信息安全技术 信息技术产品安全可控评价指标 第4部分：办公套件-编制说明

工作简况1.1任务来源根据中国电子信息产业发展研究院的申请，全国信息安全标准化技术委员会于2015年下达了《信息安全技术信息技术产品安全可控水平评价指标第4部分：办公套件》国家标准制定任务。国家标准化委员会于2016年6月下达了《信息安全技术信息技术产品安全可控水平评价指标第4部分：办公套件》国家标准制定计划（计划号：20160658-T-469），由中国电子信息产业发展研究院牵头起草，起草单位包括珠海金山办公软件有限公司、无锡永中软件有限公司、中标软件有限公司、中国电子信息产业发展研究院、公安部第一研究所、中国电子技术标准化研究院、中国软件评测中心等。1.2主要工作过程《信息安全技术信息技术产品安全可控水平评价指标第4部分：办公套件》课题始于2015年7月，标准编制期间召开了3次10名以上专家参会的大型研讨会，十余次小型研讨会，电话、邮件、现场沟通讨论百余次，根据研讨结果进行了几次较大规模的修订和反复的推敲琢磨。编制过程主要分为三个阶段：（一）课题启动经过前期调研，2015年3月，信息安全技术信息技术产品安全可控水平评价指标第4部分：办公套件》标准项目上报全国信息安全标准化技术委员会；2015年7月，全国信息安全标准化技术委员会批准立项，所属工作组为WG7。（二）编制初稿2015年7月，在前期研究基础上，开始初稿编制工作。编制组调研了国内主要的办公套件厂商和研究机构，走访国内知名专家学者，参考了CC、ISO/IEC27036、SP800-53、NISTSP800-161、FIPS_PUB_140-2等相关国际标准，且标准制定过程中将充分考虑了WTO等国际规则要求，基本保持国内外标准一致性。2015年9月，编制完成统一的标准初稿。（三）标准修订标准初稿完成后，编制组组织了多次征求意见行动，包括2015年9-10月面向技术专家、主要厂商、研究机构和用户单位等的广泛征求意见活动，11月面向WTO和法律专家的征求意见活动，以及12月面向知名外企的征求意见会。编制组充分吸取各方专家意见，对标准反复讨论，多次修订，于2016年5月形成较为完善成熟的标准草案。2016年6月，在全国信息安全标准化技术委员会2016年第一次工作组会议周上，王闯代表标准编制组做了标准编制工作报告及标准草案的说明，根据与会代表提出的意见和建议，完成了意见汇总处理表，并在此基础上修订标准文本，于8月份形成新的标准草案提交TC260平台。2016年10月份，在全国信息安全标准化技术委员会2016年第二次工作组会议周上，王闯代表标准编制组做了标准编制工作报告及标准草案的说明，工作组同意进入“征求意见稿”阶段。2016年11月4日，进一步修改后形成标准（征求意见稿）版本。编制原则和主要内容2.1编制原则本标准的研究与编制工作遵循以下原则：（1）公平性原则信息技术产品安全可控水平评价指标的制定应对国内外产品一视同仁，采用同一标准，由第三方认证机构进行评估，营造公平竞争环境，促进国内厂商和企业更快的提升技术能力。（2）系统性原则信息技术产品安全可控水平评价指标的制定应跳出单点技术和产品的局限，从技术体系、管理能力、供应链、司法管辖等方面综合考虑评价标准，指标的各部分应相互协调，形成统一的整体，可单独使用，也可配合使用。（3）简单性原则信息技术产品安全可控水平评价指标的制定应避繁就简，无需全面，但求有效，尽可能找到实现信息技术产品安全可控的关键点，简化标准使用流程，对于事关信息产品安全的核心指标，可设为“一票否决”。（4）可操作性原则标准规范是对实际工作成果的总结与提升，最终还需要用于实践中，并经得起实践的检验，做到可操作、可用与实用。2.2主要内容1范围 12规范性引用文件3术语和定义 4评价指标结构 5评价方法 5.1评价材料要求 5.2指标评价 5.3计分方法 主要试验（或验证）的分析、综述报告、技术经济论证、预期的经济效果编制组已请相关编制单位，包括珠海金山办公软件有限公司、无锡永中软件有限公司、中标软件有限公司等对标准进行试用，基本可以达到安全可控水平评价的目的。反馈的建议对标准的制定奠定了良好基础。采用国际标准和国外先进标准的程度、以及与国际、国外同类标准水平的对比情况、或与测试的国外样品、样机的有关数据对比情况经调研，国际尚未发布类似标准，在标准编制过程中参考了CC、ISO/IEC27036、SP800-53、NISTSP800-161、FIPS_PUB_140-2等国际标准的相关内容，且标准制定过程中将充分考虑了WTO等国际规则要求，基本保持国内外标准一致性。与有关的现行法律、法规和强制性国家标准的关系本标准符合现有法律法规的要求。重大分歧意见的处理经过和依据本标准在编制过程中未出现重大分歧，其他详见意见汇总处理表。国家标准作为强制性国家标准或推荐性国家标准的建议建议本标准作为推荐性国家标准发布实施。贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法等内容）本标准作为信息技术产品安全可控评价指标的一部分，配合实施。其他事项说明本标准不涉及专利。国家标准《信息安全技术信息技术产品安全可控水平评价指标第4部分：办公套件》（征求意见稿）编制说明国家标准《信息安全技术信息技术产品安全可控水平评价指标第4部分：