《安全可靠测评工作指南(V2.0)》发布,有什么重点内容?
本文,自主可控新鲜事结合业界专家观点,在2.0版本中对重点更新内容做了解读注解,如有疑问或补充、更正可在评论区畅所欲言~
出品丨自主可控新鲜事
本文内容来源于中国信息安全测评中心
正文共3727,建议阅读时间3分钟
2024年11月26日,中国信息安全测评中心更新了《安全可靠测评工作指南(V2.0)》,对比1.0版本多了一些对送测产品的要求及规范,规避了厂商夸大产品代码自主量等行为。本文,自主可控新鲜事结合业界专家观点,在2.0版本中对重点更新内容做了解读注解,如有疑问或补充、更正可在评论区畅所欲言~安全可靠测评工作指南(V2.0)
安全可靠测评主要面向计算机终端和服务器搭载的中央处理器(CPU)、操作系统以及数据库等基础软硬件产品,通过对产品及其研发单位的核心技术、安全保障、持续发展等方面开展评估,评定产品的安全性和可持续性,实现对产品研发设计、生产制造、供应保障、售后维护等全生命周期安全可靠性的综合度量和客观评价。
安全可靠测评坚持“自愿平等、客观公正”原则,由企业自愿向中国信息安全测评中心、国家保密科技测评中心申请产品检测,测评结果由企业和用户自主选择使用。
安全可靠测评申请流程分为材料提交、材料审核、受理评审3个阶段。(1)送测单位按照自主自愿原则,在受理期内通过邮件方式向中国信息安全测评中心(pdtscc@mail.itsec.gov.cn)或国家保密科技测评中心(nsstecaqkk@163.com)提交《安全可靠测评申请登记表》扫描件(表格附后)。(2)测评机构收到送测单位提交的《安全可靠测评申请登记表》后,5个工作日内通知送测单位到指定地点领取测评申请材料清单。(3)送测单位根据测评申请材料清单在受理期内向测评机构提交相关材料,并对材料的真实性负责。(4)受理期每年两次,为1月第一个工作日至2月最后一个工作日和7月第一个工作日至8月最后一个工作日。(1)测评机构收到送测单位提交的申请材料后开展材料审核,15个工作日内向送测单位反馈审核意见。(3)未通过材料审核的,送测单位可在受理期内根据审核意见补充完善申请材料并重新提交。(4)受理期截止后,测评机构不再接受送测单位提交的申请材料和补充材料。(1)受理期截止后,测评机构根据送测单位提交的申请材料进行受理评审,并向送测单位反馈受理评审结果。(2)通过受理评审的,测评机构与送测单位明确测试样品和测评材料有关要求,核定测评工作量,确定测评费用并签订测评协议,进入测评实施环节。(3)未通过受理评审或未达成测评协议的,终止本次测评。这一条此前也有但是没有明确。如果产品只是一个实验室产品,并无市场销售的成功案例,是不符合送测条件的。不过这可能又会变成一个死循环,让新加入的信创厂商十分难受。没过国测,没人敢买;没人买,无法参加国测!
2.具有送测产品完备的研发文档、设计资料、代码数据和研发环境;3.拥有送测产品相关的专利、商标、著作权、集成电路布图设计等知识产权(含申请)之一;4.具备与送测产品研发设计、生产制造、供应保障、售后维护相匹配的人员队伍和工作环境;6.送测产品功能定性定位应准确,产品名称应与产品功能一致,不同技术路线产品名称应有明确区分,不得误导用户;这一条是业内厂商、专家反馈较多的问题。某些企业为了误导用户,把产品名称和版本号起得十分模糊,通过国测的可能只有一两款,但销售在面对用户时故意模糊、引导。
7.同类产品迭代升级,产品名称应保持连续性,非同类产品应做明确区分;8.同一送测单位一个受理期内最多送测中央处理器(CPU)、操作系统、数据库产品各两款。第八条是为了避免大厂多产品送测占用测试资源,让更多的中小信创企业有机会参与到测试中来。
测评流程分为测评启动、测评开展、结果评定3个阶段。(1)送测单位自接到测评机构通知起10个工作日内提交测试样品及测评材料。(2)测评机构对送测单位提交的测评材料及测试样品确认无误后,启动测评。(1)测评主要包括材料核验、人员访谈、代码审查、环境审查、现场测试、现场考核、样品测试等环节。(2)测评过程中,送测单位应及时响应测评机构需要,提供技术支持或补充相关材料。若测试样品出现问题导致测评无法正常开展,送测单位应及时更换或补充样品。(3)自测评启动之日起,测评机构原则上在90个工作日内完成测评。送测单位补充材料、更换或补充样品的时间不计入测评周期。如遇特殊情况或受不可抗力影响,测评周期可根据实际情况延长。(4)若测评过程中发现送测产品存在影响或者可能涉及网络安全法律法规的问题,应当确认送测产品符合相关法律法规后,再继续开展测评。(5)若测评过程中发现送测单位存在隐瞒、欺骗、提交虚假材料、夸大产品代码自主量超过60%、不配合测评等行为,测评机构终止本次测评,作不通过处理,且两年内不再受理其测评申请。第五条是针对“代码注水”的”假自主、假信创“行为,,有些厂商为了达到送测60%的自主率,采用了虚假代码注水的方法,用一些没有实际功效的代码来降低开源代码的比例,达到测试及格线。今后此类作弊行为也将被规范。
测评完成后,测评机构对测评情况进行分级评定,出具安全可靠测评结果。(1)设计、开发、生产等关键环节在中国境内完成的情况,以及实施必要的安全防护措施的情况;(2)遵守中华人民共和国知识产权相关法律法规、行业标准规范的情况,履行开源许可协议、授权许可合同的要求的情况;(6)服务保障安全性、持续稳定性和可追溯性的情况;(7)符合中华人民共和国网络安全相关的法律法规及技术标准的情况;(8)满足技术要件对测评机构充分公开和可追溯的情况。(1)依据中华人民共和国相关法律法规合法合规运营,具备相关的运营、研发、管理、服务等资质的情况;(2)依据中华人民共和国相关法律法规实施知识产权保护及管理的情况;(3)依据中华人民共和国相关法律法规对核心数据、重要数据进行保护的情况;(5)具备与送测产品研发设计、生产制造、供应保障、售后维护相匹配的人员队伍的情况;(6)具备产品定制开发能力,能够基于自身产品构建产业生态,保持生态开放性、透明性,满足各种应用场景需求的情况;(8)具备及时有效的售后服务能力与管理机制的情况;(9)具备送测产品的独立研发能力,且拥有相关知识产权保护的情况;1.送测单位可通过中国信息安全测评中心(网址:www.itsec.gov.cn)和国家保密科技测评中心(网址:www.nsstec.org.cn)官方网站查询测评结果,测评结果自发布之日起有效期3年。2.测评结果有效期内,若送测单位出现实控人或控股权发生变化、产品技术路线更换、产品被发现重大安全漏洞等可能影响测评结果的情形,送测单位应及时告知测评机构。未及时告知的,测评机构有权视情处置,直至取消产品测评结果。3.送测单位对测评结果有异议,采用书面方式向测评机构提出申诉。一般情况下,测评机构30个工作日内予以答复。4.未通过测评的产品,如在供应链安全、核心技术掌控、知识产权、抵御安全风险等方面取得重要进展,可在受理期内重新申请送测。两次未通过测评的,两年内不再受理其同类产品测评申请。1.测评机构对在测评工作中知悉的商业秘密和未公开材料承担保密义务,承诺不侵犯送测单位的知识产权。2.送测单位应对测评工作涉及的未公开事项承担保密义务,不公开宣传、报道,不向第三方泄露。22.GB/T 18336-2015《信息技术安全评估准则》23.GB/T 29490-2023《企业知识产权合规管理体系要求》24.GB/T 37286-2019《知识产权分析评议服务—服务规范》25.GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》26.GB/T 25070-2019《信息安全技术网络安全等级保护安全设计技术要求》27.GB/T 28448-2019《信息安全技术网络安全等级保护测评要求》28.GB/T 39786-2021《信息系统密码应用基本要求》
免责声明:本文系网络转载,版权归原作者所有。但因转载众多,或无法确认真正原始作者,故仅标明转载来源,如涉及作品版权问题,请与我们联系,我们将在第一时间协商版权问题或删除内容!内容为作者个人观点,并不代表本公众号赞同其观点和对其真实性负责。