《信息安全技术 信息技术产品安全可控评价指标 第2部分：中央处理器-编制说明》

一、工作简况

1.1任务来源

根据中国电子信息产业发展研究院的申请，全国信息安全标准化技术委员会于2015年

下达了《信息安全技术信息技术产品安全可控水平评价指标第2部分：中央处理器》国家

标准制定任务。国家标准化委员会于2016年6月下达了《信息安全技术信息技术产品安全

可控水平评价指标第2部分：中央处理器》国家标准制定计划（计划号：20160656-T-469），

由中国电子信息产业发展研究院牵头起草，起草单位包括中国电子信息产业发展研究院、工

信部软件与集成电路促进中心、公安部第一研究所、龙芯中科技术有限公司、上海高性能集

成电路设计中心、展讯通信有限公司、上海兆芯集成电路有限公司、天津飞腾信息技术有限

公司、成都海光集成电路设计有限公司、苏州中晟宏芯信息科技有限公司等。

1.2主要工作过程

《信息安全技术信息技术产品安全可控水平评价指标第2部分：中央处理器》课题始

于2015年7月，标准编制期间召开了3次10名以上专家参会的大型研讨会，十余次小型研

讨会，电话、邮件、现场沟通讨论百余次，根据研讨结果进行了几次较大规模的修订和反复

的推敲琢磨。编制过程主要分为三个阶段：

（一）课题启动

经过前期调研，2015年3月，《信息安全技术信息技术产品安全可控水平评价指标第

2部分：中央处理器》标准项目上报全国信息安全标准化技术委员会；2015年7月，全国信

息安全标准化技术委员会批准立项，所属工作组为WG7。

（二）编制初稿

2015年7月，在前期研究基础上，开始初稿编制工作。编制组调研了国内主要的中央

处理器厂商和研究机构，走访国内知名专家学者，参考了CC、ISO/IEC27036、SP800-53、

NISTSP800-161、FIPS_PUB_140-2等相关国际标准，且标准制定过程中将充分考虑了WTO

1

等国际规则要求，基本保持国内外标准一致性。2015年9月，编制完成统一的标准初稿。

（三）标准修订

标准初稿完成后，编制组组织了多次征求意见行动，包括2015年9-10月面向技术专家、

主要厂商、研究机构和用户单位等的广泛征求意见活动，11月面向WTO和法律专家的征求

意见活动，以及12月面向知名外企的征求意见会。编制组充分吸取各方专家意见，对标准

反复讨论，多次修订，于2016年5月形成较为完善成熟的标准草案。2016年6月，在全国

信息安全标准化技术委员会2016年第一次工作组会议周上，王闯代表标准编制组做了标准

编制工作报告及标准草案的说明，根据与会代表提出的意见和建议，完成了意见汇总处理表，

并在此基础上修订标准文本，于8月份形成新的标准草案提交TC260平台。2016年10月份，

在全国信息安全标准化技术委员会2016年第二次工作组会议周上，王闯代表标准编制组做

了标准编制工作报告及标准草案的说明，工作组同意进入“征求意见稿”阶段。2016年11月

4日，进一步修改后形成标准（征求意见稿）版本。

二、编制原则和主要内容

2.1编制原则

本标准的研究与编制工作遵循以下原则：

（1）公平性原则

信息技术产品安全可控水平评价指标的制定应对国内外产品一视同仁，采用同一标准，

由第三方认证机构进行评估，营造公平竞争环境，促进国内厂商和企业更快的提升技术能力。

（2）系统性原则

信息技术产品安全可控水平评价指标的制定应跳出单点技术和产品的局限，从技术体系、

管理能力、供应链、司法管辖等方面综合考虑评价标准，指标的各部分应相互协调，形成统

一的整体，可单独使用，也可配合使用。

（3）简单性原则

2

信息技术产品安全可控水平评价指标的制定应避繁就简，无需全面，但求有效，尽可能

找到实现信息技术产品安全可控的关键点，简化标准使用流程，对于事关信息产品安全的核

心指标，可设为“一票否决”。

（4）可操作性原则

标准规范是对实际工作成果的总结与提升，最终还需要用于实践中，并经得起实践的检

验，做到可操作、可用与实用。

2.2主要内容

1范围

2规范性引用文件

3术语和定义

4评价评价指标结构

5评价方法

5.1评价材料要求

5.2指标评价

5.2.1一票评价项

5.2.2其他指标项

5.3计分方法

三、主要试验（或验证）的分析、综述报告、技术经济论证、预期的经济效果

编制组已请相关编制单位，包括龙芯中科技术有限公司、上海高性能集成电路设计中心、

展讯通信有限公司、上海兆芯集成电路有限公司、天津飞腾信息技术有限公司、成都海光集

成电路设计有限公司、苏州中晟宏芯信息科技有限公司等对标准进行试用，基本可以达到安

全可控水平评价的目的。反馈的建议对标准的制定奠定了良好基础。

四、采用国际标准和国外先进标准的程度、以及与国际、国外同类标准水平的对比情况、

或与测试的国外样品、样机的有关数据对比情况

经调研，国际尚未发布类似标准，在标准编制过程中参考了CC、ISO/IEC27036、SP

800-53、NISTSP800-161、FIPS_PUB_140-2等国际标准的相关内容，且标准制定过程中将

充分考虑了WTO等国际规则要求，基本保持国内外标准一致性。

3

五、与有关的现行法律、法规和强制性国家标准的关系

本标准符合现有法律法规的要求。在国家标准方面，我国目前尚未制定信息技术产品安

全可控相关国家标准，本标准项目中所涉及的中央处理器产品主要从安全可控角度提出管理

要求，现有的中央处理器安全相关标准主要从可靠性等方面提出技术要求，标准内容之间不

重叠，可同时使用。

六、重大分歧意见的处理经过和依据

本标准在编制过程中未出现重大分歧，其他详见意见汇总处理表。

七、国家标准作为强制性国家标准或推荐性国家标准的建议

建议本标准作为推荐性国家标准发布实施。

八、贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法等内容）

本标准作为信息技术产品安全可控评价指标的一部分，配合实施。

九、其他事项说明

本标准不涉及专利。