GB/T 36630.1-2018信息安全技術信息技術產(chǎn)品安全可控評價指標第1部分：總則

ICS35040

L80.

中華人民共和國國家標準

GB/T366301—2018

.

信息安全技術

信息技術產(chǎn)品安全可控評價指標

第1部分總則

:

Informationsecuritytechnology—Controllabilityevaluationindexfor

securitofinformationtechnoloroducts—Part1Generalrinciles

ygyp:pp

2018-09-17發(fā)布2019-04-01實施

國家市場監(jiān)督管理總局發(fā)布

中國國家標準化管理委員會

GB/T366301—2018

.

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

安全可控概述

4……………2

風險分析

4.1……………2

安全可控保障

4.2………………………2

保障目標

4.2.1………………………2

保障要求

4.2.2………………………2

安全可控評價

5……………3

評價原則

5.1……………3

科學合理

5.1.1………………………3

客觀公正

5.1.2………………………3

知識產(chǎn)權(quán)保護

5.1.3…………………3

評價指標體系

5.2………………………3

體系框架

5.2.1………………………3

研發(fā)生產(chǎn)評價類

5.2.2………………4

供應鏈評價類

5.2.3…………………5

運維服務評價類

5.2.4………………5

評價實施

5.3……………5

評價流程

5.3.1………………………5

評價方法

5.3.2………………………5

評價結(jié)果

5.3.3………………………6

參考文獻

………………………7

GB/T366301—2018

.

前言

信息安全技術信息技術產(chǎn)品安全可控評價指標包括以下部分

GB/T36630《》:

第部分總則

———1:;

第部分中央處理器

———2:;

第部分操作系統(tǒng)

———3:;

第部分辦公套件

———4:;

第部分通用計算機

———5:。

本部分為的第部分

GB/T366301。

本部分按照給出的規(guī)則起草

GB/T1.1—2009。

本部分由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本部分起草單位中國電子信息產(chǎn)業(yè)發(fā)展研究院公安部第一研究所中國電子技術標準化研究院

:、、、

中國信息安全研究院有限公司中國電子科技集團公司國家信息技術安全研究中心工業(yè)和信息化部

、、、

軟件與集成電路促進中心中國軟件評測中心公安部第三研究所中國信息安全測評中心中國信息通

、、、、

信研究院等

。

本部分主要起草人劉權(quán)王闖韓煜李海濤葉潤國劉賢剛左曉棟張建軍李冰方進社劉龍庚

:、、、、、、、、、、、

顧健張寶峰寧華翟艷芬馮偉許亞倩楊永生李英的陳妍趙爽王超馬士民榮志剛韋安壘

、、、、、、、、、、、、、。

Ⅰ

GB/T366301—2018

.

引言

隨著信息技術應用的日益深入信息技術產(chǎn)品設計實現(xiàn)的復雜度不斷提升涉及的生命周期環(huán)節(jié)越

,,

來越多人為設置的后門不可控的產(chǎn)品供應鏈不能持續(xù)的產(chǎn)品服務未經(jīng)授權(quán)的數(shù)據(jù)收集和使用等潛

,、、、

在的不可控因素不斷增多嚴重損害應用方的權(quán)益甚至可能危害國家安全和公共利益

,,。

依據(jù)中華人民共和國網(wǎng)絡安全法網(wǎng)絡產(chǎn)品和服務安全審查辦法試行等要求為提高信息技

《》《()》,

術產(chǎn)品安全可控水平防范網(wǎng)絡安全風險維護國家和公共安全進而滿足信息技術產(chǎn)品應用方安全可

,,,

控需求增強應用方信心推動信息技術產(chǎn)業(yè)健康快速發(fā)展特制定

,,、,GB/T36630。

提出信息技術產(chǎn)品安全可控評價指標和評價方法不包含對產(chǎn)品本身安全功能和安

GB/T36630,

全性能的評價安全可控只是信息技術產(chǎn)品的一個屬性如需評價信息技術產(chǎn)品的安全功能和安全性

。,

能等其他屬性可參照相關國家標準

,。

本部分明確了信息技術產(chǎn)品安全可控評價指標總體要求為開展信息技術產(chǎn)品安全可控評價工作

,

提供指導

。

Ⅱ

GB/T366301—2018

.

信息安全技術

信息技術產(chǎn)品安全可控評價指標

第1部分總則

:

1范圍

的本部分規(guī)定了信息技術產(chǎn)品安全可控的概念保障目標給出了信息技術產(chǎn)品安全

GB/T36630、,

可控的評價原則評價指標體系和實施流程

、。

本部分適用于評價實施方對信息技術產(chǎn)品的安全可控程度進行評價也可供信息技術產(chǎn)品供應方

,

和應用方在產(chǎn)品供應和應用過程中保障產(chǎn)品安全可控進行參照

。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術術語

GB/T25069—2010

3術語和定義

界定的以及下列術語和定義適用于本文件

GB/T25069—2010。

31

.

信息技術產(chǎn)品informationtechnologyproduct

具有采集存儲處理傳輸控制交換顯示數(shù)據(jù)或信息功能的硬件軟件系統(tǒng)和服務

、、、、、、、、。

注信息技術產(chǎn)品包括計算機及其輔助設備通信設備網(wǎng)絡設備自動控制設備操作系統(tǒng)數(shù)據(jù)庫應用軟件與服

:、、、、、