《信息安全技术办公设备安全规范》编制说明

一、工作简况

1、任务来源

根据国家标准化管理委员会2023年下达的国家标准制修订计划，《信息安全

技术办公设备安全规范》由中国电子技术标准化研究院负责承办。该标准由全

国信息安全标准化技术委员会（简称“信安标委”）归口管理，国标委计划号为

计划号20230251-T-469。

2、标准编制的主要成员单位

中国电子技术标准化研究院负责起草，国家计算机网络应急技术处理协调中

心、国家信息技术安全研究中心、珠海奔图电子有限公司、北京大学、爱普生（中

国）有限公司、富士胶片商业创新（中国）有限公司、长扬科技（北京）股份有

限公司、中国惠普有限公司、联想（北京）有限公司、启明星辰信息技术集团股

份有限公司、柯尼卡美能达（中国）投资有限公司、佳能（中国）有限公司、广

电计量检测集团股份有限公司、国家办公设备及耗材质量检验检测中心（天津天

复检测技术有限公司）、理想（中国）科学工业有限公司、北京高德品创科技有

限公司、夏普办公设备（常熟）有限公司、珠海天威飞马打印耗材有限公司、兄

弟（中国）商业有限公司、杭州安恒信息技术股份有限公司、东芝泰格信息系统

（深圳）有限公司、新华三技术有限公司、北京数安行科技有限公司、北京中科

微澜科技有限公司、天津光电通信技术有限公司、中国科学院软件研究所、国网

区块链科技（北京）有限公司等单位共同参与了该标准的起草工作。

3、主要工作过程

1、2022年10月30日，信安标委发布“2022年网络安全国家标准立项通

知”，《信息安全技术办公设备安全规范》国家标准修订项目立项。

2、2022年11月15日，牵头单位在信安标委网站公开发布征集参编单位

的通知，征集编制单位38家。

3、2022年12月9日，牵头单位组织编制组召开工作会议，38家单位参

1

与，会后共收到编制组内部反馈意见建议480条。

4、2023年3月，国标委下达标准修订计划，修订标准名称为《信息安全

技术办公设备安全规范》，项目周期为16个月，计划号为：20230251-T-469。

5、2023年5月23日，牵头单位组织召开工作会议，37家单位参会，对

编制组内部反馈意见进行讨论。

6、2023年5月30日，牵头单位组织召开编制组研讨会，会上邀请WG5

工作组专家参与编制组讨论，14家单位参会，会上对安全技术要求5项条款的

修改方案形成一致意见。

7、2023年5月31日，牵头单位在WG5工作组全会汇报标准编制进展。经

WG5全会通过，同意推进至征求意见稿阶段。

8、2023年6月30日，牵头单位组织召开编制组研讨会，23家单位参会，

会上对安全技术要求10项条款的修改方案形成一致意见。

9、2023年7月13日，牵头单位组织召开编制组研讨会，24家单位参会，

会上对安全技术要求15项条款的修改方案形成一致意见。

10、2023年8月25日，牵头单位组织召开编制组研讨会，24家单位参会，

会上对6项安全要求条款和8项测评方法条款形成一致意见。

二、标准编制原则和确定主要内容的论据及解决的主要问题

1、编制原则

本标准的编制原则是：

1）通用性

本标准拟提出办公设备的安全技术要求和测评方法，适用于指导办公设备的

安全采购、测评、维护和管理。

2）可行性

本标准研制过程中，广泛征集办公设备厂商、测评机构参与编制讨论，吸取

行业先进经验，确保条款内容的可行性。

3）一致性

符合国家相关法律法规与政策文件，与现行标准规范协调一致。

2、确定主要内容的依据

标准制定依据：

a）标准格式按照GB/T1.1—2020要求编写。

2

b）本标准制定参考以下国家标准：

GB/T18336信息技术安全技术信息技术安全性评估准则

GB/T25069信息安全技术术语

3、解决的主要问题

1）修订背景

办公设备在敏感信息泄露、远程拒绝服务、跨站脚本漏洞等方面安全风险

突出。CNCERT发布的联网打印机安全态势研究报告指出打印机安全漏洞数量

呈逐年上升趋势，截止2018年底，CNVD共发布涉及打印机产品的漏洞信息174

项，中高危漏洞占比超过80%。

目前，美国、欧盟等在立法层面不断强化对网络产品、软件产品的安全性

要求，IEEE、NIST均针对办公设备提出了相关的安全要求标准，保障办公设备

安全性。

GB/T29244—2012《信息安全技术办公设备基本安全要求》于2012年发

布，随着技术发展，办公设备相关安全技术不断更新，原标准技术内容难以有效

应对当前办公设备面临的安全风险。因此，本标准修订工作旨在应用办公设备领

域最新安全技术，通过明确办公设备安全功能要求和安全保障要求，强化办公设

备安全防护能力，有效应对安全风险。

2）标准主要内容

本标准主要内容如下：

前言

本标准代替GB/T29244—2012《信息安全技术办公设备基本安全要求》和

GB/T38558—2020《信息安全技术办公设备安全测试方法》，与GB/T29244—

2012和GB/T38558—2020相比，除结构调整和编辑性改动外，主要技术变化如

下：

——整合了GB/T29244—2012和GB/T38558—2020两项标准的内容，修

改标准名称为“信息安全技术办公设备安全规范”

——增加了概述和规范性附录，明确了办公设备安全等级划分（见第5章、

附录A、附录B）

——更改了术语和定义（见第3章，GB/T29244—2012的第3章）；

3

——增加了“固件安全”相关要求（见6.1.3）和对应测评方法（见7.1.3）；

——增加了“安全保障要求”和对应测评方法（见6.2和7.2）；

——修改“安全审计”为“日志记录与审计”(见6.1.4，GB/T29244—2012

的4.3)。

——修改“会话”为“通信安全”(见6.1.6，GB/T29244—2012的4.5)。

——修改“数据管理”为“用户数据安全”(见6.1.5，GB/T29244—2012

的5.2)。

——修改“安全属性管理”为“配置安全”(见6.1.8，GB/T29244—2012

的5.1)。

第1章范围

本标准规定了办公设备的安全技术要求和测评方法。

本标准适用于办公设备的安全采购、测评、维护和管理。

第2章规范性引用文件

GB/T18336信息技术安全技术信息技术安全性评估准则

GB/T25069信息安全技术术语

第3章术语和定义

GB/T18336和GB/T25069中确定的以及下列术语和定义适用于本标准。

3.1办公设备officedevice

用于产生或处理电子或其他媒体文件的设备。

注：本标准所指办公设备主要是指具有打印、扫描、传真、复印中的一项或多项功

能的设备产品。

3.2管理员administrator

被授权管理办公设备的某些部分或所有部分的用户，其行为可能影响安全

功能策略。

3.3用户user

办公设备之外，与办公设备进行交互的实体（人或信息技术实体）。

3.4用户数据userdata

由用户创建或为用户而创建，且不影响办公设备安全功能运行的数据。

注：用户数据包括用户文档数据和用户功能数据。

4

3.5非易失性存储nonvolatilestorage

存储的数据不因电源关闭而丢失的装置。

注：非易失性存储主要包括内置或者外接的硬盘、U盘、SD卡、FLASH。

3.6固件firmware

内置于办公设备，实现办公设备接口通信、安全功能、数据解析、图像处理、

引擎控制等的程序。

3.7主控制芯片masterchip

内置于办公设备，负责数据解析、图像处理、作业管理和控制打印头并直接

输出二进制影像数据的集成电路器件。

3.8数据控制板datacontrolboard

内置于办公设备，集成了主控制芯片且负责数据控制功能的电路板。

注：数据控制功能包括数据通信，作业分配管理，作业数据解析，打印、复印、扫

描数据的图像处理，二进制影像数据的输出控制等。

第4章缩略语

下列缩略语适用于本标准。

IP：因特网协议（Internetprotocol）

MAC地址：媒体访问控制（mediaaccesscontroladdress）

PIN：个人标识码（personalidentificationnumber）

SNMP：简单网络管理协议(simplenetworkmanagementprotocol)

第5章概述

办公设备的安全技术要求包括安全功能要求和安全保障要求。其中，安全

功能要求是对产品应具备的安全功能提出的具体要求。安全保障要求针对产品的

生命周期过程提出具体的保障要求。

本标准将办公设备的安全等级分为基本级和增强级。安全功能的强弱，以

及安全保障要求的高低是办公设备安全等级划分的依据。办公设备具体安全功能

和等级划分应符合附录A的要求，测评方法及等级划分应符合附录B的要求。

第6章安全技术要求

6.1节安全功能要求包括：

6.1.1标识和鉴别；

5

6.1.2访问控制；

6.1.3固件安全；

6.1.4日志记录与审计；

6.1.5用户数据安全；

6.1.6通信安全；

6.1.7非易失性存储器安全；

6.1.8配置安全。

6.2安全保障要求包括：

6.2.1设计和开发；

6.2.2生产和交付；

6.2.3运行和维护；

6.2.4供应链安全。

第6章安全技术要求提出了办公设备应满足的安全功能要求和安全保障要

求。

第7章测评方法

7.1节安全功能要求测评方法包括：

7.1.1标识和鉴别；

7.1.2访问控制；

7.1.3固件安全；

7.1.4日志记录与审计；

7.1.5用户安全数据；

7.1.6通信安全；

7.1.7非易失性存储器安全；

7.1.8配置安全。

7.2安全保障要求测评方法包括：

7.2.1设计和开发；

7.2.2生产和交付；

7.2.3运行和维护；

7.2.4供应链安全。

6

第7章测评方法对办公设备应满足的安全功能要求和安全保障要求提出具

体测试评价方法。

附录A（规范性附录）办公设备安全功能要求和安全保障要求表

本附录分别列出具有打印、扫描、传真、复印功能的办公设备安全技术要

求，明确了各类办公设备基本级和增强级安全技术要求的最小集合。

附录B（规范性附录）办公设备安全功能要求测评方法和安全保障要求测

评方法表

本附录根据附录A的要求，分别列出具有打印、扫描、传真、复印功能的

办公设备相关要求对应的测评方法。

3）编制思路

对于基本级和增强级的分级原则方面，办公设备安全功能的强弱，以及安

全保障要求的高低是办公设备安全等级的划分依据。本标准所指办公设备主要是

指具有打印、扫描、传真、复印中的一项或多项功能的设备产品，编制组在规范

性附录中分别给出具有打印功能、扫描功能、复印功能和传真功能的办公设备在

基本级和增强级应满足的安全技术要求和测评方法。

对于基本级和增强级的适用场景方面，用户可根据产品功能需求、产品使

用环境等，依据本标准提出的安全功能要求和安全保障要求自行选择。

三、主要试验情况分析

本标准依托办公设备厂商、测评机构等，对本标准条款内容的适用性、可落地

性开展验证。

四、知识产权情况说明

本标准不涉及专利及知识产权问题。

五、产业化情况、推广应用论证和预期达到的经济效果

本标准规定了办公设备的安全技术要求和测评方法，适用于办公设备的安

全采购、测评、维护和管理。

本标准可指导办公设备厂商开展安全能力建设，切实降低办公设备在敏感

信息泄露、远程拒绝服务、跨站脚本漏洞等方面的安全风险；同时，标准可指导

测评机构开展办公设备测评工作。

7

六、采用国际标准和国外先进标准情况

本标准在编制过程中参考了ISO/IEC15408（CC）、NISTIR8023和IEEE2600

等相关产品标准。

七、与现行相关法律、法规、规章及相关标准的协调性

本标准与现行法律、法规、强制性国家标准及相关标准协调一致。

在研制过程中引用了GB/T18336《信息技术安全技术信息技术安全性评估

准则》、GB/T25069《信息安全技术术语》相关内容，对办公设备提出具体安全

要求。

八、重大分歧意见的处理经过和依据

无。

九、标准性质的建议

建议作为国家推荐性标准发布。

十、贯彻标准的要求和措施建议

本标准规定了办公设备的安全技术要求和测评方法，适用于办公设备的安

全采购、测评、维护和管理。

建议办公设备厂商、测评机构依据本标准规范内容开展相关工作。

十一、替代或废止现行相关标准的建议

本标准代替GB/T29244—2012《信息安全技术办公设备基本安全要求》和

GB/T38558—2020《信息安全技术办公设备安全测试方法》。

十二、其它应予说明的事项

无。

国家标准《信息安全技术办公设备安全规范》编制工作组

2023年8月25日

8

一、工作简况

1、任务来源

根据国家标准化管理委员会2023年下达的国家标准制修订计划，《信息安全

技术办公设备安全规范》由中国电子技术标准化研究院负责承办。该标准由全

国信息安全标准化技术委员会（简称“信安标委”）归口管理，国标委计划号为

计划号20230251-T-469。

2、标准编制的主要成员单位

中国电子技术标准化研究院负责起草，国家计算机网络应急技术处理协调中

心、国家信息技术安全研究中心、珠海奔图电子有限公司、北京大学、爱普生（中

国）有限公司、富士胶片商业创新（中国）有限公司、长扬科技（北京）股份有

限公司、中国惠普有限公司、联想（北京）有限公司、启明星辰信息技术集团股

份有限公司、柯尼卡美能达（中国）投资有限公司、佳能（中国）有限公司、广

电计量检测集团股份有限公司、国家办公设备及耗材质量检验检测中心（天津天

复检测技术有限公司）、理想（中国）科学工业有限公司、北京高德品创科技有

限公司、夏普办公设备（常熟）有限公司、珠海天威飞马打印耗材有限公司、兄

弟（中国）商业有限公司、杭州安恒信息技术股份有限公司、东芝泰格信息系统

（深圳）有限公司、新华三技术有限公司、北京数安行科技有限公司、北京中科

微澜科技有限公司、天津光电通信技术有限公司、中国科学院软件研究所、国网

区块链科技（北京）有限公司等单位共同参与了该标准的起草工作。

3、主要工作过程

1、2022年10月30日，信安标委发布“2022年网络安全国家标准立项通

知”，《信息安全技术办公设备安全规范》国家标准修订项目立项。

2、2022年11月15日，牵头单位在信安标委网站公开发布征集参编单位

的通知，征集编制单位38家。

3、2022年12月9日，牵头单位组织编制组召开工作会议，38家单位参

1

b）本标准制定参考以下国家标准：

GB/T18336信息技术安全技术信息技术安全性评估准则

GB/T25069信息安全技术术语

3、解决的主要问题

1）修订背景

办公设备在敏感信息泄露、远程拒绝服务、跨站脚本漏洞等方面安全风险