《信息安全技术 信息技术产品安全可控评价指标 第4部分：办公套件-编制说明》.pdfVIP

一、 工作简况 1.1 任务来源 根据中国电子信息产业发展研究院的申请，全国信息安全标准化技术委员会于2015年 下达了《信息安全技术 信息技术产品安全可控水平评价指标 第4 部分：办公套件》国家标 准制定任务。国家标准化委员会于2016年6 月下达了《信息安全技术 信息技术产品安全可 控水平评价指标 第4 部分：办公套件》国家标准制定计划 （计划号T-469）， 由中国电子信息产业发展研究院牵头起草，起草单位包括珠海金山办公软件有限公司、无锡 永中软件有限公司、中标软件有限公司、中国电子信息产业发展研究院、公安部第一研究所、 中国电子技术标准化研究院、中国软件评测中心等。 1.2 主要工作过程 《信息安全技术 信息技术产品安全可控水平评价指标 第4 部分：办公套件》课题始于 2015年7 月，标准编制期间召开了3 次10 名以上专家参会的大型研讨会，十余次小型研讨 会，电话、邮件、现场沟通讨论百余次，根据研讨结果进行了几次较大规模的修订和反复的 推敲琢磨。编制过程主要分为三个阶段： （一）课题启动 经过前期调研，2015年3 月，信息安全技术 信息技术产品安全可控水平评价指标 第4 部分：办公套件》标准项目上报全国信息安全标准化技术委员会；2015年7 月，全国信息 安全标准化技术委员会批准立项，所属工作组为WG7。 （二）编制初稿 2015年7 月，在前期研究基础上，开始初稿编制工作。编制组调研了国内主要的办公 套件厂商和研究机构，走访国内知名专家学者，参考了CC、ISO/IEC 27036、SP 800-53、 NIST SP800-161、FIPS_PUB_140-2 等相关国际标准，且标准制定过程中将充分考虑了WTO 等国际规则要求，基本保持国内外标准一致性。2015年9 月，编制完成统一的标准初稿。 1 （三）标准修订 标准初稿完成后，编制组组织了多次征求意见行动，包括2015年9-10 月面向技术专家、 主要厂商、研究机构和用户单位等的广泛征求意见活动，11月面向WTO 和法律专家的征求 意见活动，以及 12 月面向知名外企的征求意见会。编制组充分吸取各方专家意见，对标准 反复讨论，多次修订，于2016年5 月形成较为完善成熟的标准草案。2016年6 月，在全国 信息安全标准化技术委员会2016年第一次工作组会议周上，王闯代表标准编制组做了标准 编制工作报告及标准草案的说明，根据与会代表提出的意见和建议，完成了意见汇总处理表， 并在此基础上修订标准文本，于8 月份形成新的标准草案提交TC260平台。2016年10 月份， 在全国信息安全标准化技术委员会2016年第二次工作组会议周上，王闯代表标准编制组做 了标准编制工作报告及标准草案的说明，工作组同意进入“征求意见稿”阶段。2016年 11月 4 日，进一步修改后形成标准 （征求意见稿）版本。 二、 编制原则和主要内容 2.1 编制原则 本标准的研究与编制工作遵循以下原则： （1）公平性原则 信息技术产品安全可控水平评价指标的制定应对国内外产品一视同仁，采用同一标准， 由第三方认证机构进行评估，营造公平竞争环境，促进国内厂商和企业更快的提升技术能力。 （2）系统性原则 信息技术产品安全可控水平评价指标的制定应跳出单点技术和产品的局限，从技术体系、 管理能力、供应链、司法管辖等方面综合考虑评价标准，指标的各部分应相互协调，形成统 一的整体，可单独使用，也可配合使用。 （3）简单性原则 信息技术产品安全可控水平评价指标的制定应避繁就简，无需全面，但求有效，尽可能 2 找到实现信息技术产品安全可控的关键点，简化标准使用流程，对于事关信息产品安全的核 心指标，可设为“一票否决”。 （4）可操作性原则 标准规范是对实际工作成果的总结与提升，最终还需要用于实践中，并经得起实践的检 验，做到可操作、可用与实用。 2.2 主要内容 1 范围 1 2 规范性引用文件 3 术语和定义 4 评价指标结构 5 评价方法 5.1 评价材料要求