信息安全技術(shù) 信息技術(shù)產(chǎn)品安全可控評價指標 第1部分：總則-編制說明

前言 II引言 III1范圍 12規(guī)范性引用文件 13術(shù)語和定義 14安全可控概述 24.1風險分析 24.2安全可控的內(nèi)涵 25安全可控保障 25.1概述 25.2保障目標 26安全可控評價 36.1評價原則 36.1.1科學合理 36.1.2客觀公正 36.1.3知識產(chǎn)權(quán)保護 36.2評價指標體系 36.2.1體系框架 36.2.2研發(fā)生產(chǎn)評價類 46.2.3供應(yīng)鏈評價類 56.2.4運維服務(wù)評價類 56.3評價實施 56.3.1評價流程 56.3.2評價方法 56.3.3評價結(jié)果 6主要試驗（或驗證）的分析、綜述報告、技術(shù)經(jīng)濟論證、預(yù)期的經(jīng)濟效果編制組已請相關(guān)編制單位對標準進行試用，基本可以達到安全可控水平評價的目的。反饋的建議為標準的制定奠定了良好基礎(chǔ)。采用國際標準和國外先進標準的程度、以及與國際、國外同類標準水平的對比情況、或與測試的國外樣品、樣機的有關(guān)數(shù)據(jù)對比情況標準在編制過程中參考了CC、ISO/IEC27036、SP800-53、NISTSP800-161、FIPS_PUB_140-2等國際標準的相關(guān)內(nèi)容，充分考慮了WTO等國際規(guī)則要求，基本保持國內(nèi)外標準一致性。與有關(guān)的現(xiàn)行法律、法規(guī)和強制性國家標準的關(guān)系本標準符合現(xiàn)有法律法規(guī)。該標準項目主要依據(jù)現(xiàn)有法律法規(guī)制定，與現(xiàn)行強制性國家標準及相關(guān)標準不沖突。2015年7月正式發(fā)布的《國家安全法》第25條明確要求要“實現(xiàn)網(wǎng)絡(luò)和信息核心技術(shù)、關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控”。在國家標準方面，我國目前尚未制定信息技術(shù)產(chǎn)品安全可控相關(guān)國家標準，本標準項目主要從安全可控角度提出管理要求，現(xiàn)有的信息技術(shù)產(chǎn)品相關(guān)安全標準主要從安全功能和安全要求方面提出技術(shù)要求，標準內(nèi)容之間不重疊，可同時使用。重大分歧意見的處理經(jīng)過和依據(jù)本標準在編制過程中未出現(xiàn)重大分歧，其他詳見意見匯總處理表。國家標準作為強制性國家標準或推薦性國家標準的建議建議本標準作為推薦性國家標準發(fā)布實施。貫徹國家標準的要求和措施建議（包括組織措施、技術(shù)措施、過渡辦法等內(nèi)容）本標準作為信息技術(shù)產(chǎn)品安全可控評價指標的一部分，配合實施。其他事項說明本標準不涉及專利。國家標準《信息安全技術(shù)信息技術(shù)產(chǎn)品安全可控評價指標第1部分：總則》（征求意見稿）編制說明國家標準《信息安全技術(shù)信息技術(shù)產(chǎn)品安全可控評價指標第1部分：總則》（征求意見稿）編制說明國家標準《信息安全技術(shù)信息技術(shù)產(chǎn)品安全可控評價指標第1部分：總則》（征求意見稿）編制說明國家標準《信息安全技術(shù)信息技術(shù)產(chǎn)品安全可控評價指標第1部分