GB/T 36630.1-2018信息安全技術(shù)信息技術(shù)產(chǎn)品安全可控評(píng)價(jià)指標(biāo)第1部分：總則

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T366301—2018

.

信息安全技術(shù)

信息技術(shù)產(chǎn)品安全可控評(píng)價(jià)指標(biāo)

第1部分總則

:

Informationsecuritytechnology—Controllabilityevaluationindexfor

securitofinformationtechnoloroducts—Part1Generalrinciles

ygyp:pp

2018-09-17發(fā)布2019-04-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T366301—2018

.

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

安全可控概述

4……………2

風(fēng)險(xiǎn)分析

4.1……………2

安全可控保障

4.2………………………2

保障目標(biāo)

4.2.1………………………2

保障要求

4.2.2………………………2

安全可控評(píng)價(jià)

5……………3

評(píng)價(jià)原則

5.1……………3

科學(xué)合理

5.1.1………………………3

客觀公正

5.1.2………………………3

知識(shí)產(chǎn)權(quán)保護(hù)

5.1.3…………………3

評(píng)價(jià)指標(biāo)體系

5.2………………………3

體系框架

5.2.1………………………3

研發(fā)生產(chǎn)評(píng)價(jià)類(lèi)

5.2.2………………4

供應(yīng)鏈評(píng)價(jià)類(lèi)

5.2.3…………………5

運(yùn)維服務(wù)評(píng)價(jià)類(lèi)

5.2.4………………5

評(píng)價(jià)實(shí)施

5.3……………5

評(píng)價(jià)流程

5.3.1………………………5

評(píng)價(jià)方法

5.3.2………………………5

評(píng)價(jià)結(jié)果

5.3.3………………………6

參考文獻(xiàn)

………………………7

GB/T366301—2018

.

前言

信息安全技術(shù)信息技術(shù)產(chǎn)品安全可控評(píng)價(jià)指標(biāo)包括以下部分

GB/T36630《》:

第部分總則

———1:;

第部分中央處理器

———2:;

第部分操作系統(tǒng)

———3:;

第部分辦公套件

———4:;

第部分通用計(jì)算機(jī)

———5:。

本部分為的第部分

GB/T366301。

本部分按照給出的規(guī)則起草

GB/T1.1—2009。

本部分由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本部分起草單位中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院公安部第一研究所中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院

:、、、

中國(guó)信息安全研究院有限公司中國(guó)電子科技集團(tuán)公司國(guó)家信息技術(shù)安全研究中心工業(yè)和信息化部

、、、

軟件與集成電路促進(jìn)中心中國(guó)軟件評(píng)測(cè)中心公安部第三研究所中國(guó)信息安全測(cè)評(píng)中心中國(guó)信息通

、、、、

信研究院等

。

本部分主要起草人劉權(quán)王闖韓煜李海濤葉潤(rùn)國(guó)劉賢剛左曉棟張建軍李冰方進(jìn)社劉龍庚

:、、、、、、、、、、、

顧健張寶峰寧華翟艷芬馮偉許亞倩楊永生李英的陳妍趙爽王超馬士民榮志剛韋安壘

、、、、、、、、、、、、、。

Ⅰ

GB/T366301—2018

.

引言

隨著信息技術(shù)應(yīng)用的日益深入信息技術(shù)產(chǎn)品設(shè)計(jì)實(shí)現(xiàn)的復(fù)雜度不斷提升涉及的生命周期環(huán)節(jié)越

,,

來(lái)越多人為設(shè)置的后門(mén)不可控的產(chǎn)品供應(yīng)鏈不能持續(xù)的產(chǎn)品服務(wù)未經(jīng)授權(quán)的數(shù)據(jù)收集和使用等潛

,、、、

在的不可控因素不斷增多嚴(yán)重?fù)p害應(yīng)用方的權(quán)益甚至可能危害國(guó)家安全和公共利益

,,。

依據(jù)中華人民共和國(guó)網(wǎng)絡(luò)安全法網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法試行等要求為提高信息技

《》《()》,

術(shù)產(chǎn)品安全可控水平防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)維護(hù)國(guó)家和公共安全進(jìn)而滿足信息技術(shù)產(chǎn)品應(yīng)用方安全可

,,,

控需求增強(qiáng)應(yīng)用方信心推動(dòng)信息技術(shù)產(chǎn)業(yè)健康快速發(fā)展特制定

,,、,GB/T36630。

提出信息技術(shù)產(chǎn)品安全可控評(píng)價(jià)指標(biāo)和評(píng)價(jià)方法不包含對(duì)產(chǎn)品本身安全功能和安

GB/T36630,

全性能的評(píng)價(jià)安全可控只是信息技術(shù)產(chǎn)品的一個(gè)屬性如需評(píng)價(jià)信息技術(shù)產(chǎn)品的安全功能和安全性

。,

能等其他屬性可參照相關(guān)國(guó)家標(biāo)準(zhǔn)

,。

本部分明確了信息技術(shù)產(chǎn)品安全可控評(píng)價(jià)指標(biāo)總體要求為開(kāi)展信息技術(shù)產(chǎn)品安全可控評(píng)價(jià)工作

,

提供指導(dǎo)

。

Ⅱ

GB/T366301—2018

.

信息安全技術(shù)

信息技術(shù)產(chǎn)品安全可控評(píng)價(jià)指標(biāo)

第1部分總則

:

1范圍

的本部分規(guī)定了信息技術(shù)產(chǎn)品安全可控的概念保障目標(biāo)給出了信息技術(shù)產(chǎn)品安全

GB/T36630、,

可控的評(píng)價(jià)原則評(píng)價(jià)指標(biāo)體系和實(shí)施流程

、。

本部分適用于評(píng)價(jià)實(shí)施方對(duì)信息技術(shù)產(chǎn)品的安全可控程度進(jìn)行評(píng)價(jià)也可供信息技術(shù)產(chǎn)品供應(yīng)方

,

和應(yīng)用方在產(chǎn)品供應(yīng)和應(yīng)用過(guò)程中保障產(chǎn)品安全可控進(jìn)行參照

。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)術(shù)語(yǔ)

GB/T25069—2010

3術(shù)語(yǔ)和定義

界定的以及下列術(shù)語(yǔ)和定義適用于本文件

GB/T25069—2010。

31

.

信息技術(shù)產(chǎn)品informationtechnologyproduct

具有采集存儲(chǔ)處理傳輸控制交換顯示數(shù)據(jù)或信息功能的硬件軟件系統(tǒng)和服務(wù)

、、、、、、、、。

注信息技術(shù)產(chǎn)品包括計(jì)算機(jī)及其輔助設(shè)備通信設(shè)備網(wǎng)絡(luò)設(shè)備自動(dòng)控制設(shè)備操作系統(tǒng)數(shù)據(jù)庫(kù)應(yīng)用軟件與服

:、、、、、