更新 !《安全可靠测评工作指南(V2.0)》来了

科技   2024-12-02 08:01   山西  

《安全可靠测评工作指南(V2.0)》发布,有什么重点内容?

本文,自主可控新鲜事结合业界专家观点,在2.0版本中对重点更新内容做了解读注解,如有疑问或补充、更正可在评论区畅所欲言~

出品丨自主可控新鲜事

本文内容来源于中国信息安全测评中心

正文共3727,建议阅读时间3分钟



2024年11月26日,中国信息安全测评中心更新了《安全可靠测评工作指南(V2.0)》,对比1.0版本多了一些对送测产品的要求及规范,规避了厂商夸大产品代码自主量等行为。

本文,自主可控新鲜事结合业界专家观点,在2.0版本中对重点更新内容做了解读注解,如有疑问或补充、更正可在评论区畅所欲言~

安全可靠测评工作指南(V2.0)

 

安全可靠测评主要面向计算机终端和服务器搭载的中央处理器(CPU)、操作系统以及数据库等基础软硬件产品,通过对产品及其研发单位的核心技术、安全保障、持续发展等方面开展评估,评定产品的安全性和可持续性,实现对产品研发设计、生产制造、供应保障、售后维护等全生命周期安全可靠性的综合度量和客观评价。

安全可靠测评坚持“自愿平等、客观公正”原则,由企业自愿向中国信息安全测评中心、国家保密科技测评中心申请产品检测,测评结果由企业和用户自主选择使用。


一、测评申请
(一)申请流程
安全可靠测评申请流程分为材料提交、材料审核、受理评审3个阶段。
图1安全可靠测评申请流程
1.材料提交
(1)送测单位按照自主自愿原则,在受理期内通过邮件方式向中国信息安全测评中心(pdtscc@mail.itsec.gov.cn)或国家保密科技测评中心(nsstecaqkk@163.com)提交《安全可靠测评申请登记表》扫描件(表格附后)。
(2)测评机构收到送测单位提交的《安全可靠测评申请登记表》后,5个工作日内通知送测单位到指定地点领取测评申请材料清单。
(3)送测单位根据测评申请材料清单在受理期内向测评机构提交相关材料,并对材料的真实性负责。
(4)受理期每年两次,为1月第一个工作日至2月最后一个工作日和7月第一个工作日至8月最后一个工作日。
2.材料审核
(1)测评机构收到送测单位提交的申请材料后开展材料审核,15个工作日内向送测单位反馈审核意见。
(2)通过材料审核的,进入受理评审环节。
(3)未通过材料审核的,送测单位可在受理期内根据审核意见补充完善申请材料并重新提交。
(4)受理期截止后,测评机构不再接受送测单位提交的申请材料和补充材料。
3.受理评审
(1)受理期截止后,测评机构根据送测单位提交的申请材料进行受理评审,并向送测单位反馈受理评审结果。
(2)通过受理评审的,测评机构与送测单位明确测试样品和测评材料有关要求,核定测评工作量,确定测评费用并签订测评协议,进入测评实施环节。
(3)未通过受理评审或未达成测评协议的,终止本次测评。
(二)申请条件
送测单位应为中国境内注册的实体,且满足以下条件:
1.送测产品应面向市场公开销售;

这一条此前也有但是没有明确。如果产品只是一个实验室产品,并无市场销售的成功案例,是不符合送测条件的。不过这可能又会变成一个死循环,让新加入的信创厂商十分难受。没过国测,没人敢买;没人买,无法参加国测!

2.具有送测产品完备的研发文档、设计资料、代码数据和研发环境;
3.拥有送测产品相关的专利、商标、著作权、集成电路布图设计等知识产权(含申请)之一;
4.具备与送测产品研发设计、生产制造、供应保障、售后维护相匹配的人员队伍和工作环境;
5.不存在违反中国法律法规的行为和记录;
6.送测产品功能定性定位应准确,产品名称应与产品功能一致,不同技术路线产品名称应有明确区分,不得误导用户;

这一条是业内厂商、专家反馈较多的问题。某些企业为了误导用户,把产品名称和版本号起得十分模糊,通过国测的可能只有一两款,但销售在面对用户时故意模糊、引导。

7.同类产品迭代升级,产品名称应保持连续性,非同类产品应做明确区分;
8.同一送测单位一个受理期内最多送测中央处理器(CPU)、操作系统、数据库产品各两款。

第八条是为了避免大厂多产品送测占用测试资源,让更多的中小信创企业有机会参与到测试中来。


二、测评实施
(一)测评流程
测评流程分为测评启动、测评开展、结果评定3个阶段。
图2安全可靠测评流程
1.测评启动
(1)送测单位自接到测评机构通知起10个工作日内提交测试样品及测评材料。
(2)测评机构对送测单位提交的测评材料及测试样品确认无误后,启动测评。
2.测评开展
(1)测评主要包括材料核验、人员访谈、代码审查、环境审查、现场测试、现场考核、样品测试等环节。
(2)测评过程中,送测单位应及时响应测评机构需要,提供技术支持或补充相关材料。若测试样品出现问题导致测评无法正常开展,送测单位应及时更换或补充样品。
(3)自测评启动之日起,测评机构原则上在90个工作日内完成测评。送测单位补充材料、更换或补充样品的时间不计入测评周期。如遇特殊情况或受不可抗力影响,测评周期可根据实际情况延长。
(4)若测评过程中发现送测产品存在影响或者可能涉及网络安全法律法规的问题,应当确认送测产品符合相关法律法规后,再继续开展测评。
(5)若测评过程中发现送测单位存在隐瞒、欺骗、提交虚假材料、夸大产品代码自主量超过60%、不配合测评等行为,测评机构终止本次测评,作不通过处理,且两年内不再受理其测评申请。

第五条是针对“代码注水”的”假自主、假信创“行为,,有些厂商为了达到送测60%的自主率,采用了虚假代码注水的方法,用一些没有实际功效的代码来降低开源代码的比例,达到测试及格线。今后此类作弊行为也将被规范。

3.结果评定
测评完成后,测评机构对测评情况进行分级评定,出具安全可靠测评结果。
(二)测评主要内容
1.针对送测产品:
(1)设计、开发、生产等关键环节在中国境内完成的情况,以及实施必要的安全防护措施的情况;
(2)遵守中华人民共和国知识产权相关法律法规、行业标准规范的情况,履行开源许可协议、授权许可合同的要求的情况;
(3)不存在未声明功能和已知安全风险的情况;
(4)安全风险防护能力的情况;
(5)供应链安全性和持续稳定性的情况;
(6)服务保障安全性、持续稳定性和可追溯性的情况;
(7)符合中华人民共和国网络安全相关的法律法规及技术标准的情况;
(8)满足技术要件对测评机构充分公开和可追溯的情况。
2.针对送测单位:
(1)依据中华人民共和国相关法律法规合法合规运营,具备相关的运营、研发、管理、服务等资质的情况;
(2)依据中华人民共和国相关法律法规实施知识产权保护及管理的情况;
(3)依据中华人民共和国相关法律法规对核心数据、重要数据进行保护的情况;
(4)供应链服务的情况或风险;
(5)具备与送测产品研发设计、生产制造、供应保障、售后维护相匹配的人员队伍的情况;
(6)具备产品定制开发能力,能够基于自身产品构建产业生态,保持生态开放性、透明性,满足各种应用场景需求的情况;
(7)具备漏洞响应等能力与管理机制的情况;
(8)具备及时有效的售后服务能力与管理机制的情况;
(9)具备送测产品的独立研发能力,且拥有相关知识产权保护的情况;
(10)具备送测产品的研发环境及过程记录的情况;
(11)确保测评材料对测评机构充分公开和可追溯。

三、结果查询
1.送测单位可通过中国信息安全测评中心(网址:www.itsec.gov.cn)和国家保密科技测评中心(网址:www.nsstec.org.cn)官方网站查询测评结果,测评结果自发布之日起有效期3年。
2.测评结果有效期内,若送测单位出现实控人或控股权发生变化、产品技术路线更换、产品被发现重大安全漏洞等可能影响测评结果的情形,送测单位应及时告知测评机构。未及时告知的,测评机构有权视情处置,直至取消产品测评结果。
3.送测单位对测评结果有异议,采用书面方式向测评机构提出申诉。一般情况下,测评机构30个工作日内予以答复。
4.未通过测评的产品,如在供应链安全、核心技术掌控、知识产权、抵御安全风险等方面取得重要进展,可在受理期内重新申请送测。两次未通过测评的,两年内不再受理其同类产品测评申请。

四、保密承诺
1.测评机构对在测评工作中知悉的商业秘密和未公开材料承担保密义务,承诺不侵犯送测单位的知识产权。
2.送测单位应对测评工作涉及的未公开事项承担保密义务,不公开宣传、报道,不向第三方泄露。

五、参考依据
1.《中华人民共和国国家安全法》
2.《中华人民共和国网络安全法》
3.《中华人民共和国数据安全法》
4.《中华人民共和国个人信息保护法》
5.《中华人民共和国保守国家秘密法》
6.《中华人民共和国密码法》
7.《中华人民共和国专利法》
8.《中华人民共和国商标法》
9.《中华人民共和国著作权法》
10.《中华人民共和国反垄断法》
11.《计算机软件保护条例》
12.《集成电路布图设计保护条例》
13.《关键信息基础设施安全保护条例》
14.《网络安全审查办法》
15.《数据出境安全评估办法》
16.《商用密码应用安全性评估管理办法(试行)》
17.《知识产权对外转让有关工作办法(试行)》
18.《商标一般违法判断标准》
19.《商标侵权判断标准》
20.《不可靠实体清单规定》
21.《国家知识产权局知识产权信用管理规定》
22.GB/T 18336-2015《信息技术安全评估准则》
23.GB/T 29490-2023《企业知识产权合规管理体系要求》
24.GB/T 37286-2019《知识产权分析评议服务—服务规范》
25.GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》
26.GB/T 25070-2019《信息安全技术网络安全等级保护安全设计技术要求》
27.GB/T 28448-2019《信息安全技术网络安全等级保护测评要求》
28.GB/T 39786-2021《信息系统密码应用基本要求》








END

免责声明:本文系网络转载,版权归原作者所有。但因转载众多,或无法确认真正原始作者,故仅标明转载来源,如涉及作品版权问题,请与我们联系,我们将在第一时间协商版权问题或删除内容!内容为作者个人观点,并不代表本公众号赞同其观点和对其真实性负责。



点击下方标题,洞悉信创产业发展

年终盘点 | 国产计算机发展历程回溯及国产整机厂商大盘点
行业信创 | 支持力度、采购体量、国产化效果、关键领域落地情况剖析
行业信创 | 教育信创“明星阵容”盘点!
研报 | 2021各地政府信创招标概况、产品偏好情况报告
研报 | 2021中国信创产业应用落地研究报告及供应商60强(附下载)
全网最全 | 2022年信创行业上市公司全方位对比 (附业务布局汇总、业绩对比、业务规划等)
农行招标提振金融信创信心, “井喷态势”之下“实干家”才能行稳致远!
最新!国产CPU龙芯、飞腾、申威兼容适配进展
最新!信创领域两大国产操作系统应用软件生态适配进展
行业信创加速推进 国产芯片服务器迎来发展机遇
“十四五”开局,信创产业发展新蓝海格局已现!
建议收藏 | 万亿市场持续发力 信创行业政策汇总
收藏 | 精选231篇2020年超高含金量的信创各领域研报




我就知道你“在看”


自主可控新鲜事
自主可控新鲜事是一个专注于信创产业信息挖掘与传递的行业内资讯服务媒体平台。 我们观察整个信创行业产业链上下游的动态发展,发现行业内具备创新与机遇的公司与产品,解读政府政策及市场变化,及时、高质地为业内各方提供深度价值信息。
 最新文章