《信息安全技术 信息技术产品安全可控评价指标 第2部分：中央处理器-编制说明》.pdfVIP

一、 工作简况 1.1 任务来源 根据中国电子信息产业发展研究院的申请，全国信息安全标准化技术委员会于2015年 下达了《信息安全技术 信息技术产品安全可控水平评价指标 第2 部分：中央处理器》国家 标准制定任务。国家标准化委员会于2016年6 月下达了《信息安全技术 信息技术产品安全 可控水平评价指标 第2 部分：中央处理器》国家标准制定计划 （计划号T-469）， 由中国电子信息产业发展研究院牵头起草，起草单位包括中国电子信息产业发展研究院、工 信部软件与集成电路促进中心、公安部第一研究所、龙芯中科技术有限公司、上海高性能集 成电路设计中心、展讯通信有限公司、上海兆芯集成电路有限公司、天津飞腾信息技术有限 公司、成都海光集成电路设计有限公司、苏州中晟宏芯信息科技有限公司等。 1.2 主要工作过程 《信息安全技术 信息技术产品安全可控水平评价指标 第2 部分：中央处理器》课题始 于2015年7 月，标准编制期间召开了3 次10 名以上专家参会的大型研讨会，十余次小型研 讨会，电话、邮件、现场沟通讨论百余次，根据研讨结果进行了几次较大规模的修订和反复 的推敲琢磨。编制过程主要分为三个阶段： （一）课题启动 经过前期调研，2015年3 月，《信息安全技术 信息技术产品安全可控水平评价指标 第 2 部分：中央处理器》标准项目上报全国信息安全标准化技术委员会；2015年7 月，全国信 息安全标准化技术委员会批准立项，所属工作组为WG7。 （二）编制初稿 2015年7 月，在前期研究基础上，开始初稿编制工作。编制组调研了国内主要的中央 处理器厂商和研究机构，走访国内知名专家学者，参考了CC、ISO/IEC 27036、SP 800-53、 NIST SP800-161、FIPS_PUB_140-2 等相关国际标准，且标准制定过程中将充分考虑了WTO 1 等国际规则要求，基本保持国内外标准一致性。2015年9 月，编制完成统一的标准初稿。 （三）标准修订 标准初稿完成后，编制组组织了多次征求意见行动，包括2015年9-10 月面向技术专家、 主要厂商、研究机构和用户单位等的广泛征求意见活动，11月面向WTO 和法律专家的征求 意见活动，以及 12 月面向知名外企的征求意见会。编制组充分吸取各方专家意见，对标准 反复讨论，多次修订，于2016年5 月形成较为完善成熟的标准草案。2016年6 月，在全国 信息安全标准化技术委员会2016年第一次工作组会议周上，王闯代表标准编制组做了标准 编制工作报告及标准草案的说明，根据与会代表提出的意见和建议，完成了意见汇总处理表， 并在此基础上修订标准文本，于8 月份形成新的标准草案提交TC260平台。2016年10 月份， 在全国信息安全标准化技术委员会2016年第二次工作组会议周上，王闯代表标准编制组做 了标准编制工作报告及标准草案的说明，工作组同意进入“征求意见稿”阶段。2016年 11月 4 日，进一步修改后形成标准 （征求意见稿）版本。 二、 编制原则和主要内容 2.1 编制原则 本标准的研究与编制工作遵循以下原则： （1）公平性原则 信息技术产品安全可控水平评价指标的制定应对国内外产品一视同仁，采用同一标准， 由第三方认证机构进行评估，营造公平竞争环境，促进国内厂商和企业更快的提升技术能力。 （2）系统性原则 信息技术产品安全可控水平评价指标的制定应跳出单点技术和产品的局限，从技术体系、 管理能力、供应链、司法管辖等方面综合考虑评价标准，指标的各部分应相互协调，形成统 一的整体，可单独使用，也可配合使用。 （3）简单性原则 2 信息技术产品安全可控水平评价指标的制定应避繁就简，无需全面，但求有效，尽可能 找到实现信息技术产品安全可控的关键点，简化标准使用流程，对于事关信息产品安全的核 心指标，可设为“一票否决”。 （4）可操作性原则 标准规范是对实际工作成果的总结与提升，最终还需要用于实践中，并经得起实践的检 验，做到可操作、可用与实用。 2.2 主要内容 1 范围 2 规范性引用文件 3