GM-T 0066-2019 清晰版 商用密碼產(chǎn)品生產(chǎn)和保障能力建設(shè)實施指南

ICS35.040L80中華人民共和國密碼行業(yè)標(biāo)準(zhǔn)商用密碼產(chǎn)品生產(chǎn)和保障能力建設(shè)實施指南I2019-07-12發(fā)布2019-07-12實施國家密碼管理局發(fā)布ⅠGM／T0066—2019前言 引言 2規(guī)范性引用文件 3術(shù)語和定義 4實施概述 5實施指南 6評估程序 7評估報告 ⅡGM／T0066—2019 7.3.3評估組和評估監(jiān)督人員 7.3.4生產(chǎn)單位基本信息 7.3.6評估材料是否齊全 7.3.7基本項是否符合要求 8實施要點說明 8.1.3商用密碼產(chǎn)品不同等級的許可要求 8.1.4特殊申請要求說明 附錄A（規(guī)范性附錄）商用密碼產(chǎn)品生產(chǎn)和保障能力評估配套表格 附錄B（規(guī)范性附錄）商用密碼產(chǎn)品生產(chǎn)和保障能力評估報告 附錄C（資料性附錄）審核方法 附錄D（資料性附錄）歸檔材料清單 附錄E（資料性附錄）重要領(lǐng)域產(chǎn)品使用要求 參考文獻 ⅢGM／T0066—2019本標(biāo)準(zhǔn)按照GB/T1.1—2009給出的規(guī)則起草。本標(biāo)準(zhǔn)由密碼行業(yè)標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口。本標(biāo)準(zhǔn)起草單位：興唐通信科技有限公司、北京中電華大電子設(shè)計有限責(zé)任公司、格爾軟件股份有限公司、國家密碼管理局商用密碼檢測中心、北京三未信安科技發(fā)展有限公司、天地融科技股份有限公司、成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司、北京市密碼管理局、上海市密碼管理局、廣東省密碼管理局。ⅣGM／T0066—2019密碼是網(wǎng)絡(luò)和信息安全的核心技術(shù)和基礎(chǔ)支撐，是保障國家安全、推動經(jīng)濟發(fā)展和維護公眾利益的戰(zhàn)略性資源。商用密碼產(chǎn)品是密碼技術(shù)的實現(xiàn)載體，為應(yīng)用提供機密性、完整性、不可否認(rèn)性等安全保障。國家對銷售或者在經(jīng)營活動中使用的商用密碼產(chǎn)品實施許可。根據(jù)《商用密碼管理條例》的相關(guān)要求，商用密碼產(chǎn)品生產(chǎn)單位（以下簡稱生產(chǎn)單位）必須具備獨立的法人資格，具有與開發(fā)、生產(chǎn)商用密碼產(chǎn)品相適應(yīng)的技術(shù)力量和場所，具有確保商用密碼產(chǎn)品質(zhì)量的設(shè)備、生產(chǎn)工藝和質(zhì)量保證體系，滿足法律、行政法規(guī)規(guī)定的其他條件。本標(biāo)準(zhǔn)是GM/T0065—2019商用密碼產(chǎn)品生產(chǎn)和保障能力建設(shè)規(guī)范的具體實施指南。1GM／T0066—2019商用密碼產(chǎn)品生產(chǎn)和保障能力建設(shè)實施指南本標(biāo)準(zhǔn)規(guī)定了實施商用密碼產(chǎn)品生產(chǎn)和保障能力評估的方法、程序、報告和要點說明。本標(biāo)準(zhǔn)適用于對生產(chǎn)單位的生產(chǎn)能力、質(zhì)量保障能力、安全保障能力和服務(wù)保障能力進行建設(shè)指導(dǎo)。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GM/T安全芯片密碼檢測準(zhǔn)則GM/T密碼模塊安全技術(shù)要求GM/T商用密碼產(chǎn)品生產(chǎn)和保障能力建設(shè)規(guī)范GM/Z4001密碼術(shù)語3術(shù)語和定義GM/Z4001及GM/T0065—2019界定的以及下列術(shù)語和定義適用于本文件。3.1形式審查x審查生產(chǎn)單位提交的申請材料在形式上的合規(guī)性、完整性和有效性。3.2實質(zhì)審查x在形式審查的基礎(chǔ)上，審查生產(chǎn)單位是否具備主體資格條件，所申請的事項是否真實，提交的文件、證件是否真實、有效、完整、合規(guī)，是否符合國家法律法規(guī)的規(guī)定。包括書面審查和現(xiàn)場審核等方式。4實施概述評估內(nèi)容包括基本項、聲明項和評估項等評估要素?；卷棸ㄉa(chǎn)單位法人資格項、主要技術(shù)人員項、產(chǎn)品研發(fā)項、行業(yè)管理遵從項等內(nèi)容。聲明項包括生產(chǎn)單位關(guān)鍵人員信息、單位性質(zhì)、數(shù)據(jù)管理等內(nèi)容。評估項包括生產(chǎn)單位生產(chǎn)能力、質(zhì)量保障能力、安全保障能力和服務(wù)保障能力等內(nèi)容。4.2評估方式對商用密碼產(chǎn)品生產(chǎn)和保障能力進行評估采用單位自證和專家評分相結(jié)合的方式，質(zhì)量保障、安全2GM／T0066—2019保障以及服務(wù)保障能力應(yīng)為單位的自證項，由生產(chǎn)單位提供商用密碼產(chǎn)品生產(chǎn)和保障能力的證明；結(jié)合生產(chǎn)單位的基本項、聲明項，專家組根據(jù)評估項的評估要素進行評分判定。對商用密碼產(chǎn)品生產(chǎn)和保障能力進行評估應(yīng)基于生產(chǎn)單位提交的申請材料采用“材料審查”與“現(xiàn)確保申請材料的真實性、一致性和符合性，本著公平公正、保密性、獨立性和基于證據(jù)的基本原則，對生產(chǎn)單位的生產(chǎn)能力、質(zhì)量保障能力、安全保障能力和服務(wù)保障能力等進行評估。5實施指南生產(chǎn)單位為中國境內(nèi)注冊的獨立法人，應(yīng)出具生產(chǎn)單位營業(yè)執(zhí)照注冊號；應(yīng)出具法定代表人有效身份證件的名稱和號碼。生產(chǎn)單位從事密碼產(chǎn)品設(shè)計、實現(xiàn)、檢測或測試、技術(shù)支持等工作的主要技術(shù)人員應(yīng)不少于15人，并提供相關(guān)信息，否則終止評估流程。相關(guān)信息包括但不限于國籍、學(xué)歷、工作簡歷、專業(yè)特長及現(xiàn)從事工作等。生產(chǎn)單位應(yīng)承諾所研發(fā)產(chǎn)品及產(chǎn)品涉及的密碼核心技術(shù)具有自主知識產(chǎn)權(quán)，應(yīng)擁有專利、軟件著作權(quán)、集成電路版圖布圖登記等；應(yīng)承諾申請評估材料對應(yīng)產(chǎn)品不包含其他任何組織或單位的知識產(chǎn)權(quán)或已通過合法方式取得。a)生產(chǎn)單位應(yīng)簽署承諾文件，應(yīng)做好產(chǎn)品銷售記錄并如實申報產(chǎn)品年度銷售情況，承諾提供源代碼，將源代碼提交經(jīng)密碼管理部門認(rèn)可的檢測機構(gòu)；b)生產(chǎn)單位應(yīng)履行上述承諾，否則終止評估流程。生產(chǎn)單位應(yīng)提供關(guān)鍵人員的證件名稱及號碼、國籍、教育背景和從業(yè)經(jīng)歷的詳細(xì)介紹。生產(chǎn)單位應(yīng)提供單位性質(zhì)的聲明，按照合法營業(yè)執(zhí)照的內(nèi)容如實提供，包括注冊資本結(jié)構(gòu)、注冊資金規(guī)模、投資人名稱、投資比例等。如有自然人，應(yīng)說明自然人人數(shù)、姓名、國籍；如有外資成分，說明外資比例及外資參與公司經(jīng)營管理的情況。生產(chǎn)單位應(yīng)提供商用密碼產(chǎn)品研發(fā)、生產(chǎn)和保障數(shù)據(jù)中心所在地的聲明，說明數(shù)據(jù)中心所在地、數(shù)3GM／T0066—2019據(jù)流轉(zhuǎn)是否會涉及出境等情況。a)生產(chǎn)單位應(yīng)設(shè)置研發(fā)、生產(chǎn)和管理關(guān)鍵崗位；b)關(guān)鍵崗位宜由經(jīng)驗豐富、專業(yè)技術(shù)深厚的資深人員擔(dān)任；c)生產(chǎn)單位的崗位設(shè)置和人員資格應(yīng)滿足人力資源設(shè)置，評判標(biāo)準(zhǔn)包括崗位設(shè)置是否齊備合理、任職資格是否清晰等。a)應(yīng)核實生產(chǎn)單位中從事密碼技術(shù)設(shè)計、實現(xiàn)、檢測或測試和技術(shù)支持人員的數(shù)量，及本科以上人員占技術(shù)團隊的比例等；b)應(yīng)考核核心技術(shù)負(fù)責(zé)人的密碼專業(yè)技術(shù)能力，評判標(biāo)準(zhǔn)至少包括從業(yè)經(jīng)歷、學(xué)歷職稱、研究成果及獲獎情況等。a)生產(chǎn)單位所申請的產(chǎn)品應(yīng)符合生產(chǎn)單位的主營業(yè)務(wù)方向；b)生產(chǎn)單位在產(chǎn)品生產(chǎn)過程中應(yīng)有效利用自身的科研資源，保證產(chǎn)品具備較高的技術(shù)水平；c)生產(chǎn)單位應(yīng)具備相關(guān)科研成果和技術(shù)儲備。生產(chǎn)單位應(yīng)有與所申請產(chǎn)品相關(guān)領(lǐng)域的專業(yè)技術(shù)研究成果且該成果得到過實際應(yīng)用，且近5年來生產(chǎn)單位應(yīng)開展過與所申請產(chǎn)品類似項目的科研并有技術(shù)儲備；d)生產(chǎn)單位的專業(yè)技術(shù)水平應(yīng)滿足所申請產(chǎn)品的需求，宜達到國內(nèi)先進水平。a)生產(chǎn)單位應(yīng)具備授權(quán)專利、軟件著作權(quán)、集成電路版圖布圖登記等；b)生產(chǎn)單位應(yīng)明確申請產(chǎn)品是否經(jīng)專家鑒定認(rèn)為填補國內(nèi)或國際行業(yè)應(yīng)用空白；c)生產(chǎn)單位應(yīng)明確申請產(chǎn)品是否具備高性價比，是否在成本、功能、性能、可靠性、市場應(yīng)用等方面具有良好的市場發(fā)展空間。a)生產(chǎn)單位應(yīng)具備滿足研發(fā)需求的工具和設(shè)備；b)生產(chǎn)單位應(yīng)具備滿足申請產(chǎn)品研發(fā)相關(guān)的主要研發(fā)工具，如工作站、專用軟件、開發(fā)板、仿真器、示波器、邏輯分析儀等。a)生產(chǎn)單位應(yīng)具有較完善的密碼產(chǎn)品功能、性能、穩(wěn)定性、可靠性、環(huán)境適應(yīng)性（如電磁兼容）等試驗測試條件；b)密碼產(chǎn)品環(huán)境適應(yīng)性檢測應(yīng)能保證密碼產(chǎn)品在生產(chǎn)、運輸、貯存、使用等環(huán)境下功能正常；c)密碼產(chǎn)品可靠性檢測應(yīng)能保證密碼產(chǎn)品在產(chǎn)品生命周期內(nèi)無故障的實現(xiàn)功能。4GM／T0066—2019生產(chǎn)單位應(yīng)設(shè)置生產(chǎn)主管、倉儲管理等相關(guān)的崗位，并確保由經(jīng)驗豐富、認(rèn)真負(fù)責(zé)的資深專業(yè)人士擔(dān)任相關(guān)職務(wù)。生產(chǎn)單位應(yīng)制定相應(yīng)生產(chǎn)管理規(guī)章制度和倉儲管理制度，并建立生產(chǎn)記錄檔案且確保生產(chǎn)記錄可查詢和追溯。a)生產(chǎn)單位應(yīng)建立完善的產(chǎn)品出入庫記錄檔案，并確保產(chǎn)品出入庫記錄可查詢和追溯；b)生產(chǎn)單位應(yīng)建立產(chǎn)品數(shù)量管理要求，并確保數(shù)量管理的準(zhǔn)確性。a)生產(chǎn)單位應(yīng)考核供應(yīng)商或外協(xié)單位是否具備相應(yīng)的資質(zhì)和技術(shù)能力，應(yīng)提供供應(yīng)商或外協(xié)單位的資質(zhì)和能力證明材料；b)生產(chǎn)單位應(yīng)對供應(yīng)商供貨環(huán)節(jié)和外協(xié)加工環(huán)節(jié)具備控制和監(jiān)管措施；c)生產(chǎn)單位應(yīng)設(shè)立專職負(fù)責(zé)供應(yīng)商及外協(xié)單位質(zhì)量監(jiān)視、測量和驗收及提供外加工產(chǎn)品的質(zhì)量標(biāo)準(zhǔn)，保證外協(xié)加工環(huán)節(jié)對產(chǎn)品質(zhì)量無影響；d)生產(chǎn)單位應(yīng)與供應(yīng)商簽訂質(zhì)量保證協(xié)議并定期進行質(zhì)量審查，對外包人員、過程和外包工作有明確管理規(guī)定。a)生產(chǎn)單位應(yīng)具備生產(chǎn)場所土地及房屋使用權(quán)，生產(chǎn)設(shè)施和倉儲場所應(yīng)滿足需求；b)對自有生產(chǎn)場所的情況，應(yīng)核對生產(chǎn)場所的產(chǎn)權(quán)證明文件或租賃合同，以確認(rèn)生產(chǎn)單位具備固定的生產(chǎn)場所，并具備滿足生產(chǎn)基本需求的基礎(chǔ)設(shè)施（如水、氣、電供應(yīng)設(shè)施等）和支持性服務(wù)設(shè)施（如運輸、通訊、信息化手段等以保證生產(chǎn)設(shè)施安全可靠運行；c)生產(chǎn)單位如采用外協(xié)加工的方式，應(yīng)具備相應(yīng)的倉儲場所，倉儲場所應(yīng)滿足產(chǎn)品倉儲需求，保證產(chǎn)品免受各種物理損傷；d)可對外協(xié)加工的生產(chǎn)場所進行評估。a)生產(chǎn)單位應(yīng)具備滿足生產(chǎn)要求的生產(chǎn)設(shè)備和檢測設(shè)備；b)生產(chǎn)單位進行商用密碼產(chǎn)品生產(chǎn)所需的生產(chǎn)輔助工具、加工、試驗、檢測設(shè)備及計量器具等設(shè)備應(yīng)滿足需要；c)生產(chǎn)單位如采用外采或外協(xié)方式，則外采或外協(xié)單位應(yīng)滿足本條中a)、b)項要求。生產(chǎn)單位應(yīng)具有管理規(guī)范和齊全的生產(chǎn)技術(shù)文件，至少包括生產(chǎn)清單、物料清單、檢驗流程和報告5GM／T0066—2019文件。生產(chǎn)單位應(yīng)具備批量生產(chǎn)和檢測能力，宜具備自動化生產(chǎn)線及相應(yīng)的產(chǎn)品檢測機制，以保障產(chǎn)能充足、產(chǎn)品質(zhì)量穩(wěn)定；應(yīng)具備規(guī)定的檢驗、試驗和計量設(shè)備，以滿足與生產(chǎn)規(guī)模相適應(yīng)的需要。5.3.2質(zhì)量保障能力a)生產(chǎn)單位應(yīng)建立質(zhì)量管理制度，明確質(zhì)量目標(biāo)并落實實施；b)生產(chǎn)單位應(yīng)保證商用密碼產(chǎn)品的質(zhì)量，設(shè)立質(zhì)量管理崗位并明確崗位職責(zé)，在商用密碼產(chǎn)品生產(chǎn)過程中應(yīng)建立各階段的質(zhì)量目標(biāo)并由生產(chǎn)單位高層負(fù)責(zé)實施；c)生產(chǎn)單位應(yīng)建立服務(wù)質(zhì)量保障體系，明確對服務(wù)質(zhì)量的標(biāo)準(zhǔn)要求，對服務(wù)質(zhì)量進行監(jiān)督并評估，并提供必要的技術(shù)保障服務(wù)。5.3.2.2開發(fā)過程質(zhì)量管理a)生產(chǎn)單位應(yīng)建立完備的開發(fā)與測試體系，以保證產(chǎn)品的質(zhì)量；b)開發(fā)體系宜包括系統(tǒng)集成設(shè)計規(guī)范、系統(tǒng)集成管理規(guī)范、編碼規(guī)范、設(shè)計規(guī)范、開發(fā)管理規(guī)范、變更管理規(guī)范等；c)測試體系宜包括單元測試、集成測試、系統(tǒng)測試和驗收測試等。a)生產(chǎn)單位應(yīng)對研發(fā)過程進行管理和控制；b)生產(chǎn)單位研發(fā)過程應(yīng)有專人跟蹤并組織協(xié)調(diào)，整個過程應(yīng)有明確的階段劃分和過程管理；c)生產(chǎn)單位應(yīng)定期對項目進行評審和審核，應(yīng)對變更進行管控；d)生產(chǎn)單位應(yīng)有詳盡的技術(shù)設(shè)計方案，應(yīng)對技術(shù)性文檔進行歸檔；e)生產(chǎn)單位應(yīng)對用于檢驗、量測與判定產(chǎn)品質(zhì)量的測試設(shè)備進行管制、定期校正與維護，維持測試設(shè)備的準(zhǔn)確性能。a)生產(chǎn)單位應(yīng)制定配置管理制度；b)生產(chǎn)單位應(yīng)設(shè)置配置管理人員；c)生產(chǎn)單位宜使用配置管理工具和方法。a)生產(chǎn)單位應(yīng)對質(zhì)量問題具有管理和控制措施，并就質(zhì)量問題的解決進行跟蹤管理；b)生產(chǎn)單位應(yīng)建立質(zhì)量問題處理制度和流程，具備質(zhì)量問題跟蹤和統(tǒng)計的能力，對質(zhì)量問題處理的時效性進行要求，并對客戶進行滿意度調(diào)查。5.3.2.3持續(xù)改進產(chǎn)品質(zhì)量措施a)生產(chǎn)單位應(yīng)具有合理的持續(xù)改進產(chǎn)品質(zhì)量的措施；b)生產(chǎn)單位應(yīng)對產(chǎn)品質(zhì)量進行持續(xù)跟蹤監(jiān)控，收集產(chǎn)品質(zhì)量改進的信息，并據(jù)此制定產(chǎn)品質(zhì)量改6GM／T0066—2019進計劃。應(yīng)對生產(chǎn)單位的第三方質(zhì)量體系認(rèn)證進行核實，對于已獲得相應(yīng)認(rèn)證并在有效期之內(nèi)的生產(chǎn)單位，可對質(zhì)量保障能力評估得分，如生產(chǎn)單位具有ISO9001質(zhì)量體系認(rèn)證或CMMI3級及以上能力成熟度認(rèn)證。5.3.3安全保障能力a)生產(chǎn)單位應(yīng)明確安全的重要性，建立組織范圍內(nèi)的安全目標(biāo)；b)應(yīng)由高層管理人員承諾保證安全研發(fā)和生產(chǎn)；c)生產(chǎn)單位應(yīng)由專人或部門（組織）負(fù)責(zé)安全；d)生產(chǎn)單位應(yīng)定期進行組織內(nèi)部安全管理制度的審核和評審，確保安全管理體系的適宜性和有效性；e)生產(chǎn)單位應(yīng)建立組織預(yù)防、處理安全事件機制；f)生產(chǎn)單位應(yīng)與員工簽署正規(guī)的勞動合同并對員工進行安全培訓(xùn)；g)生產(chǎn)單位應(yīng)與相關(guān)崗位員工簽署保密合同或合同中包含著安全條款并對相關(guān)崗位員工進行商用密碼條例的培訓(xùn)；h)生產(chǎn)單位應(yīng)對離職的單位員工設(shè)置信息資產(chǎn)歸還和訪問權(quán)限撤銷的規(guī)定；i)生產(chǎn)單位應(yīng)對糾正和危害安全的行為進行適當(dāng)?shù)墓膭詈蛻土P。a)生產(chǎn)單位應(yīng)建立安全生產(chǎn)規(guī)章制度并貫徹執(zhí)行，應(yīng)了解國家和行業(yè)的安全生產(chǎn)規(guī)定和標(biāo)準(zhǔn)，制定安全生產(chǎn)責(zé)任制和安全操作流程。b)生產(chǎn)單位應(yīng)劃分物理安全區(qū)域并任命相應(yīng)的負(fù)責(zé)人，重要區(qū)域應(yīng)安裝門禁系統(tǒng)并對訪問進行記錄且記錄可查詢，監(jiān)控的內(nèi)容記錄至少保存30天以上。重要資產(chǎn)進出單位或重要區(qū)域應(yīng)實行審批機制，重要區(qū)域設(shè)置溫濕度要求并配備不間斷電源，由安全負(fù)責(zé)人定期對機房防火、防雷、防漏、防塵等規(guī)程進行檢查和記錄。c)生產(chǎn)單位應(yīng)具備計算機軟件防護措施和網(wǎng)絡(luò)防護措施。重要信息資產(chǎn)應(yīng)有專人維護，有遠(yuǎn)程及移動辦公安全管理制度或條款，應(yīng)識別計算機資產(chǎn)脆弱性和潛在威脅，建立適應(yīng)組織的信息安全策略，保證信息存儲、交換和銷毀過程中的信息安全，且應(yīng)具備應(yīng)急災(zāi)備計劃。d)生產(chǎn)單位應(yīng)對組織訪問機制有控制。重要區(qū)域應(yīng)有識別并重點保護，通過網(wǎng)絡(luò)接入單位內(nèi)網(wǎng)應(yīng)有訪問控制，員工對信息訪問應(yīng)具有訪問策略控制，應(yīng)安全傳輸、接收和處理關(guān)鍵數(shù)據(jù)，及時刪除存儲介質(zhì)上的數(shù)據(jù)或銷毀存儲介質(zhì)，并詳細(xì)記錄存放信息。e)生產(chǎn)單位應(yīng)具備移動存儲介質(zhì)的安全管理制度。應(yīng)建立對存儲介質(zhì)申請、使用、更換、維修及報廢的管理制度和安全策略，保存對關(guān)鍵存儲介質(zhì)定期檢查的記錄，執(zhí)行寫操作以覆蓋舊內(nèi)容并確保不可恢復(fù)，對不再利用的介質(zhì)應(yīng)采用毀損的方式進行物理銷毀并確保存儲內(nèi)容不可恢復(fù)。f)生產(chǎn)單位應(yīng)設(shè)立開發(fā)安全制度或條款。應(yīng)具備項目開發(fā)安全風(fēng)險識別和控制措施，配置管理或權(quán)限控制措施，外協(xié)／外包如涉及商業(yè)秘密應(yīng)簽署保密協(xié)議，且外協(xié)／外包不包含密鑰安裝及關(guān)鍵參數(shù)配置。g)生產(chǎn)單位應(yīng)具備風(fēng)險預(yù)警及應(yīng)急處置措施，制定與本單位采用的資產(chǎn)管理分類方案一致的信7GM／T0066—2019息標(biāo)識和處理程序，并依據(jù)實施。h)生產(chǎn)單位應(yīng)對用戶活動、意外和信息安全事件日志、系統(tǒng)管理員和系統(tǒng)操作者的活動進行記錄并保存，保護日志設(shè)施和日志信息免受破壞和未授權(quán)的訪問，對錯誤日志進行分析并采取適當(dāng)?shù)拇胧?。i)生產(chǎn)單位應(yīng)確保與信息系統(tǒng)有關(guān)的安全弱點和安全事件的內(nèi)部溝通，并及時采取相應(yīng)措施，使用持續(xù)有效的方法管理信息安全事故。j)生產(chǎn)單位應(yīng)防止業(yè)務(wù)活動中斷，保護關(guān)鍵業(yè)務(wù)流程不受信息系統(tǒng)重大失效或自然災(zāi)害影響，確保及時恢復(fù)。5.3.3.3信息安全體系認(rèn)證應(yīng)對生產(chǎn)單位的信息安全體系ISO27001認(rèn)證進行核實，對于已獲得相應(yīng)認(rèn)證并在有效期之內(nèi)的生產(chǎn)單位，安全保障能力評估項可以得分。5.3.4服務(wù)保障能力生產(chǎn)單位應(yīng)設(shè)置完善的服務(wù)保障制度，根據(jù)服務(wù)管理的策劃實施服務(wù)管理并提供服務(wù)、監(jiān)督、測量和評審并持續(xù)改進。a)生產(chǎn)單位應(yīng)建立應(yīng)急響應(yīng)機制并統(tǒng)籌規(guī)劃、協(xié)調(diào)管理；b)生產(chǎn)單位應(yīng)具有解決突發(fā)問題的能力，通過問題原因的識別和分析盡快恢復(fù)約定的服務(wù)要求，最小化對業(yè)務(wù)的影響；c)生產(chǎn)單位應(yīng)在解決過程中及時向用戶報告進展和最新狀態(tài)。a)生產(chǎn)單位應(yīng)建立完善的服務(wù)網(wǎng)絡(luò)，結(jié)合產(chǎn)品應(yīng)用情況提供符合使用單位需求的產(chǎn)品服務(wù)；b)生產(chǎn)單位應(yīng)明確產(chǎn)品技術(shù)服務(wù)承諾內(nèi)容和可操作的服務(wù)方案；c)生產(chǎn)單位應(yīng)建立如呼叫中心、網(wǎng)絡(luò)、當(dāng)?shù)乜蛻舴?wù)部門等多種方式的官方受理渠道，保證客戶可反饋意見和問題；d)生產(chǎn)單位應(yīng)記錄用戶來函反映及投訴問題，應(yīng)明確問題處理期限，并將相應(yīng)處理的結(jié)果形成報告；e)生產(chǎn)單位應(yīng)建立客戶檔案；f)生產(chǎn)單位應(yīng)對客戶進行服務(wù)質(zhì)量滿意度調(diào)查。5.3.4.4服務(wù)管理體系認(rèn)證應(yīng)對生產(chǎn)單位的信息技術(shù)服務(wù)管理體系ISO20000認(rèn)證進行核實，對于已獲得相應(yīng)認(rèn)證并在有效期之內(nèi)的生產(chǎn)單位，可以對服務(wù)保障能力項得分。6評估程序按照GM/T0065—2019及4.3的要求，基于生產(chǎn)單位提交的申請資料進行評估。對申請資料進行8GM／T0066—2019形式審查和實質(zhì)審查，并在必要時啟動現(xiàn)場審核。6.2評估流程評估流程如圖1所示。a)對申請材料進行形式審查，通過后進入實質(zhì)審查階段；b)前置評估階段主要對申請材料中的基本項、聲明項等內(nèi)容進行審核，不符合基本項、不提供聲明項或提供材料不完整時，終止評估流程；c)根據(jù)前置評估情況，判斷是否有必要進行現(xiàn)場審核，現(xiàn)場審核階段主要核查生產(chǎn)單位的實際情況與申請材料的一致性；d)評估組專家成員應(yīng)對評估項的各項指標(biāo)進行評分，并給出評估結(jié)果；e)完成審核評估后應(yīng)由評估組出具評估報告。圖1商用密碼產(chǎn)品生產(chǎn)和保障能力評估流程9GM／T0066—2019收到生產(chǎn)單位提交的評估申請材料后，首先對申請材料進行形式審查。如果未通過形式審查，生產(chǎn)單位收到通知后，補正并重新提交申請材料，再次進行形式審查。應(yīng)確定評估組長，及2名以上專家組成評估組，評估組人數(shù)應(yīng)不少于3人評估組，成員應(yīng)對評估對象、評估內(nèi)容進行保密承諾。應(yīng)設(shè)置獨立的評估監(jiān)督人員，對評估工作實施的規(guī)范性、公正性進行監(jiān)督。應(yīng)確定評估的目的、范圍、依據(jù)和方式。應(yīng)編制評估項評分表，包括基本項、聲明項、評估項，評估項為評分，見附錄A。評估組對申請材料進行前置評估，主要是對基本項、聲明項等內(nèi)容和證明文件進行審核?；卷椀乃幸蟊仨殱M足，并審核相關(guān)材料的真實性和符合性。如存在不符合項，或存在與事實不符的情況，則終止評估流程，并將不符合情況記錄到評估結(jié)果。聲明項不作為判定和評估的依據(jù)，但要保證相關(guān)材料的真實性。如缺少必要的聲明項，或存在與事實不符的情況，則終止評估流程，并將不符合情況記錄到評估結(jié)果。評估組應(yīng)根據(jù)生產(chǎn)單位的具體情況進行判斷是否需要現(xiàn)場審核。如申請材料真實性缺少佐證、申請條件符合性差、生產(chǎn)單位曾受過相關(guān)行政處罰等，應(yīng)進行現(xiàn)場審核。評估組應(yīng)對生產(chǎn)單位不同類別首款產(chǎn)品進行現(xiàn)場審核。如需對生產(chǎn)單位進行現(xiàn)場審核，應(yīng)與生產(chǎn)單位就現(xiàn)場審核實施進行初步聯(lián)系。初步聯(lián)系至少包括以下工作：a)與生產(chǎn)單位的代表建立溝通渠道；b)提供有關(guān)審核目標(biāo)、范圍、依據(jù)和方式等信息；c)請求有權(quán)使用用于審核評估的相關(guān)文件和記錄；d)確定與生產(chǎn)單位的活動和產(chǎn)品相關(guān)的應(yīng)適用法律法規(guī)的要求、第三方要求、合同要求和其他要求；e)對審核日程做出安排；f)確定對特定區(qū)域的訪問及安全控制?，F(xiàn)場審核應(yīng)核查申請材料的真實性和有效性。審核過程中，應(yīng)通過適當(dāng)?shù)某闃邮占Ⅱ炞C與審核目標(biāo)、范圍和GM/T0065—2019相關(guān)的信息，包括組織職能、生產(chǎn)及研發(fā)的活動和過程等有關(guān)信息。GM／T0066—2019應(yīng)以能夠驗證的信息作為審核依據(jù)，對發(fā)現(xiàn)的審核證據(jù)予以記錄。審核過程中采用的方法參見附錄C。評估組應(yīng)根據(jù)評估項建立評分表，對生產(chǎn)單位產(chǎn)品生產(chǎn)和保障能力進行核實并評分。評估組專家應(yīng)獨立完成評分。評估結(jié)果以評估報告方式提出，評估組應(yīng)提供統(tǒng)一的評估結(jié)論。7評估報告報告內(nèi)容應(yīng)完整、真實、客觀，明確生產(chǎn)單位基本信息、申請產(chǎn)品基本信息、評估組人員、評估監(jiān)督人員、評估時間、評估材料是否齊全、基本項是否符合要求、是否會現(xiàn)場審查、聲明項和評估項說明以及評估結(jié)論。評估報告形式為表格，見附錄B。評估報告中應(yīng)明確啟動評估工作的時間，格式為“××××年××月××日”。評估報告中明確評估地點。7.3.3評估組和評估監(jiān)督人員評估報告中明確評估組和評估監(jiān)督人員姓名。7.3.4生產(chǎn)單位基本信息評估報告中應(yīng)明確生產(chǎn)單位名稱、單位類型以及所屬?。▍^(qū)、市其中生產(chǎn)單位名稱和單位類型應(yīng)按照其營業(yè)執(zhí)照填寫。7.3.5申請產(chǎn)品基本信息評估報告中應(yīng)明確生產(chǎn)單位申請的許可產(chǎn)品名稱和類型。7.3.6評估材料是否齊全應(yīng)明確評估生產(chǎn)單位提交的材料是否齊全，明確方式為選擇“是”或“否”。7.3.7基本項是否符合要求應(yīng)參照5.1的描述，明確生產(chǎn)單位的基本項是否符合要求，明確方式為選擇“是”或“否”。GM／T0066—2019應(yīng)明確是否現(xiàn)場審查，明確方式為選擇“是”或“否”。應(yīng)參照5.2描述，明確生產(chǎn)單位的關(guān)鍵人員、企業(yè)性質(zhì)和數(shù)據(jù)管理信息。a)應(yīng)明確生產(chǎn)單位的關(guān)鍵人員是否持有外國國籍、綠卡和港澳臺籍，明確方式為填寫“是”或“否”。b)若生產(chǎn)單位為企業(yè)，應(yīng)明確企業(yè)資本結(jié)構(gòu)，如企業(yè)性質(zhì)為合資，應(yīng)注明企業(yè)外資和內(nèi)資比例。c)應(yīng)明確注明生產(chǎn)單位的數(shù)據(jù)中心所在地，以及數(shù)據(jù)流轉(zhuǎn)是否涉及出境，如有出境，應(yīng)明確數(shù)據(jù)流轉(zhuǎn)環(huán)節(jié)和流轉(zhuǎn)地。應(yīng)參照5.3和8.1.2的描述，明確生產(chǎn)單位生產(chǎn)能力、質(zhì)量保障能力、安全保障能力和服務(wù)保障能力的得分。應(yīng)參照8.1.3的描述，對生產(chǎn)單位是否具備申請產(chǎn)品類型和安全級別相適應(yīng)的生產(chǎn)和保障能力給出結(jié)論，并明確給出結(jié)論的時間。應(yīng)做好評估材料的歸檔，歸檔材料包括產(chǎn)品品種和型號申請材料、評估報告、評估記錄，參見附評估記錄包括評估成員獨立的評分表、監(jiān)督人員記錄等。8實施要點說明應(yīng)依據(jù)第6章規(guī)定的評估程序開展評估工作，包括材料審查、前置評估、現(xiàn)場審核和專家評估。應(yīng)根據(jù)生產(chǎn)單位背景、申請許可的產(chǎn)品類型和申請材料確定是否需要進行現(xiàn)場審核。專家評估以評分方式進行，評分結(jié)果包括單項分和綜合分。單項分包括生產(chǎn)能力、質(zhì)量保障能力、安全保障能力和服務(wù)保障能力等四個單項的得分。多名專家評分結(jié)果中總分的平均值作為綜合分，多名專家評分結(jié)果中單項得分的平均值作為單項得分。8.1.3商用密碼產(chǎn)品不同等級的許可要求商用密碼產(chǎn)品生產(chǎn)及保障能力應(yīng)與商用密碼產(chǎn)品安全等級相適應(yīng)。與GM/T0008規(guī)定的不同安全等級密碼芯片相適應(yīng)的單項分和綜合分要求見表1。GM／T0066—2019表1不同等級的密碼芯片所需要的生產(chǎn)和保障能力要求評估項得分密碼芯片生產(chǎn)能力A1≥60%≥70%≥80%質(zhì)量保障A2≥80%安全保障A3≥60%≥70%≥80%服務(wù)保障A4≥70%綜合得分A≥70%≥80%≥90%與GM/T0028規(guī)定的不同安全等級的密碼模塊相適應(yīng)的單項分和綜合分要求見表2。表2不同等級的密碼模塊所需要的生產(chǎn)和保障能力要求評估項得分密碼模塊生產(chǎn)能力B1≥50%≥60%≥70%≥80%質(zhì)量保障B2≥80%安全保障B3≥50%≥60%≥70%≥80%服務(wù)保障B4≥70%綜合分B≥60%≥70%≥80%≥90%對于生產(chǎn)單位、研制單位、加工單位存在不是同一個單位（企業(yè)、事業(yè)單位）的情況如表3所示。表3生產(chǎn)單位與研制和生產(chǎn)單位關(guān)系情況生產(chǎn)單位研制單位加工單位1AAA2AAB3AA或B或其他4AA或B或其他a)對于情況1、情況2、情況3和情況4,生產(chǎn)單位A必須是在境內(nèi)注冊的獨立法人單位，且生產(chǎn)單位A應(yīng)具有GM/T0065—2019規(guī)定的商用密碼產(chǎn)品生產(chǎn)和保障能力；b)對于情況2,生產(chǎn)單位A自行研制商用密碼產(chǎn)品，生產(chǎn)單位B為生產(chǎn)單位A的生產(chǎn)外包供應(yīng)商，生產(chǎn)單位A應(yīng)具有對生產(chǎn)單位B的有效管理能力；c)對于情況3,生產(chǎn)單位A自行或外包生產(chǎn)商用密碼產(chǎn)品，研制單位B為生產(chǎn)單位A的產(chǎn)品委外研制的境內(nèi)合作伙伴，此種情況下，生產(chǎn)單位A和研制單位B均應(yīng)具備符合GM/T0065—2019要求的生產(chǎn)和保障能力；d)對于情況4,生產(chǎn)單位A為自行或外包生產(chǎn)商用密碼產(chǎn)品，研制單位B為生產(chǎn)單位A的產(chǎn)品GM／T0066—2019委外研制的境外合作伙伴，此種情況下，生產(chǎn)單位A應(yīng)具備符合GM/T0065—2019要求的生產(chǎn)和保障能力。生產(chǎn)單位在實施生產(chǎn)與保障能力建設(shè)時，應(yīng)參照本標(biāo)準(zhǔn)要求。生產(chǎn)單位應(yīng)依據(jù)GM/T0065—2019進行自評估，根據(jù)自評估結(jié)果進行持續(xù)改進。GM／T0066—2019附錄A（規(guī)范性附錄）商用密碼產(chǎn)品生產(chǎn)和保障能力評估配套表格A.1商用密碼產(chǎn)品生產(chǎn)和保障能力評分表商用密碼產(chǎn)品生產(chǎn)和保障能力評分表如表A.1所示：a)本表涉及的商用密碼產(chǎn)品生產(chǎn)和保障能力評估體系包含3個分類，11個指標(biāo)（含4個關(guān)鍵指標(biāo)13個指標(biāo)分項。評估采用關(guān)鍵指標(biāo)不達標(biāo)一項否決和評分項打分相結(jié)合的方式，評估總分為500分。通過評審的生產(chǎn)單位得分應(yīng)不少于350分。b)本表涉及的指標(biāo)分項，其相關(guān)信息可依據(jù)申請材料現(xiàn)場核查，或要求生產(chǎn)單位現(xiàn)場提供或簽署。c)本表涉及的生產(chǎn)單位信息及評審情況不得對外泄露。表A.1商用密碼產(chǎn)品生產(chǎn)和保障能力評分表受理單編號生產(chǎn)單位名稱受理時間申請型號產(chǎn)品名稱功能應(yīng)用領(lǐng)域研發(fā)、市場或其他方面優(yōu)勢特點評審時間評估總分是否存在關(guān)鍵項否決□是□否評審組簽字評分指標(biāo)評價標(biāo)準(zhǔn)及評分指南信息來源1.基本項（關(guān)鍵指標(biāo)）*指標(biāo)指標(biāo)分項評價標(biāo)準(zhǔn)評分指南信息來源達標(biāo)情況法人資格—法人。在中國境內(nèi)注冊的獨立法人。申請材料主要技術(shù)人員 是否能滿足人員要求。或測試、技術(shù)支持等工作的主要供相關(guān)信息和社保繳納證明。申請材料產(chǎn)品研發(fā)—產(chǎn)權(quán)。申請產(chǎn)品應(yīng)具有自主知識產(chǎn)權(quán)，且密碼核心技術(shù)禁止外包或貼牌?，F(xiàn)場簽署行業(yè)管理遵從項—是否同意承諾提供源代碼或接受源代碼現(xiàn)場審查，是否同意承諾配合管理部門的市場監(jiān)管和現(xiàn)場抽檢。承諾提供源代碼或接受源代碼現(xiàn)場審查，配合管理部門的市場監(jiān)管和現(xiàn)場抽檢?，F(xiàn)場簽署GM／T0066—20192.聲明項指標(biāo)指標(biāo)分項指標(biāo)內(nèi)容信息來源備注關(guān)鍵人員 生產(chǎn)單位應(yīng)提供關(guān)鍵人員的證件類型和號碼、國籍、教育背景和從業(yè)經(jīng)歷的詳細(xì)介紹。申請材料格式單位性質(zhì) 生產(chǎn)單位應(yīng)提供單位性質(zhì)的聲明，按照合法營業(yè)執(zhí)照的內(nèi)容如實提供，包括注冊資本結(jié)構(gòu)、注冊資金規(guī)模、投資人名稱、投資比例等。如有自然人，應(yīng)說明自然人人數(shù)、姓名、國籍；如有外資成分，說明外資比例及外資參與公司經(jīng)營管理的情況。申請材料格式見A.4數(shù)據(jù)管理—生產(chǎn)單位應(yīng)提供數(shù)據(jù)中心所在地的聲明，說明數(shù)據(jù)中心所在地、數(shù)據(jù)流轉(zhuǎn)是否會涉及出境等情況。申請材料格式參3.評估項-生產(chǎn)能力(200分）該類總分：指標(biāo)指標(biāo)分項評價標(biāo)準(zhǔn)評分指南信息來源分項評分技術(shù)力量人力資源是否設(shè)置研發(fā)、生產(chǎn)和管理關(guān)鍵崗位，并對擔(dān)任該崗位的人員能力設(shè)置要求。1)生產(chǎn)單位設(shè)置了研發(fā)、生產(chǎn)和管理關(guān)鍵崗位，該項5分；2)關(guān)鍵崗位宜由經(jīng)驗豐富、專業(yè)技術(shù)深厚的資深人員擔(dān)任，該項3)生產(chǎn)單位的崗位設(shè)置齊備合申請材料+現(xiàn)場問卷、詢問主要技術(shù)團隊是否具備掌握與所申請許可專業(yè)或者產(chǎn)品相適應(yīng)的關(guān)鍵技術(shù)的核心帶頭人，是否具備一定數(shù)支持人員團隊。1)核心技術(shù)帶頭人信息安全行業(yè)從業(yè)經(jīng)歷5年以上，高級工程師或者碩士學(xué)位以上，研究成果2)能夠承擔(dān)主要業(yè)務(wù)的專業(yè)技于80%,該項2分；3)能夠承擔(dān)主要業(yè)務(wù)的專業(yè)技術(shù)人員≥30人，其中大學(xué)本科80%,該項3分。申請材料GM／T0066—2019指標(biāo)指標(biāo)分項評價標(biāo)準(zhǔn)評分指南信息來源達標(biāo)情況技術(shù)力量技術(shù)積累及優(yōu)勢所申請的專業(yè)或產(chǎn)品是否與生產(chǎn)單位的科研方向符合、是否具備相關(guān)科研成果和技術(shù)儲備，以及專業(yè)技術(shù)的水平高低。1)申請許可的專業(yè)或者產(chǎn)品與生產(chǎn)單位的科研方向相符合或有偏差但可調(diào)整，該項0~5分；2)有與所申請許可專業(yè)相關(guān)領(lǐng)域的專業(yè)技術(shù)研究成果且該成果得到過應(yīng)用，該項0~5分；3)近3年來開展過與所申請許可專業(yè)或者產(chǎn)品類似項目的科研且有技術(shù)儲備，該項0~5分；4)專業(yè)技術(shù)水平滿足所申請許可專業(yè)或者產(chǎn)品的需求且達到國內(nèi)先進水平，該項0~5分?，F(xiàn)場詢問技術(shù)創(chuàng)新生產(chǎn)單位應(yīng)具備授權(quán)專利、軟件記等；生產(chǎn)單位應(yīng)明確申請產(chǎn)品由省部級及以上單位或行業(yè)協(xié)會組織的專家鑒定結(jié)論為填補國內(nèi)或國際行業(yè)應(yīng)用空白；生產(chǎn)單位應(yīng)明確申請產(chǎn)品是否具備高性價比，是否具有良好的市場發(fā)展空間。1)每個授權(quán)發(fā)明專利2分(2個明專利每個授權(quán)實用新型專利1分(2個受理實用新型專利每個著作權(quán)或集成電路布圖登記1分（每2個著作權(quán)申請或集成電路布圖登記申請等同1個著作權(quán)或登記該項最高10分。2)填補國內(nèi)行業(yè)應(yīng)用空白，該項0~10分，填補國際行業(yè)應(yīng)用空3)產(chǎn)品競爭力在性價比、性能、拓展市場空間等方面有創(chuàng)新，該項0~15分。申請材料或現(xiàn)場提供研發(fā)工具與設(shè)備生產(chǎn)單位應(yīng)具備滿足申請產(chǎn)品研發(fā)需求的軟硬件工具和設(shè)備。1)具備申請許可的專業(yè)或者產(chǎn)品相關(guān)技術(shù)的關(guān)鍵研發(fā)工具，如發(fā)板、仿真器等，該項0~15分；2)具備申請許可的專業(yè)或者產(chǎn)品相關(guān)技術(shù)的關(guān)鍵研發(fā)設(shè)備，如示波器、邏輯分析儀等，該項0~申請材料試驗測試條件生產(chǎn)單位應(yīng)具有完善的密碼產(chǎn)驗或測試條件。1)具備密碼產(chǎn)品功能、性能試驗測試條件，該項0~6分；該項0~4分。申請材料+現(xiàn)場詢問GM／T0066—2019指標(biāo)指標(biāo)分項評價標(biāo)準(zhǔn)評分指南信息來源達標(biāo)情況生產(chǎn)管理崗位設(shè)置生產(chǎn)單位應(yīng)設(shè)置生產(chǎn)主管、倉儲管理員等相關(guān)崗位，并對擔(dān)任該崗位的人員能力設(shè)定要求。1)設(shè)置了生產(chǎn)主管、倉儲管理員等相關(guān)崗位，該項5分；2)規(guī)定了擔(dān)任該崗位的人員能力設(shè)定要求，該項3分；3)規(guī)定了該崗位的職責(zé)、權(quán)限，且規(guī)定合理，該項2分。申請材料規(guī)章制度生產(chǎn)單位應(yīng)制定相應(yīng)生產(chǎn)管理規(guī)章制度和倉庫管理制度，并建立生產(chǎn)記錄檔案且確保生產(chǎn)記錄可查詢和追溯。1)制定了生產(chǎn)管理制度和倉庫2)建立生產(chǎn)記錄檔案，確保生產(chǎn)記錄可查詢和可追溯，生產(chǎn)記錄申請材料管理系統(tǒng)生產(chǎn)單位應(yīng)建立完善的產(chǎn)品出入庫記錄檔案和數(shù)量管理系統(tǒng)，并確保數(shù)量管理系統(tǒng)的準(zhǔn)確性。建立完善的產(chǎn)品出入庫記錄檔案和數(shù)量管理系統(tǒng)，且數(shù)量管理系統(tǒng)準(zhǔn)確可靠，該項5分。申請材料供應(yīng)管理生產(chǎn)單位應(yīng)考核供應(yīng)商或外協(xié)單位是否具備相應(yīng)的資質(zhì)和技術(shù)能力，應(yīng)要求供應(yīng)商或外協(xié)單位提供資質(zhì)和能力證明材料；生產(chǎn)單位應(yīng)對供應(yīng)商供貨環(huán)節(jié)和外協(xié)加工環(huán)節(jié)具備控制和監(jiān)管措施，對供應(yīng)商及外協(xié)加工產(chǎn)品提供質(zhì)量標(biāo)準(zhǔn)并對供應(yīng)商及外協(xié)產(chǎn)品生產(chǎn)的質(zhì)量進行監(jiān)視、測量和驗收；生產(chǎn)單位應(yīng)與供應(yīng)商簽訂質(zhì)量保證協(xié)議并定期進行質(zhì)量審查；生產(chǎn)單位對外包人員、過程和外包工作有明確管理規(guī)定。1)是否考核了供應(yīng)商或外協(xié)單位具有的資質(zhì)或技術(shù)能力，并提供外協(xié)單位的資質(zhì)和能力證明，該項4分；2)是否有部門負(fù)責(zé)外協(xié)單位質(zhì)量的監(jiān)視、測量和驗收以及負(fù)責(zé)提供外加工產(chǎn)品的質(zhì)量標(biāo)準(zhǔn)，對3)定期與供應(yīng)商進行質(zhì)量審查，簽訂質(zhì)量保證協(xié)議，該項3分。4)對外包人員、過程及外包工作項有明確的管理規(guī)定，該項4分。申請材料生產(chǎn)條件生產(chǎn)場所生產(chǎn)單位的生產(chǎn)場所土地及房滿足需求。1)生產(chǎn)單位擁有生產(chǎn)場所產(chǎn)權(quán)，2)基礎(chǔ)設(shè)施（如水、氣、電供應(yīng)設(shè)3)支持性服務(wù)設(shè)施（如運輸、通訊、信息化手段等）滿足需求，該潔，符合產(chǎn)品安全存儲的環(huán)境條申請材料GM／T0066—2019指標(biāo)指標(biāo)分項評價標(biāo)準(zhǔn)評分指南信息來源達標(biāo)情況生產(chǎn)條件生產(chǎn)設(shè)備生產(chǎn)單位應(yīng)具備滿足生產(chǎn)要求的生產(chǎn)設(shè)備和檢測設(shè)備。驗、檢測設(shè)備，以及計量器具等通用設(shè)備滿足需要，該項0~5分。生產(chǎn)工藝與流程(20分）生產(chǎn)技術(shù)管理生產(chǎn)單位應(yīng)具備齊全的生產(chǎn)技術(shù)文件、管理規(guī)范。1)具有完備的生產(chǎn)技術(shù)文件，包括生產(chǎn)清單、生產(chǎn)指引或物料單或BOM清單，該項5分；2)具有出廠檢驗流程及報告文申請材料批量生產(chǎn)和檢測能力生產(chǎn)單位應(yīng)具備批量生產(chǎn)和檢測能力，具備全自動化生產(chǎn)線及相應(yīng)的產(chǎn)品檢測機制，以保障產(chǎn)滿足與生產(chǎn)規(guī)模相適應(yīng)的需要。1)具備全自動化生產(chǎn)線以及相應(yīng)的產(chǎn)品檢測機制，能夠保障產(chǎn)2)具備規(guī)定的檢驗、試驗和計量模相適應(yīng)，該項5分。申請材料4.評估項-質(zhì)量保障能力(100分）該類總分：指標(biāo)指標(biāo)分項評價標(biāo)準(zhǔn)評分指南信息來源分項評分管理規(guī)章制度(25分） 生產(chǎn)單位應(yīng)建立質(zhì)量管理制度，明確質(zhì)量目標(biāo)并落實實施；生產(chǎn)單位應(yīng)保證商用密碼產(chǎn)品的質(zhì)量，設(shè)立質(zhì)量管理崗位并明確崗位職責(zé)，在商用密碼產(chǎn)品生產(chǎn)過程中應(yīng)建立各階段的質(zhì)量目標(biāo)并由生產(chǎn)單位高層負(fù)責(zé)實施；生產(chǎn)單位應(yīng)建立服務(wù)質(zhì)量保障體系，明確對服務(wù)質(zhì)量的標(biāo)準(zhǔn)要估，為使用單位提供必要的技術(shù)保障服務(wù)。1)組織建立各階段的質(zhì)量目標(biāo)并由高層負(fù)責(zé)牽頭落實，該項2)組織建立質(zhì)量管理的標(biāo)準(zhǔn)及3)組織有專職的崗位負(fù)責(zé)質(zhì)量4)組織對質(zhì)量活動實施和控制5)組織有實施過程的質(zhì)量職能，該項4分。6)組織建立完善的服務(wù)管理保7)在服務(wù)體系中對服務(wù)質(zhì)量標(biāo)準(zhǔn)有要求，該項2分；8)組織建立有服務(wù)質(zhì)量監(jiān)督制申請材料GM／T0066—2019指標(biāo)指標(biāo)分項評價標(biāo)準(zhǔn)評分指南信息來源達標(biāo)情況開發(fā)過程管理(45分）開發(fā)與測試體系是否建立了完備的開發(fā)體系。1)是否建立完備的開發(fā)體系：包括軟件開發(fā)編碼規(guī)范、系統(tǒng)集成設(shè)計管理規(guī)范、系統(tǒng)集成工程管件開發(fā)技術(shù)文檔管理規(guī)范、軟件變更管理規(guī)范，該項10分；2)是否建立了完備的測試體系：測試和驗收測試，該項10分。申請材料研發(fā)過程管理是否對研發(fā)過程進行管理和控制，以保證產(chǎn)品質(zhì)量。1)是否遵循合理的研發(fā)流程，對產(chǎn)品研發(fā)過程有明確的階段劃分和過程管理規(guī)定，該項5分；2)研發(fā)過程中是否有架構(gòu)設(shè)計、概要設(shè)計和詳細(xì)設(shè)計方案，該項3)定期對項目進行審核及評審，研發(fā)過程中是否有人去負(fù)責(zé)跟蹤和組織協(xié)調(diào)，該項2分；4)具備變更管理規(guī)范，對變更產(chǎn)品及項目進行有效的管控，該項5)建立技術(shù)文檔管理規(guī)范，對技術(shù)性文檔進行歸檔，該項1分。申請材料版本管理對產(chǎn)品版本進行有效管理。2)配備配置管理人員，該項3分；3)使用配置管理工具，該項2分?，F(xiàn)場提供質(zhì)量問題管理(10分） 是否對質(zhì)量問題具有管理和控制措施，并就質(zhì)量問題的解決進行跟蹤管理。1)建立了質(zhì)量問題處理工作流程和制度，該項3分；2)對問題處理時效性有要求，該3)定期執(zhí)行客戶滿意度調(diào)查，該4)對問題處理有跟蹤，對質(zhì)量問題有統(tǒng)計的能力，該項2分。申請材料持續(xù)改進產(chǎn)品質(zhì)量措施(10分） 是否有合理的持續(xù)改進產(chǎn)品質(zhì)量的措施。1)持續(xù)性的產(chǎn)品質(zhì)量跟蹤監(jiān)控，2)收集產(chǎn)品質(zhì)量改進的信息數(shù)3)制定合理的產(chǎn)品質(zhì)量改進計申請材料GM／T0066—2019指標(biāo)指標(biāo)分項評價標(biāo)準(zhǔn)評分指南信息來源達標(biāo)情況質(zhì)量管理體系認(rèn)證 質(zhì)量管理體系認(rèn)證。如企業(yè)通過ISO9001質(zhì)量體系認(rèn)證、CMMI3軟件開發(fā)成熟度認(rèn)證等質(zhì)量管理體系認(rèn)證中至申請材料5.安全保障能力(150分）該類總分：指標(biāo)指標(biāo)分項評價標(biāo)準(zhǔn)評分指南信息來源分項評分組織保障領(lǐng)導(dǎo)力承諾企業(yè)領(lǐng)導(dǎo)是否重視生產(chǎn)及管理安全。主要領(lǐng)導(dǎo)承諾保證安全生產(chǎn)和申請材料建立組織機制建立完善的組織機制，保證密碼研發(fā)、生產(chǎn)安全。1)建立組織范圍內(nèi)的信息安全2)建立完善的組織機制，保證生產(chǎn)安全和信息安全，該項4分；3)成立專門的信息安全組織并明確信息安全的分工和責(zé)任，該4)定期進行組織內(nèi)部信息安全5)建立組織預(yù)防、處理安全事件申請材料人力資源安全具有保障人力資源安全的措施1)與員工簽署正規(guī)的勞動合同并對員工進行信息安全培訓(xùn)，該2)相關(guān)崗位員工簽署保密合同或合同中包含著信息安全條款并對相關(guān)崗位員工進行商用密碼條例的培訓(xùn)，該項4分；3)對于離職的員工歸還信息資4)對糾正（危害）信息安全的行為進行適當(dāng)?shù)墓膭睿☉土P該項現(xiàn)場提供GM／T0066—2019指標(biāo)指標(biāo)分項評價標(biāo)準(zhǔn)評分指南信息來源達標(biāo)情況安全管理安全生產(chǎn)規(guī)章制度建立完善的安全生產(chǎn)管理1)建立安全生產(chǎn)規(guī)章制度并貫2)了解國家和行業(yè)的安全生產(chǎn)規(guī)定和標(biāo)準(zhǔn)，制定安全生產(chǎn)責(zé)任制和安全操作流程，該項2分；3)設(shè)置產(chǎn)品生產(chǎn)區(qū)域為重要區(qū)督員或明確安全責(zé)任人，該項4)生產(chǎn)單位應(yīng)提供必要的崗前培訓(xùn)及安全生產(chǎn)培訓(xùn)，該項5)為員工提供必要的安全和勞動保障措施和服務(wù)，該項2分。7)為生產(chǎn)場所配置完備的消防設(shè)施，對生產(chǎn)人員進行消防培8)保證生產(chǎn)場所具有充足通暢的消防通道供生產(chǎn)人員安全撤9)定期對機房防火、防雷、防漏、防塵等規(guī)程進行檢查和記錄，該10)在辦公場所安裝報警系統(tǒng)和申請材料物理和環(huán)境安全物理和環(huán)境的安全可靠1)劃分安全區(qū)域，并規(guī)定相應(yīng)責(zé)任人，定期對機房防盜、防塵、防磁、防靜電按規(guī)程進行檢查和記2)重要區(qū)域有門禁系統(tǒng)及可查詢的訪問記錄，有監(jiān)控且記錄保3)重要資產(chǎn)進出具有審批機制，4)重要區(qū)域，比如機房環(huán)境，具備溫度和濕度要求、UPS不間斷申請材料GM／T0066—2019指標(biāo)指標(biāo)分項評價標(biāo)準(zhǔn)評分指南信息來源達標(biāo)情況安全管理計算機和網(wǎng)絡(luò)安全保障計算機和網(wǎng)絡(luò)安全1)具備惡意軟件防護措施，該項2)具有網(wǎng)絡(luò)防護措施，如正確配置防火墻等，該項2分；3)重要信息資產(chǎn)具有專人維護，4)制定有遠(yuǎn)程以及移動辦公，建5)具備風(fēng)險預(yù)警及應(yīng)急處理措6)建立有相適應(yīng)的信息安全策7)保證信息存儲、交換、銷毀過程中的信息安全，該項2分；8)具有災(zāi)備計劃和管理突發(fā)性申請材料訪問控制安全有效的訪問控制1)具有獨立的研發(fā)生產(chǎn)專用局2)如使用互聯(lián)網(wǎng)，其接入要求受3)關(guān)鍵數(shù)據(jù)要進行安全的傳輸、接收和處理，及時刪除存儲介質(zhì)上的數(shù)據(jù)或銷毀存儲介質(zhì)，并詳細(xì)記錄存放信息，該項3分。申請材料介質(zhì)控制有效的介質(zhì)管理1)具有移動存儲介質(zhì)安全管理2)對存儲介質(zhì)有申請、使用、更換、維修及報廢的安全管理制度和安全策略，該項2分；3)對關(guān)鍵存儲介質(zhì)有定期檢查4)對可重復(fù)利用的介質(zhì)，執(zhí)行寫復(fù)；對于不再利用的介質(zhì)采用毀損的方式進行物理銷毀，確保不申請材料GM／T0066—2019指標(biāo)指標(biāo)分項評價標(biāo)準(zhǔn)評分指南信息來源達標(biāo)情況安全管理開發(fā)和支持過程中的安全保障開發(fā)和支持過程中的安全1)具有開發(fā)安全制度或條款，該2)具有項目開發(fā)安全風(fēng)險識別和控制措施，該項2分；3)具有配置管理或權(quán)限控制措4)外協(xié)／外包如果涉及商業(yè)秘密，必須簽署保密協(xié)議，該項3分；5)外協(xié)／外包環(huán)節(jié)不包含密鑰安裝及關(guān)鍵參數(shù)配置，該項2分。申請材料資產(chǎn)管理保障資產(chǎn)安全1)具備識別所有資產(chǎn)并保持對重要資產(chǎn)的保護，該項2分；2)制定一套與本單位所采用的資產(chǎn)管理分類方案一致的信息申請材料日志審計保障日志安全1)對用戶活動、意外和安全事件日志、系統(tǒng)管理員和系統(tǒng)操作者的活動進行記錄，且按照約定的期限對記錄進行保存，該項2)保護日志設(shè)施和日志信息免3)對錯誤日志進行分析并采取適當(dāng)?shù)拇胧?，該?分。申請材料事故管理對安全事故有效預(yù)防及管理1)確保與信息系統(tǒng)有關(guān)的安全弱點和安全事件的內(nèi)部溝通并及時采取相應(yīng)措施，該項2分；2)使用持續(xù)有效的方法管理安申請材料業(yè)務(wù)持續(xù)性管理保持業(yè)務(wù)持續(xù)可管理防止業(yè)務(wù)活動中斷并保護關(guān)鍵業(yè)務(wù)流程不受信息系統(tǒng)重大失效或自然災(zāi)害影響，確保及時恢申請材料信息安全體系認(rèn)證 安全體系認(rèn)證安全體系認(rèn)證通過信息安全體系ISO27001認(rèn)證，并在有效期之內(nèi)，該項申請材料GM／T0066—20196.服務(wù)保障能力(50分）該類總分：指標(biāo)指標(biāo)分項評價標(biāo)準(zhǔn)評分指南信息來源分項評分制度保障 制定有服務(wù)保障規(guī)范制定有技術(shù)保障、應(yīng)急響應(yīng)、產(chǎn)品售后等相關(guān)服務(wù)規(guī)范，該項5分?，F(xiàn)場提供應(yīng)急響應(yīng)能力(20分） 具有應(yīng)急響應(yīng)機制，有解決突發(fā)問題的能力1)具有應(yīng)急響應(yīng)機制，對突發(fā)問題提供技術(shù)服務(wù)與解決方案，該2)在解決過程中及時向用戶報告進展和最新狀態(tài)，該項8分?，F(xiàn)場提供服務(wù)方式服務(wù)網(wǎng)絡(luò)具有相應(yīng)的服務(wù)網(wǎng)絡(luò)1)服務(wù)網(wǎng)絡(luò)完善，結(jié)合產(chǎn)品應(yīng)用情況提供符合需求的服務(wù)，該項2)企業(yè)產(chǎn)品技術(shù)服務(wù)應(yīng)明確承諾內(nèi)容和可操作的服務(wù)方案，該現(xiàn)場提供受理與反饋可提供多種服務(wù)受理與反饋方式1)建立官方的受理渠道，客戶可部門等多種方式提出意見和問的記錄、處理和分析報告規(guī)定，2)建立官方的反饋渠道和客戶現(xiàn)場提供服務(wù)管理體系認(rèn)證體系認(rèn)證具有相應(yīng)的體系認(rèn)證通過ISO20000認(rèn)證，并在有效現(xiàn)場提供A.2關(guān)鍵人員登記關(guān)鍵人員登記表見表A.2。GM／T0066—2019表A.2關(guān)鍵人員登記表姓名性別職位國籍人才類型若為外籍人士是否是引進人才如：千人計劃、杰出青年學(xué)者等證件類型□身份證□護照□港澳臺證件□其他（請注明）證件號碼教育背景：從高中學(xué)習(xí)開始至最高學(xué)歷獲得，包括全日制或在職教育從業(yè)經(jīng)歷：請詳細(xì)說明工作單位名稱、起始時間、職位、工作方向、工作內(nèi)容及成果。本人保證以上所述情況無誤，均為本人真實經(jīng)歷。本人無任何違法記錄或受到過行政處罰。簽字：A.3單位性質(zhì)說明單位性質(zhì)說明表見表A.3。表A.3單位性質(zhì)說明表單位名稱組織機構(gòu)代碼單位性質(zhì)□央企□國企□民營企業(yè)□合資企業(yè)□外企□其他（請注明）注冊資金□萬元人民幣□萬美元資本結(jié)構(gòu)投資人姓名（如不止一人請自行增加）投資比例（如不止一人請自行增加）自然人情況說明：（請如實說明自然人人數(shù)、姓名、國籍等信息）外資成分說明：（請如實說明外資比例及外資參與公司經(jīng)營管理情況）本單位保證以上所述情況無誤，均為真實情況。法人代表簽字：A.4數(shù)據(jù)管理說明數(shù)據(jù)管理說明表見表A.4。表A.4數(shù)據(jù)管理說明表單位名稱組織機構(gòu)代碼數(shù)據(jù)管理說明：（請如實說明數(shù)據(jù)中心所在地、數(shù)據(jù)流裝及數(shù)據(jù)流轉(zhuǎn)是否出境等情況）本單位保證以上所述情況無誤，均為真實情況。法人代表簽字：GM／T0066—2019附錄B（規(guī)范性附錄）商用密碼產(chǎn)品生產(chǎn)和保障能力評估報告受理單編號：生產(chǎn)單位名稱單位類型（按照營業(yè)執(zhí)照填寫）所屬省申請產(chǎn)品名稱產(chǎn)品類型評估時間20××年月日評估材料是否齊全□是□否基本項是否符合要求□是□否現(xiàn)場審查□是□否聲明項說明關(guān)鍵人員是否持有外國國籍、綠卡、港澳臺籍：是否有違法犯罪記錄：