《信息安全技术 信息技术产品安全可控评价指标 第1部分：总则-编制说明》.pdfVIP

一、 任务来源及编制单位 1.1任务来源 经中国电子信息产业发展研究院申请，全国信息安全标准化技术委员会于2015年下达 了《信息安全技术信息技术产品安全可控评价指标第 1部分：总则》国家标准制定任务，国 家标准化委员会于2016年6 月下达了 《信息安全技术信息技术产品安全可控评价指标第 1 部分：总则》国家标准制定计划 （计划号T-469）。标准由中国电子信息产业发 展研究院牵头起草，起草单位包括公安部第一研究所、工信部软件与集成电路促进中心、中 国电子技术标准化研究院、中国信息安全研究院有限公司、中国电子科技集团公司、中国软 件评测中心、中国信息通信研究院、联想集团等。 1.2 主要工作过程 《信息安全技术信息技术产品安全可控评价指标第 1部分：总则》课题始于2015 年7 月，标准编制期间召开了10余次10 名以上专家参会的大型研讨会，十余次小型研讨会，电 话、邮件、现场沟通讨论百余次，根据研讨结果进行了几次较大规模的修订和反复的推敲琢 磨。编制过程主要分为三个阶段： （一）课题启动 经过前期调研，2015年3 月， 《信息安全技术信息技术产品安全可控评价指标第 1部 分：总则》标准项目上报全国信息安全标准化技术委员会；2015年7 月，全国信息安全标 准化技术委员会批准立项，所属工作组为WG7。 （二）编制初稿 2015年7 月，在前期研究基础上，编制组开始初稿编制工作。编制组调研了国内主要 的中央处理器厂商和研究机构，走访国内知名专家学者，参考了CC、ISO/IEC 27036、SP 800-53、NIST SP 800-161、FIPS_PUB_140-2 等相关国际标准，且标准制定过程中将充分考 虑了WTO等国际规则要求，基本保持国内外标准一致性。2015年9 月，编制完成统一的标 1 准初稿。 （三）标准修订 标准初稿完成后，编制组组织了多次征求意见行动，包括2015年9-10 月面向技术专家、 主要厂商、研究机构和用户单位等的广泛征求意见活动，11月面向WTO 和法律专家的征求 意见活动，以及 12 月面向知名外企的征求意见会。编制组充分吸取各方专家意见，对标准 反复讨论，多次修订，于2016年 10 月形成较为完善成熟的标准草案。2016年10 月份，在 全国信息安全标准化技术委员会2016年第二次工作组会议周上，王闯代表标准编制组做了 标准编制工作报告及标准草案的说明，根据与会代表提出的意见和建议，完成了意见汇总处 理表，并在此基础上修订标准文本，于2017年4 月份形成新的标准草案。2017年4 月，在 全国信息安全标准化技术委员会2017年第一次工作组会议周上，王闯代表标准编制组做了 标准编制工作报告及标准草案的说明，工作组同意进入“征求意见稿”阶段。2017 年5 月， 编制组对标准草案进行了进一步修改，形成标准 （征求意见稿）版本。 二、 编制原则和主要内容 2.1 编制原则 本标准的研究与编制工作遵循以下原则： （1）公平性原则 信息技术产品安全可控评价指标的制定应对国内外产品一视同仁，采用同一标准，由第 三方认证机构进行评估，营造公平竞争环境，促进国内厂商和企业更快的提升技术能力。 （2）系统性原则 信息技术产品安全可控评价指标的制定应跳出单点技术和产品的局限，从技术体系、管 理能力、供应链、司法管辖等方面综合考虑评价标准，指标的各部分应相互协调，形成统一 的整体，可单独使用，也可配合使用。 （3）简单性原则 2 信息技术产品安全可控评价指标的制定应避繁就简，无需全面，但求有效，尽可能找到 实现信息技术产品安全可控的关键点，简化标准使用流程，对于事关信息产品安全的核心指 标，可设为“一票否决”。 （4）可操作性原则 标准规范是对实际工作成果的总结与提升，最终还需要用于实践中，并经得起实践的检 验，做到可操作、可用与实用。 2.2 主要内容 前言II 引言III 1 范围1 2 规范性引用文件1 3 术语和定义1 4 安全可控概述2 4.1 风险分析2 4.2 安全可控的内涵2 5 安全可控