《信息安全技术 信息技术产品安全可控评价指标 第5部分：通用计算机-编制说明》.pdfVIP

一、 工作简况 1.1 任务来源 经中国电子信息产业发展研究院申请，全国信息安全标准化技术委员会于2016 年下达 了 《信息安全技术 信息技术产品安全可控评价指标 第5 部分：通用计算机》国家标准制 定任务。标准由中国电子信息产业发展研究院牵头起草，起草单位包括中国电子信息产业发 展研究院、工业和信息化部软件与集成电路促进中心、中国软件评测中心、浪潮电子信息产 业股份有限公司、联想集团、曙光信息产业股份有限公司、中国长城计算机深圳股份有限公 司、华为技术有限公司、杭州华三通信技术有限公司等。 1.2 主要工作过程 《信息安全技术 信息技术产品安全可控评价指标 第5 部分：通用计算机》课题始于 2015 年1月，标准编制期间召开了四次10 名以上专家参会的大型研讨会，十余次小型研 讨会，电话、邮件、现场沟通讨论百余次，根据研讨结果进行了几次较大规模的修订和反复 的推敲琢磨。编制过程主要分为三个阶段： （一）课题启动 经过前期调研，2016 年3 月， 《信息安全技术 信息技术产品安全可控评价指标 第5 部分：通用计算机》标准项目上报全国信息安全标准化技术委员会；2016 年7 月，全国信 息安全标准化技术委员会批准立项，所属工作组为WG7。 （二）编制初稿 2016 年7 月，在前期研究基础上，编制组开始初稿编制工作。编制组调研了国内主要 的通用计算机厂商和研究机构，走访国内知名专家学者，参考了CC、ISO/IEC27036、SP 800-53、NIST SP800-161、FIPS_PUB_140-2 等相关国际标准，在标准制定过程中充分 考虑了WTO等国际规则要求，基本保持国内外标准一致性。2016 年9 月，编制组完成标 准初稿。 1 （三）标准修订 标准初稿完成后，编制组组织了多次征求意见行动。2016 年9 月，编制组组织开展了 面向技术专家、主要厂商、研究机构和用户单位等的广泛征求意见活动。2016 年10 月， 在全国信息安全标准化委员会2016第二次会议周上，标准初稿广泛征求了相关专家的意见。 编制组充分吸取了各方专家意见，对标准反复讨论，多次修订，于2017 年3 月，形成了较 为完善成熟的草案。2017年4 月，在全国信息安全标准化技术委员会2017 年第一次工作组 会议周上，王闯代表标准编制组做了标准编制工作报告及标准草案的说明，工作组同意进入 “征求意见稿”阶段。2017 年5 月，编制组对标准草案进行了进一步修改，形成标准 （征求 意见稿）版本。 二、 编制原则和主要内容 2.1 编制原则 本标准的研究与编制工作遵循以下原则： （1）公平性原则 信息技术产品安全可控评价指标的制定应对国内外产品一视同仁，采用同一标准，由第 三方认证机构进行评估，营造公平竞争环境，促进国内厂商和企业更快的提升技术能力。 （2）系统性原则 信息技术产品安全可控评价指标的制定应跳出单点技术和产品的局限，从技术体系、管 理能力、供应链、司法管辖等方面综合考虑评价标准，指标的各部分应相互协调，形成统一 的整体，可单独使用，也可配合使用。 （3）简单性原则 信息技术产品安全可控评价指标的制定应避繁就简，无需全面，但求有效，尽可能找到 实现信息技术产品安全可控的关键点，简化标准使用流程，对于事关信息产品安全的核心指 标，可设为 “一票否决”。 2 （4）可操作性原则 标准规范是对实际工作成果的总结与提升，最终还需要用于实践中，并经得起实践的检 验，做到可操作、可用与实用。 2.2 主要内容 1 范围 2 规范性引用文件 3 术语和定义 4 评价评价指标结构 5 评价方法 5.1 评价材料要求 5.2 指标评价方法 5.3 计分方法 三、 主要试验 （或验证）的分析、综述报告、技术经济论证、预期的经济效果 编制组已请相关编制单位，包括浪潮电子信息产业股份有限公司、联想集团、曙光信息 产业股份有限公司、中国长城计算机深圳股份有限公司、华为技术有限公司、杭州华三通信 技