据对比情况
标准在编制过程中参考了CC、ISO/IEC27036、SP800-53、NISTSP800-161、
FIPS_PUB_140-2等国际标准的相关内容,充分考虑了WTO等国际规则要求,基本保持国
内外标准一致性。
五、与有关的现行法律、法规和强制性国家标准的关系
本标准符合现有法律法规。该标准项目主要依据现有法律法规制定,与现行强制性国家
标准及相关标准不冲突。2015年7月正式发布的《国家安全法》第25条明确要求要“实现
网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”。在国家标准
方面,我国目前尚未制定信息技术产品安全可控相关国家标准,本标准项目主要从安全可控
角度提出管理要求,现有的信息技术产品相关安全标准主要从安全功能和安全要求方面提出
技术要求,标准内容之间不重叠,可同时使用。
六、重大分歧意见的处理经过和依据
本标准在编制过程中未出现重大分歧,其他详见意见汇总处理表。
七、国家标准作为强制性国家标准或推荐性国家标准的建议
建议本标准作为推荐性国家标准发布实施。
八、贯彻国家标准的要求和措施建议(包括组织措施、技术措施、过渡办法等内容)
本标准
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 浙江省杭州市西湖区新东方学校2024年八年级英语第二学期期末调研试题含答案
- 离婚协议书简易范本合集
- 上海市房屋买卖协议合集
- 上海市公寓房预订合同书范本合集
- 移动通信设备租赁合同合集
- 抚养费与探视权的书面协议范文合集
- 股权变更协议范本合集
- 建设工程保持廉洁协议合集
- 上海市建虹高级中学2022-2023学年高三物理模拟试卷含解析
- 2024年俄罗斯预混水泥浆行业应用与市场潜力评估
- 岭南版五年级下册美术考试卷
- 2020学习通马克思章节测试答案-2
- 注塑机PLC控制系统课程设计任务书
- 签证用户口本英文翻译模板
- 房屋工程质量通病分析及防治(图文并茂)
- 2022小学新课程标准《道德与法治》
- 社会领域核心经验《幼儿园社会领域教育精要-关键经验与活动指导》
- 加强口岸发展内外协同联动实施方案
- 监理范围和服务内容全新招标要求
- 教辅材料征订申请表
- 《电工仪表与测量》电子教案
评论
0/150
提交评论