《信息安全技術(shù) 信息技術(shù)產(chǎn)品安全可控評價指標 第3部分：操作系統(tǒng)-編制說明》

一、工作簡況

1.1任務(wù)來源

根據(jù)中國電子信息產(chǎn)業(yè)發(fā)展研究院的申請，全國信息安全標準化技術(shù)委員會于2015年

下達了《信息安全技術(shù)信息技術(shù)產(chǎn)品安全可控水平評價指標第3部分：操作系統(tǒng)》國家標

準制定任務(wù)。國家標準化委員會于2016年6月下達了《信息安全技術(shù)信息技術(shù)產(chǎn)品安全可

控水平評價指標第3部分：操作系統(tǒng)》國家標準制定計劃（計劃號：20160657-T-469），

由中國電子信息產(chǎn)業(yè)發(fā)展研究院牽頭起草，起草單位包括中標軟件有限公司、普華基礎(chǔ)軟件

有限公司、中科方德有限公司、小米公司、北京凝思科技有限公司、深圳全智達通訊股份有

限公司、中軟信息系統(tǒng)工程有限公司、中國電子信息產(chǎn)業(yè)發(fā)展研究院、公安部第一研究所、

中國電子技術(shù)標準化研究院、工信部軟件與集成電路促進中心、中國信息安全研究院、中國

軟件測評中心等。

1.2主要工作過程

《信息安全技術(shù)信息技術(shù)產(chǎn)品安全可控水平評價指標第3部分：操作系統(tǒng)》課題始于

2015年7月，標準編制期間召開了3次10名以上專家參會的大型研討會，十余次小型研討

會，電話、郵件、現(xiàn)場溝通討論百余次，根據(jù)研討結(jié)果進行了幾次較大規(guī)模的修訂和反復(fù)的

推敲琢磨。編制過程主要分為三個階段：

（一）課題啟動

經(jīng)過前期調(diào)研，2015年3月，《信息安全技術(shù)信息技術(shù)產(chǎn)品安全可控水平評價指標第

3部分：操作系統(tǒng)》標準項目上報全國信息安全標準化技術(shù)委員會；2015年7月，全國信息

安全標準化技術(shù)委員會批準立項，所屬工作組為WG7。

（二）編制初稿

2015年7月，在前期研究基礎(chǔ)上，開始初稿編制工作。編制組調(diào)研了國內(nèi)主要的操作

系統(tǒng)廠商和研究機構(gòu)，走訪國內(nèi)知名專家學(xué)者，參考了CC、ISO/IEC27036、SP800-53、

1

NISTSP800-161、FIPS_PUB_140-2等相關(guān)國際標準，且標準制定過程中將充分考慮了WTO

等國際規(guī)則要求，基本保持國內(nèi)外標準一致性。2015年9月，編制完成統(tǒng)一的標準初稿。

（三）標準修訂

標準初稿完成后，編制組組織了多次征求意見行動，包括2015年9-10月面向技術(shù)專家、

主要廠商、研究機構(gòu)和用戶單位等的廣泛征求意見活動，11月面向WTO和法律專家的征求

意見活動，以及12月面向知名外企的征求意見會。編制組充分吸取各方專家意見，對標準

反復(fù)討論，多次修訂，于2016年5月形成較為完善成熟的標準草案。2016年6月，在全國

信息安全標準化技術(shù)委員會2016年第一次工作組會議周上，王闖代表標準編制組做了標準

編制工作報告及標準草案的說明，根據(jù)與會代表提出的意見和建議，完成了意見匯總處理表，

并在此基礎(chǔ)上修訂標準文本，于8月份形成新的標準草案提交TC260平臺。2016年10月份，

在全國信息安全標準化技術(shù)委員會2016年第二次工作組會議周上，王闖代表標準編制組做

了標準編制工作報告及標準草案的說明，工作組同意進入“征求意見稿”階段。2016年11月

4日，進一步修改后形成標準（征求意見稿）版本。

二、編制原則和主要內(nèi)容

2.1編制原則

本標準的研究與編制工作遵循以下原則：

（1）公平性原則

信息技術(shù)產(chǎn)品安全可控水平評價指標的制定應(yīng)對國內(nèi)外產(chǎn)品一視同仁，采用同一標準，

由第三方認證機構(gòu)進行評估，營造公平競爭環(huán)境，促進國內(nèi)廠商和企業(yè)更快的提升技術(shù)能力。

（2）系統(tǒng)性原則

信息技術(shù)產(chǎn)品安全可控水平評價指標的制定應(yīng)跳出單點技術(shù)和產(chǎn)品的局限，從技術(shù)體系、

管理能力、供應(yīng)鏈、司法管轄等方面綜合考慮評價標準，指標的各部分應(yīng)相互協(xié)調(diào)，形成統(tǒng)

一的整體，可單獨使用，也可配合使用。

2

（3）簡單性原則

信息技術(shù)產(chǎn)品安全可控水平評價指標的制定應(yīng)避繁就簡，無需全面，但求有效，盡可能

找到實現(xiàn)信息技術(shù)產(chǎn)品安全可控的關(guān)鍵點，簡化標準使用流程，對于事關(guān)信息產(chǎn)品安全的核

心指標，可設(shè)為“一票否決”。

（4）可操作性原則

標準規(guī)范是對實際工作成果的總結(jié)與提升，最終還需要用于實踐中，并經(jīng)得起實踐的檢

驗，做到可操作、可用與實用。

2.2主要內(nèi)容

1范圍

2規(guī)范性引用文件

3術(shù)語和定義

4評價指標結(jié)構(gòu)

5評價方法

5.1評價材料要求

5.2指標評價

5.3計分方法

三、主要試驗（或驗證）的分析、綜述報告、技術(shù)經(jīng)濟論證、預(yù)期的經(jīng)濟效果

編制組已請相關(guān)編制單位，包括中標軟件有限公司、普華基礎(chǔ)軟件有限公司、中科方德

有限公司、小米公司、北京凝思科技有限公司、深圳全智達通訊股份有限公司、中軟信息系

統(tǒng)工程有限公司等對標準進行試用，基本可以達到安全可控水平評價的目的。反饋的建議對

標準的制定奠定了良好基礎(chǔ)。

四、采用國際標準和國外先進標準的程度、以及與國際、國外同類標準水平的對比情況、

或與測試的國外樣品、樣機的有關(guān)數(shù)據(jù)對比情況

經(jīng)調(diào)研，國際尚未發(fā)布類似標準，在標準編制過程中參考了CC、ISO/IEC27036、SP

800-53、NISTSP800-161、FIPS_PUB_140-2等國際標準的相關(guān)內(nèi)容，且標準制定過程中將

充分考慮了WTO等國際規(guī)則要求，基本保持國內(nèi)外標準一致性。

五、與有關(guān)的現(xiàn)行法律、法規(guī)和強制性國家標準的關(guān)系

3

本標準符合現(xiàn)有法律法規(guī)的要求。在國家標準方面，我國目前尚未制定信息技術(shù)產(chǎn)品安

全可控相關(guān)國家標準，本標準項目中所涉及的操作系統(tǒng)產(chǎn)品主要從安全可控角度提出管理要

求，現(xiàn)有的操作系統(tǒng)安全相關(guān)標準主要從可靠性等方面提出技術(shù)要求，標準內(nèi)容之間不重疊，

可同時使用。

六、重大分歧意見的處理經(jīng)過和依據(jù)

本標準在編制過程中未出現(xiàn)重大分歧，其他詳見意見匯總處理表。

七、國家標準作為強制性國家標準或推薦性國家標準的建議

建議本標準作為推薦性國家標準發(fā)布實施。

八、貫徹國家標準的要求和措施建議（包括組織措施、技術(shù)措施、過渡辦法等內(nèi)容）

本標準作為信息技術(shù)產(chǎn)品安全可控評價指標的一部分，配合實施。

九、其他事項說明

本標準不涉及專利。