版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
一、工作簡況
1.1任務(wù)來源
根據(jù)國家標(biāo)準(zhǔn)化管理委員會2021年下達(dá)的國家標(biāo)準(zhǔn)制修訂計劃,《信息安全
技術(shù)信息技術(shù)安全評估準(zhǔn)則第3部分:安全保障組件》由中國信息安全測評中
心負(fù)責(zé)承辦,計劃號:XXXXXX。該標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口
管理。
1.2主要起草單位和工作組成員
中國信息安全測評中心負(fù)責(zé)起草,中國電子科技集團(tuán)公司第十五研究所、華
為技術(shù)有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、浙江大華技術(shù)股份有限公
司、復(fù)旦大學(xué)、中科信息安全共性技術(shù)國家工程研究中心有限公司、中國科學(xué)院
信息工程研究所、成都虛谷偉業(yè)科技有限公司、北京數(shù)安行科技有限公司、合肥
天帷信息安全技術(shù)有限公司、陜西省網(wǎng)絡(luò)與信息安全測評中心、安徽中科國創(chuàng)高
可信軟件有限公司、武漢大學(xué)、科來網(wǎng)絡(luò)技術(shù)股份有限公司、吉首大學(xué)、醫(yī)渡云
(北京)技術(shù)有限公司、金篆信科有限責(zé)任公司等單位共同參與了該標(biāo)準(zhǔn)的起草
工作。
1.3主要工作過程
1)2021年9月至10月,征集標(biāo)準(zhǔn)參編單位,成立標(biāo)準(zhǔn)編制組。
2)2021年11月-12月,召開項目啟動會,確定各參與單位任務(wù)分工,根據(jù)
項目進(jìn)度安排,完善標(biāo)準(zhǔn)草案,測評中心在ISO/IEC15408的DIS版本上,修訂
出標(biāo)準(zhǔn)草案第一稿,梳理出新修訂標(biāo)準(zhǔn)中模塊化評估、組合評估等新增加內(nèi)容。
3)2022年2月24日,召開項目推進(jìn)會,確定核心標(biāo)準(zhǔn)編制組。
4)2022年2月-4月,對編制單位按五部分標(biāo)準(zhǔn)內(nèi)容和修訂難度進(jìn)行分組,
在標(biāo)準(zhǔn)草案第一稿的基礎(chǔ)上,先后完成兩次標(biāo)準(zhǔn)內(nèi)容的修訂工作,包含草案標(biāo)準(zhǔn)
內(nèi)容與ISO/IEC15408的FDIS版本的比較、按照GB1.1和GB1.2的要求對標(biāo)準(zhǔn)格
式和內(nèi)容進(jìn)行修改,準(zhǔn)備草案轉(zhuǎn)征求意見稿評審。
5)2022.4.19,召開WG5工作組線上會議,征集組內(nèi)意見,并進(jìn)行草案轉(zhuǎn)征
求意見稿評審工作組投票。
1
6)2022.4.27,召開WG5工作組專家線上研討會,征集組內(nèi)專家意見。
7)2022.5月-6月,測評中心對標(biāo)準(zhǔn)文本進(jìn)行第三輪修訂工作,重點(diǎn)對標(biāo)準(zhǔn)
中的長難句進(jìn)行梳理。
8)2022.6月,標(biāo)準(zhǔn)試點(diǎn)驗(yàn)證工作正式啟動。
9)2022年7月21日,召開線上會議反饋修訂參與單位前期修訂工作評價
推進(jìn)會。
10)2022年7月-8月,組織部分參與單位針對術(shù)語部分與GB/T25069-2022
進(jìn)行比對分析。
11)2022年8月9日,召開GB/T18336.3標(biāo)準(zhǔn)文本質(zhì)量把關(guān)研討會,根據(jù)
專家意見對標(biāo)準(zhǔn)中的“組合評估”和“復(fù)合評估”進(jìn)行區(qū)分。
12)2022年8月10日-9月15日,根據(jù)質(zhì)量把關(guān)會各專家意見進(jìn)行文本修
改;根據(jù)ISO/IEC15408-3-2022發(fā)布版(2022年8月10日發(fā)布)對文本進(jìn)行
校對。
13)2022年9月23日,通過安標(biāo)委秘書處組織召開的標(biāo)準(zhǔn)轉(zhuǎn)公開征求意見
稿評審會。
14)2022年9月23日-28日,項目組根據(jù)轉(zhuǎn)公開征求意見稿評審會專家意
見,進(jìn)行文本等的修改工作,最終形成標(biāo)準(zhǔn)征求意見稿。
二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題
此標(biāo)準(zhǔn)使用等同采用的方式進(jìn)行修訂,等同采用IS0/IEC15408-3:202X
《Informationsecurity,cybersecurityandprivacyprotection—
EvaluationcriteriaforITsecurity—Part3:Securityassurance
components》。ISO/IEC15408是目前國際上對信息安全測評認(rèn)證最完善、最權(quán)
威、應(yīng)用最廣、最具普適性的技術(shù)標(biāo)準(zhǔn),已在信息安全領(lǐng)域得到了廣泛認(rèn)可。國
際標(biāo)準(zhǔn)化組織幾年前啟動了ISO/IEC15408標(biāo)準(zhǔn)內(nèi)容的修訂工作,標(biāo)準(zhǔn)的內(nèi)容發(fā)
生了較大變化,并將于今年內(nèi)或明年初發(fā)布最終版。為了及時跟進(jìn)國際信息安全
標(biāo)準(zhǔn)技術(shù)發(fā)展和最新動向,使其具有更好的時效性、連貫性和可操作性,使我國
在信息安全測評領(lǐng)域保持與國際同步的技術(shù)水平,同時為開發(fā)者、使用者、測評
者提供更為全面、科學(xué)、規(guī)范的標(biāo)準(zhǔn)指引。
三、主要試驗(yàn)[或驗(yàn)證]情況分析
本標(biāo)準(zhǔn)一方面為信息技術(shù)產(chǎn)品的安全測評工作提供依據(jù),另一方面為信息技
2
術(shù)產(chǎn)業(yè)提升產(chǎn)品安全性提供重要的指引。同時,本標(biāo)準(zhǔn)承擔(dān)單位長期從事基于
GB/T18336的測評工作,積累了大量經(jīng)驗(yàn),參編單位包括國內(nèi)信息安全檢測機(jī)
構(gòu)、認(rèn)證機(jī)構(gòu)、信息技術(shù)產(chǎn)品及方案提供商等相關(guān)應(yīng)用單位,對于標(biāo)準(zhǔn)的落地實(shí)
施可起到良好作用。
基于標(biāo)準(zhǔn)內(nèi)容和適用范圍,結(jié)合GB/T30270中的評估方法,試點(diǎn)驗(yàn)證工作
選取了高保障級芯片方向、手機(jī)終端方向、網(wǎng)絡(luò)產(chǎn)品新變化、新技術(shù)新應(yīng)用等技
術(shù)方向,重點(diǎn)驗(yàn)證國際標(biāo)準(zhǔn)中新增加和修訂的概念、評估理念的適用性和科學(xué)性。
1、高保障級測評方向
擬驗(yàn)證標(biāo)準(zhǔn)中的高保障級相關(guān)安全保障要求對國產(chǎn)智能芯片類產(chǎn)品的適用
性。在分析通過國際EAL6及以上測評基礎(chǔ)上,通過智能芯片類產(chǎn)品在結(jié)構(gòu)合理
性分析、代碼復(fù)雜度分析、完全形式化安全功能模型等方面的測評,來驗(yàn)證國產(chǎn)
芯片類產(chǎn)品高保障級相關(guān)安全保障要求的滿足性和自測的充分性。
2、網(wǎng)絡(luò)產(chǎn)品新變化方向
擬通過網(wǎng)絡(luò)產(chǎn)品(硬件和軟件)相關(guān)的Base-PP,防火墻PP-module,形成
的防火墻產(chǎn)品PP-configuration,來驗(yàn)證模塊化評估對我國網(wǎng)絡(luò)產(chǎn)品安全測評的適
用性和可操作性。
3、新技術(shù)新應(yīng)用方向
擬依據(jù)GB/T18336對手機(jī)終端、智能家居產(chǎn)品等新型信息技術(shù)產(chǎn)品進(jìn)行安全
性分析。重點(diǎn)對手機(jī)終端產(chǎn)品分析模塊化評估的適用性和可操作性。對智能家居
IoT相關(guān)產(chǎn)品,重點(diǎn)驗(yàn)證在GB/T18336框架下,用戶數(shù)據(jù)和隱私類相關(guān)安全功能
要求的適用性,并結(jié)合相關(guān)的自測驗(yàn)證產(chǎn)品安全功能對安全組件的滿足性。
四、知識產(chǎn)權(quán)情況說明
本標(biāo)準(zhǔn)不涉及專利問題。
五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果
依據(jù)此標(biāo)準(zhǔn)對信息技術(shù)產(chǎn)品測評的開展,為國家網(wǎng)絡(luò)安全保駕護(hù)航,對國家
網(wǎng)絡(luò)安全法律制度落地提供基礎(chǔ)支撐;為我國建成全方位信息技術(shù)產(chǎn)品安全性評
估標(biāo)準(zhǔn)體系,起到基礎(chǔ)框架作用,引領(lǐng)了我國網(wǎng)絡(luò)安全評估技術(shù)的發(fā)展;提升了
我國基礎(chǔ)軟硬件安全可控水平,為我國ICT產(chǎn)業(yè)國際競爭力的增強(qiáng)起到了規(guī)范性、
指導(dǎo)性作用,憑借GB/T18336與國際標(biāo)準(zhǔn)體系的接軌優(yōu)勢,助力多家國內(nèi)企業(yè)走
3
出國門。
六、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況
本標(biāo)準(zhǔn)使用翻譯法等同采用ISO/IEC15408-3:2022《信息安全網(wǎng)絡(luò)安全
和隱私保護(hù)信息技術(shù)安全評估準(zhǔn)則—第3部分:安全保障組件》編制。
七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性
本標(biāo)準(zhǔn)與現(xiàn)行法律、法規(guī)以及國家標(biāo)準(zhǔn)沒有沖突與矛盾的地方。
八、重大分歧意見的處理經(jīng)過和依據(jù)
無。
九、標(biāo)準(zhǔn)性質(zhì)的建議
建議本標(biāo)準(zhǔn)為推薦性國家標(biāo)準(zhǔn)。
十、貫徹標(biāo)準(zhǔn)的要求和措施建議
無。
十一、替代或廢止現(xiàn)行相關(guān)標(biāo)準(zhǔn)的建議
建議本標(biāo)準(zhǔn)為推薦性國家標(biāo)準(zhǔn),本文件和GB/T18336.4-202X、GB/T
18336.5-202X共同替代GB/T18336.3-2015。
十二、其它應(yīng)予說明的事項
無。
國家標(biāo)準(zhǔn)《信息安全技術(shù)信息技術(shù)安全評估準(zhǔn)則
第3部分:安全保障組件》編制工作組
2022年9月28日
4
一、工作簡況
1.1任務(wù)來源
根據(jù)國家標(biāo)準(zhǔn)化管理委員會2021年下達(dá)的國家標(biāo)準(zhǔn)制修訂計劃,《信息安全
技術(shù)信息技術(shù)安全評估準(zhǔn)則第3部分:安全保障組件》由中國信息安全測評中
心負(fù)責(zé)承辦,計劃號:XXXXXX。該標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口
管理。
1.2主要起草單位和工作組成員
中國信息安全測評中心負(fù)責(zé)起草,中國電子科技集團(tuán)公司第十五研究所、華
為技術(shù)有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、浙江大華技術(shù)股份有限公
司、復(fù)旦大學(xué)、中科信息安全共性技術(shù)國家工程研究中心有限公司、中國科學(xué)院
信息工程研究所、成都虛谷偉業(yè)科技有限公司、北京數(shù)安行科技有限公司、合肥
天帷信息安全技術(shù)有限公司、陜西省網(wǎng)絡(luò)與信息安全測評中心、安徽中科國創(chuàng)高
可信軟件有限公司、武漢大學(xué)、科來網(wǎng)絡(luò)技術(shù)股份有限公司、吉首大學(xué)、醫(yī)渡云
(北京)技術(shù)有限公司、金篆信科有限責(zé)任公司等單位共同參與了該標(biāo)準(zhǔn)的起草
工作。
1.3主要工作過程
1)2021年9月至10月,征集標(biāo)準(zhǔn)參編單位,成立標(biāo)準(zhǔn)編制組。
2)2021年11月-12月,召開項目啟動會,確定各參與單位任務(wù)分工,根據(jù)
項目進(jìn)度安排,完善標(biāo)準(zhǔn)草案,測評中心在ISO/IEC15408的DIS版本上,修訂
出標(biāo)準(zhǔn)草案第一稿,梳理出新修訂標(biāo)準(zhǔn)中模塊化評估、組合評估等新增加內(nèi)容。
3)2022年2月24日,召開項目推進(jìn)會,確定核心標(biāo)準(zhǔn)編制組。
4)2022年2月-4月,對編制單位按五部分標(biāo)準(zhǔn)內(nèi)容和修訂難度進(jìn)行分組,
在標(biāo)準(zhǔn)草案第一稿的基礎(chǔ)上,先后完成兩次標(biāo)準(zhǔn)內(nèi)容的修訂工作,包含草案標(biāo)準(zhǔn)
內(nèi)容與ISO/IEC15408的FDIS版本的比較、按照GB1.1和GB1.2的要求對標(biāo)準(zhǔn)格
式和內(nèi)容進(jìn)行修改,準(zhǔn)備草案轉(zhuǎn)征求意見稿評審。
5)2022.4.19,召開WG5工作組線上會議,征集組內(nèi)意見,并進(jìn)行草案轉(zhuǎn)征
求意見稿評審工作組投票。
1
6)2022.4.27,召開WG5工作組專家線上研討會,征集組內(nèi)專家意見。
7)2022.5月-6月,測評中心對標(biāo)準(zhǔn)文本進(jìn)行第三輪修訂工作,重點(diǎn)對標(biāo)準(zhǔn)
中的長難句進(jìn)行梳理。
8)2022.6月,標(biāo)準(zhǔn)試點(diǎn)驗(yàn)證工作正式啟動。
9)2022年7月21日,召開線上會議反饋修訂參與單位前期修訂工作評價
推進(jìn)會。
10)2022年7月-8月,組織部分參與單位針對術(shù)語部分與GB/T25069-2022
進(jìn)行比對分析。
11)2022年8月9日,召開GB/T18336.3標(biāo)準(zhǔn)文本質(zhì)量把關(guān)研討會,根據(jù)
專家意見對標(biāo)準(zhǔn)中的“組合評估”和“復(fù)合評估”進(jìn)行區(qū)分。
12)2022年8月10日-9月15日,根據(jù)質(zhì)量把關(guān)會各專家意見進(jìn)行文本修
改;根據(jù)ISO/IEC15408-3-2022發(fā)布版(2022年8月10日發(fā)布)對文本進(jìn)行
校對。
13)2022年9月23日,通過安標(biāo)委秘書處組織召開的標(biāo)準(zhǔn)轉(zhuǎn)公開征求意見
稿評審會。
14)2022年9月23日-28日,項目組根據(jù)轉(zhuǎn)公開征求意見稿評審會專家意
見,進(jìn)行文本等的修改工作,最終形成標(biāo)準(zhǔn)征求意見稿。
二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題
此標(biāo)準(zhǔn)使用等同采用的方式進(jìn)行修訂,等同采用IS0/IEC15408-3:202X
《Informationsecurity,cybersecurityandprivacyprotection—
EvaluationcriteriaforITsecurity—Part3:Securityassurance
components》。ISO/IEC15408是目前國際上對信息安全測評認(rèn)證最完善、最權(quán)
威、應(yīng)用最廣、最具普適性的技術(shù)標(biāo)準(zhǔn),已在信息安全領(lǐng)域得到了廣泛認(rèn)可。國
際標(biāo)準(zhǔn)化組織幾年前啟動了ISO/IEC15408標(biāo)準(zhǔn)內(nèi)容的修訂工作,標(biāo)準(zhǔn)的內(nèi)容發(fā)
生了較大變化,并將于今年內(nèi)或明年初發(fā)布最終版。為了及時跟進(jìn)國際信息安全
標(biāo)準(zhǔn)技術(shù)發(fā)展和最新動向,使其具有更好的時效性、連貫性和可操作性,使我國
在信息安全測評領(lǐng)域保持與國際同步的技術(shù)水平,同時為開發(fā)者、使用者、測評
者提供更為全面、科學(xué)、規(guī)范的標(biāo)準(zhǔn)指引。
三、主要試驗(yàn)[或驗(yàn)證]情況分析
本標(biāo)準(zhǔn)一方面為信息技術(shù)產(chǎn)品的安全測評工作提供依據(jù),另一方面為信息技
2
術(shù)產(chǎn)業(yè)提升產(chǎn)品安全性提供重要的指引。同時,本標(biāo)準(zhǔn)承擔(dān)單位長期從事基于
GB/T18336的測評工作,積累了大量經(jīng)驗(yàn),參編單位包括國內(nèi)信息安全檢測機(jī)
構(gòu)、認(rèn)證機(jī)構(gòu)、信息技術(shù)產(chǎn)品及方案提供商等相關(guān)應(yīng)用單位,對于標(biāo)準(zhǔn)的落地實(shí)
施可起到良好作用。
基于標(biāo)準(zhǔn)內(nèi)容和適用范圍,結(jié)合GB/T30270中的評估方法,試點(diǎn)驗(yàn)證工作
選取了高保障級芯片方向、手機(jī)終端方向、網(wǎng)絡(luò)產(chǎn)品新變化、新技術(shù)新應(yīng)用等技
術(shù)方向,重點(diǎn)驗(yàn)證國際標(biāo)準(zhǔn)中新增加和修訂的概念、評估理念的適用性和科學(xué)性。
1、高保障級測評方向
擬驗(yàn)證標(biāo)準(zhǔn)中的高保障級相關(guān)安全保障要求對國產(chǎn)智能芯片類產(chǎn)品的適用
性。在分析通過國際EAL6及以上測評基礎(chǔ)上,通過智
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 保潔臨時用工合同模板
- 停職留薪合同模板
- 加盟美容項目合同模板
- 卡車賣買合同模板
- 代駕服務(wù)合同模板
- 制約合同模板
- 光伏屋頂安裝合同模板
- 單位食堂供貨合同模板
- 臨時叫車協(xié)議合同模板
- 借住房合同模板
- 2024-2025學(xué)年七年級道德與法治上學(xué)期第一次月考模擬卷(統(tǒng)編版2024新教材)
- 小紅書種草營銷師認(rèn)證考試題附有答案
- (精心整理)四大時態(tài)綜合練習(xí)
- 幼兒園大班體育游戲教案小小登山隊(攀爬)
- 慢性乙型病毒性肝炎(B18.1)
- 有限空間作業(yè)申請表(共2頁)
- 滬教版-一年級上-英語單詞卡片
- 壓實(shí)度自動計算程序
- 土及部分巖石力學(xué)參數(shù)經(jīng)驗(yàn)值
- 義務(wù)教育優(yōu)質(zhì)均衡發(fā)展區(qū)創(chuàng)建工作“路線圖”和“時間表”
- 大航海時代Ⅱ港的位置及特產(chǎn)品、秘寶
評論
0/150
提交評論