GB/T 36630.1-2018信息安全技術(shù)信息技術(shù)產(chǎn)品安全可控評價指標(biāo)第1部分：總則

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T366301—2018

.

信息安全技術(shù)

信息技術(shù)產(chǎn)品安全可控評價指標(biāo)

第1部分總則

:

Informationsecuritytechnology—Controllabilityevaluationindexfor

securitofinformationtechnoloroducts—Part1Generalrinciles

ygyp:pp

2018-09-17發(fā)布2019-04-01實施

國家市場監(jiān)督管理總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T366301—2018

.

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

安全可控概述

4……………2

風(fēng)險分析

4.1……………2

安全可控保障

4.2………………………2

保障目標(biāo)

4.2.1………………………2

保障要求

4.2.2………………………2

安全可控評價

5……………3

評價原則

5.1……………3

科學(xué)合理

5.1.1………………………3

客觀公正

5.1.2………………………3

知識產(chǎn)權(quán)保護(hù)

5.1.3…………………3

評價指標(biāo)體系

5.2………………………3

體系框架

5.2.1………………………3

研發(fā)生產(chǎn)評價類

5.2.2………………4

供應(yīng)鏈評價類

5.2.3…………………5

運維服務(wù)評價類

5.2.4………………5

評價實施

5.3……………5

評價流程

5.3.1………………………5

評價方法

5.3.2………………………5

評價結(jié)果

5.3.3………………………6

參考文獻(xiàn)

………………………7

GB/T366301—2018

.

前言

信息安全技術(shù)信息技術(shù)產(chǎn)品安全可控評價指標(biāo)包括以下部分

GB/T36630《》:

第部分總則

———1:;

第部分中央處理器

———2:;

第部分操作系統(tǒng)

———3:;

第部分辦公套件

———4:;

第部分通用計算機(jī)

———5:。

本部分為的第部分

GB/T366301。

本部分按照給出的規(guī)則起草

GB/T1.1—2009。

本部分由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本部分起草單位中國電子信息產(chǎn)業(yè)發(fā)展研究院公安部第一研究所中國電子技術(shù)標(biāo)準(zhǔn)化研究院

:、、、

中國信息安全研究院有限公司中國電子科技集團(tuán)公司國家信息技術(shù)安全研究中心工業(yè)和信息化部

、、、

軟件與集成電路促進(jìn)中心中國軟件評測中心公安部第三研究所中國信息安全測評中心中國信息通

、、、、

信研究院等

。

本部分主要起草人劉權(quán)王闖韓煜李海濤葉潤國劉賢剛左曉棟張建軍李冰方進(jìn)社劉龍庚

:、、、、、、、、、、、

顧健張寶峰寧華翟艷芬馮偉許亞倩楊永生李英的陳妍趙爽王超馬士民榮志剛韋安壘

、、、、、、、、、、、、、。

Ⅰ

GB/T366301—2018

.

引言

隨著信息技術(shù)應(yīng)用的日益深入信息技術(shù)產(chǎn)品設(shè)計實現(xiàn)的復(fù)雜度不斷提升涉及的生命周期環(huán)節(jié)越

,,

來越多人為設(shè)置的后門不可控的產(chǎn)品供應(yīng)鏈不能持續(xù)的產(chǎn)品服務(wù)未經(jīng)授權(quán)的數(shù)據(jù)收集和使用等潛

,、、、

在的不可控因素不斷增多嚴(yán)重?fù)p害應(yīng)用方的權(quán)益甚至可能危害國家安全和公共利益

,,。

依據(jù)中華人民共和國網(wǎng)絡(luò)安全法網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法試行等要求為提高信息技

《》《()》,

術(shù)產(chǎn)品安全可控水平防范網(wǎng)絡(luò)安全風(fēng)險維護(hù)國家和公共安全進(jìn)而滿足信息技術(shù)產(chǎn)品應(yīng)用方安全可

,,,

控需求增強(qiáng)應(yīng)用方信心推動信息技術(shù)產(chǎn)業(yè)健康快速發(fā)展特制定

,,、,GB/T36630。

提出信息技術(shù)產(chǎn)品安全可控評價指標(biāo)和評價方法不包含對產(chǎn)品本身安全功能和安

GB/T36630,

全性能的評價安全可控只是信息技術(shù)產(chǎn)品的一個屬性如需評價信息技術(shù)產(chǎn)品的安全功能和安全性

。,

能等其他屬性可參照相關(guān)國家標(biāo)準(zhǔn)

,。

本部分明確了信息技術(shù)產(chǎn)品安全可控評價指標(biāo)總體要求為開展信息技術(shù)產(chǎn)品安全可控評價工作

,

提供指導(dǎo)

。

Ⅱ

GB/T366301—2018

.

信息安全技術(shù)

信息技術(shù)產(chǎn)品安全可控評價指標(biāo)

第1部分總則

:

1范圍

的本部分規(guī)定了信息技術(shù)產(chǎn)品安全可控的概念保障目標(biāo)給出了信息技術(shù)產(chǎn)品安全

GB/T36630、,

可控的評價原則評價指標(biāo)體系和實施流程

、。

本部分適用于評價實施方對信息技術(shù)產(chǎn)品的安全可控程度進(jìn)行評價也可供信息技術(shù)產(chǎn)品供應(yīng)方

,

和應(yīng)用方在產(chǎn)品供應(yīng)和應(yīng)用過程中保障產(chǎn)品安全可控進(jìn)行參照

。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)術(shù)語

GB/T25069—2010

3術(shù)語和定義

界定的以及下列術(shù)語和定義適用于本文件

GB/T25069—2010。

31

.

信息技術(shù)產(chǎn)品informationtechnologyproduct

具有采集存儲處理傳輸控制交換顯示數(shù)據(jù)或信息功能的硬件軟件系統(tǒng)和服務(wù)

、、、、、、、、。

注信息技術(shù)產(chǎn)品包括計算機(jī)及其輔助設(shè)備通信設(shè)備網(wǎng)絡(luò)設(shè)備自動控制設(shè)備操作系統(tǒng)數(shù)據(jù)庫應(yīng)用軟件與服

:、、、、、