国测中心 :安全可靠测评工作指南(试行)发布!
编者按:2023年7月28日,中国信息安全测评中心发布《安全可靠测评工作指南(试行)》。主要面向计算机终端和服务器搭载的中央处理器(CPU)、操作系统以及数据库等基础软硬件产品,通过对产品及其研发单位的核心技术、安全保障、持续发展等方面开展评估,评定产品的安全性和可持续性,实现对产品研发设计、生产制造、供应保障、售后维护等全生命周期安全可靠性的综合度量和客观评价。
编辑|信创纵横公众号(ID:xinchuangzh)出品 | 安东工作室来源|中国信息安全测评中心、密码头条转载|请注明出处
安全可靠测评主要面向计算机终端和服务器搭载的中央处理器(CPU)、操作系统以及数据库等基础软硬件产品,通过对产品及其研发单位的核心技术、安全保障、持续发展等方面开展评估,评定产品的安全性和可持续性,实现对产品研发设计、生产制造、供应保障、售后维护等全生命周期安全可靠性的综合度量和客观评价。
安全可靠测评坚持“自愿平等、客观公正”原则,由企业自愿向中国信息安全测评中心、国家保密科技测评中心申请产品检测,测评结果由企业和用户自主选择使用。
一、测评申请
(一)申请流程
安全可靠测评申请流程分为材料提交、材料审核、受理评审3个阶段。
1.材料提交
(1)送测单位按照自主自愿原则,在受理期内通过邮件方式向中国信息安全测评中心(pdtscc@mail.itsec.gov.cn)或国家保密科技测评中心(nsstecaqkk@163.com)提交《安全可靠测评申请登记表》扫描件(表格附后)。
(2)测评机构收到送测单位提交的《安全可靠测评申请登记表》后,5个工作日内通知送测单位到指定地点领取测评申请材料清单。
(3)送测单位根据测评申请材料清单在受理期内向测评机构提交相关材料,并对材料的真实性负责。
(4)受理期每年两次,为1月第一个工作日至2月最后一个工作日和7月第一个工作日至8月最后一个工作日(本批次受理期为2023年7月28日~9月22日)。
2.材料审核
(1)测评机构收到送测单位提交的申请材料后开展材料审核,15个工作日内向送测单位反馈审核意见。
(2)通过材料审核的,进入受理评审环节。
(3)未通过材料审核的,送测单位可在受理期内根据审核意见补充完善申请材料并重新提交。
(4)受理期截止后,测评机构不再接受送测单位提交的申请材料和补充材料。
3.受理评审
(1)受理期截止后,测评机构根据送测单位提交的申请材料进行受理评审,并向送测单位反馈受理评审结果。
(2)通过受理评审的,测评机构与送测单位明确测试样品和测评材料有关要求,核定测评工作量,确定测评费用并签订测评协议,进入测评实施环节。
(3)未通过受理评审或未达成测评协议的,终止本次测评。
(二)申请条件
送测单位应为中国境内注册的实体,且满足以下条件:
1.具有送测产品完备的研发文档、设计资料、代码数据和研发环境;
2.拥有送测产品相关的发明专利、商标、著作权等知识产权或授权;
3.具备与送测产品研发设计、生产制造、供应保障、售后维护相匹配的人员队伍和工作环境;
4.不存在违反中国法律法规的行为和记录;
5.不存在依据中国相关法规条例认定的知识产权滥用、失信等行为。
二、测评实施
(一)测评流程
测评流程分为测评启动、测评开展、结果评定3个阶段。
1.测评启动
(1)送测单位自接到测评机构通知起10个工作日内提交测试样品及测评材料。
(2)测评机构对送测单位提交的测评材料及测试样品确认无误后,启动测评。
2.测评开展
(1)测评主要包括材料核验、人员访谈、代码审查、环境审查、现场测试、现场考核、样品测试等环节。
(2)测评过程中,送测单位应及时响应测评机构需要,提供技术支持或补充相关材料。若测试样品出现问题导致测评无法正常开展,送测单位应及时更换或补充样品。
(3)自测评启动之日起,测评机构原则上在90个工作日内完成测评。送测单位补充材料、更换或补充样品的时间不计入测评周期。如遇特殊情况或受不可抗力影响,测评周期可根据实际情况延长。
(4)若测评过程中发现送测产品存在影响或者可能涉及网络安全法律法规的问题,应当确认送测产品符合相关法律法规后,再继续开展测评。
(5)若测评过程中发现送测单位存在隐瞒、欺骗、提交虚假材料、不配合测评等行为,测评机构终止本次测评,作不通过处理,且两年内不再受理其测评申请。
3.结果评定
测评完成后,测评机构对测评情况进行分级评定,出具安全可靠测评结果。
(二)测评主要内容
1.针对送测产品:
(1)设计、开发、生产等关键环节在中国境内完成的情况,以及实施必要的安全防护措施的情况;
(2)遵守中华人民共和国知识产权相关法律法规、行业标准规范的情况,履行开源许可协议、授权许可合同的要求的情况;
(3)不存在未声明功能和已知安全风险的情况;
(4)安全风险防护能力的情况;
(5)供应链安全性和持续稳定性的情况;
(6)服务保障安全性、持续稳定性和可追溯性的情况;
(7)符合中华人民共和国网络安全相关的法律法规及技术标准的情况;
(8)满足技术要件对测评机构充分公开和可追溯的情况。
2.针对送测单位:
(1)依据中华人民共和国相关法律法规合法合规运营,具备相关的运营、研发、管理、服务等资质的情况;
(2)依据中华人民共和国相关法律法规实施知识产权保护及管理的情况;
(3)依据中华人民共和国相关法律法规对核心数据、重要数据进行保护的情况;
(4)供应链服务的情况或风险;
(5)具备与送测产品研发设计、生产制造、供应保障、售后维护相匹配的人员队伍的情况;
(6)具备产品定制开发能力,能够基于自身产品构建产业生态,保持生态开放性、透明性,满足各种应用场景需求的情况;
(7)具备漏洞响应等能力与管理机制的情况;
(8)具备及时有效的售后服务能力与管理机制的情况;
(9)具备送测产品的独立研发能力,且拥有相关知识产权保护的情况;
(10)具备送测产品的研发环境及过程记录的情况;
(11)确保测评材料对测评机构充分公开和可追溯。
三、结果查询
1.送测单位可通过中国信息安全测评中心(网址:www.itsec.gov.cn)和国家保密科技测评中心(网址:www.nsstec.org.cn)官方网站查询测评结果,测评结果自发布之日起有效期3年。
2.测评结果有效期内,若送测单位出现实控人或控股权发生变化、产品技术路线更换、产品被发现重大安全漏洞等可能影响测评结果的情形,送测单位应及时告知测评机构。未及时告知的,测评机构有权视情处置,直至取消产品测评结果。
3.送测单位对测评结果有异议,采用书面方式向测评机构提出申诉。一般情况下,测评机构30个工作日内予以答复。
4.未通过测评的送测产品,送测单位一年内不得重复送测同类产品。
四、保密承诺
1.测评机构对在测评工作中知悉的商业秘密和未公开材料承担保密义务,承诺不侵犯送测单位的知识产权。
2.送测单位应对测评工作涉及的未公开事项承担保密义务,不公开宣传、报道,不向第三方泄露。
五、参考依据
1.《中华人民共和国国家安全法》
2.《中华人民共和国网络安全法》
3.《中华人民共和国数据安全法》
4.《中华人民共和国个人信息保护法》
5.《中华人民共和国保守国家秘密法》
6.《中华人民共和国密码法》
7.《中华人民共和国专利法》
8.《中华人民共和国商标法》
9.《中华人民共和国著作权法》
10.《中华人民共和国反垄断法》
11.《计算机软件保护条例》
12.《集成电路布图设计保护条例》
13.《关键信息基础设施安全保护条例》
14.《网络安全审查办法》
15.《数据出境安全评估办法》
16.《商用密码应用安全性评估管理办法(试行)》
17.《知识产权对外转让有关工作办法(试行)》
18.《商标一般违法判断标准》
19.《商标侵权判断标准》
20.《不可靠实体清单规定》
21.《国家知识产权局知识产权信用管理规定》
22.GB/T 18336-2015《信息技术安全评估准则》
23.GB/T 29490-2013《企业知识产权管理规范》
24.GB/T 37286-2019《知识产权分析评议服务—服务规范》
25.GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》
26.GB/T 25070-2019《信息安全技术网络安全等级保护安全设计技术要求》
27.GB/T 28448-2019《信息安全技术网络安全等级保护测评要求》
28.GB/T 39786-2021《信息系统密码应用基本要求》
END