信息安全技術(shù) 信息技術(shù)產(chǎn)品安全檢測機構(gòu)條件和行為準則-編制說明_第1頁
信息安全技術(shù) 信息技術(shù)產(chǎn)品安全檢測機構(gòu)條件和行為準則-編制說明_第2頁
信息安全技術(shù) 信息技術(shù)產(chǎn)品安全檢測機構(gòu)條件和行為準則-編制說明_第3頁
信息安全技術(shù) 信息技術(shù)產(chǎn)品安全檢測機構(gòu)條件和行為準則-編制說明_第4頁
信息安全技術(shù) 信息技術(shù)產(chǎn)品安全檢測機構(gòu)條件和行為準則-編制說明_第5頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

工作簡況任務(wù)來源為加強信息技術(shù)產(chǎn)品安全檢測機構(gòu)管理,規(guī)范信息技術(shù)產(chǎn)品安全檢測機構(gòu)行為,保障檢測活動的公正可信和安全檢測機構(gòu)的安全檢測能力,從而促使信息技術(shù)產(chǎn)品供應(yīng)方提高產(chǎn)品的安全保障能力,保障國家關(guān)鍵信息基礎(chǔ)設(shè)施安全,配合我國關(guān)鍵信息基礎(chǔ)設(shè)施安全管理工作以及國家網(wǎng)絡(luò)安全審查工作,全國信息安全標準化技術(shù)委員會于2013年立項《信息安全技術(shù)信息技術(shù)產(chǎn)品安全檢測機構(gòu)條件和行為準則》國家標準?!缎畔踩夹g(shù)信息技術(shù)產(chǎn)品安全檢測機構(gòu)條件和行為準則》(計劃編號:20141146-T-469)由中國電子技術(shù)標準化研究院牽頭,中國信息安全測評中心、國家信息技術(shù)安全研究中心、中國信息安全研究院有限公司、北京信息安全測評中心、國家保密科技測評中心、國家應(yīng)用軟件產(chǎn)品質(zhì)量監(jiān)督檢驗中心、公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督中心、中國信息安全認證中心、信息產(chǎn)業(yè)信息安全測評中心、陜西省網(wǎng)絡(luò)與信息安全測評中心、西安電子科技大學(xué)、重慶郵電大學(xué)等單位共同參與起草。主要工作過程1)2014年10月,成立標準編制組考慮到信息技術(shù)產(chǎn)品安全檢測機構(gòu)的現(xiàn)狀,標準編制組廣泛吸收了國內(nèi)的安全檢測機構(gòu)、研究機構(gòu)、質(zhì)檢機構(gòu)參與到標準研制工作,成立標準編制組。2)2014年11月,調(diào)研國內(nèi)外檢測機構(gòu)相關(guān)標準現(xiàn)狀研究現(xiàn)有國內(nèi)外檢測機構(gòu)相關(guān)標準,分析各自特點,學(xué)習(xí)借鑒,主要包括:ISO/IEC17025檢測和校準實驗室認可準則NIST-HB-150-20-2013NISTHANDBOOK150-20CHECKLISTCOMMONCRITERIATESTINGGB/T27025-2008檢測和校準實驗室能力的通用要求CNAS-CL46:2013《檢測和校準實驗室能力認可準則在信息安全檢測領(lǐng)域的應(yīng)用說明》3)2015年1月,召開標準啟動會,確定標準范圍和框架2015年1月編制組召開標準啟動會,與參與單位共同討論,明確了標準的適用范圍和草案框架。4)2015年2月-2016年3月,修改完善標準草案,召開標準草案研討會編制組在研究我國已有檢測機構(gòu)相關(guān)規(guī)定和國內(nèi)外標準基礎(chǔ)上,結(jié)合我國工作需要及檢測機構(gòu)實際情況,多次召開標準編制組會議,并陸續(xù)征求了相關(guān)專家對標準草案的意見,對標準草案進行修改和完善。5)2016年5月-9月,修改完善標準草案,召開標準草案審查會,在WG7征集意見2016年5月11日,在北京組織有關(guān)專家召開標準草案審查會,會議專家同意形成征求意見稿。會后標準編制組根據(jù)專家意見進行了修改完善,形成新一版標準草案。2016年8月,在WG7范圍內(nèi)征集成員單位對該標準的意見,編制組根據(jù)反饋意見修改完善。6)2016年10月,在全國信安標委第二次會議周上,WG7成員單位討論,會后修改形成征求意見稿初稿。2016年10月,全國信息安全標準化技術(shù)委員會秘書處在成都組織召開了2016年第二次會議周。在會議周上,標準編制組與WG7成員單位就標準草案進行了討論,聽取了與會專家的意見。本次會議周形成會議決議,該標準修改完善后形成征求意見稿初稿。7)2016年12月,在全國信安標委WG7專家審查會,會后修改形成征求意見稿。2016年12月22日,信安標委WG7組織了國家標準征求意見稿專家審查會,與會專家對征求意見稿初稿進行審查并提出修改意見。會后,標準編制組按照與會專家意見修改完善,形成征求意見稿。編制原則和主要內(nèi)容2.1 編制原則本標準的研究與編制工作遵循以下原則:一是充分吸收已有檢測機構(gòu)相關(guān)標準?!稐l件和行為準則》充分參考了國際、國內(nèi)有關(guān)檢測和校準實驗室以及安全測評機構(gòu)的條件和行為規(guī)范。標準參考了正在修訂的ISO/IEC17025的DIS版本,并針對GB/T27025-2008以及《檢測和校準實驗室能力認可準則在信息安全檢測領(lǐng)域的應(yīng)用說明》中沒有涉及到的對檢測機構(gòu)的要求,進行了補充。二是考慮可操作性和實用性。為了確保標準的可操作性和實用性,標準編制從兩方面著手,一方面標準編制組廣泛吸收了國內(nèi)多家檢測機構(gòu)的人員作為標準編制組成員;另一方面標準制定過程中,也不斷地借鑒國外實驗室的安全行為規(guī)范要求標準來擴充標準的內(nèi)容,為標準合理性和可操作性提供支撐。2.2主要內(nèi)容本標準從管理和技術(shù)的角度,規(guī)范了檢測機構(gòu)在測試信息技術(shù)產(chǎn)品安全時,應(yīng)具備的條件以及遵守的安全行為規(guī)范。本標準規(guī)定了信息技術(shù)產(chǎn)品安全檢測機構(gòu)在檢測信息技術(shù)產(chǎn)品的安全性時,應(yīng)具備的條件以及應(yīng)遵守的行為準則。本準則適用于所有從事信息技術(shù)產(chǎn)品安全性檢測的第三方機構(gòu),可為相關(guān)主管部門、信息技術(shù)產(chǎn)品供應(yīng)方和用戶選擇第三方檢測機構(gòu)提供參考。檢測機構(gòu)應(yīng)為一個法人實體,并建立符合GB/T27025-2008要求的管理體系。檢測機構(gòu)應(yīng)檢測機構(gòu)應(yīng)具備信息技術(shù)產(chǎn)品安全性檢測的技術(shù)能力,信息技術(shù)產(chǎn)品的安全性包括:保護、維持信息的保密性、完整性和可用性,也可包括真實性、可核查性、抗抵賴性、可靠性等性質(zhì);應(yīng)具備檢測并分析被測產(chǎn)品中是否存在惡意程序、安全缺陷(漏洞)等的檢測技術(shù)能力;應(yīng)具備產(chǎn)品供應(yīng)鏈安全的檢測能力,包括產(chǎn)品供應(yīng)鏈組件關(guān)系分析和安全檢測能力;應(yīng)具備信息技術(shù)產(chǎn)品安全風(fēng)險評估能力。檢測機構(gòu)應(yīng)遵守我國相關(guān)法律法規(guī)、公正透明的提供檢測服務(wù)、檢測活動應(yīng)誠實守信、檢測結(jié)果應(yīng)可追溯可復(fù)現(xiàn)、開展檢測活動時應(yīng)遵循利益回避的原則、對委托方信息安全保密、發(fā)生重大變更時及時報告。主要試驗(或驗證)的分析、綜述報告,技術(shù)經(jīng)濟論證,預(yù)期的經(jīng)濟效果無。采用國際標準和國外先進標準的程度,以及與國際、國外同類標準水平的對比情況,或與測試的國外樣品、樣機的有關(guān)數(shù)據(jù)對比情況信息安全標準已經(jīng)成為網(wǎng)絡(luò)空間國際競爭的戰(zhàn)略制高點。特別是,信息技術(shù)產(chǎn)品安全檢測機構(gòu)標準及其背后的管理政策將會對信息基礎(chǔ)產(chǎn)業(yè)造成重大影響,也將限制國外更多的信息技術(shù)產(chǎn)品滲透到我國敏感部門和重要行業(yè),這種情況下,我國提出了加強對信息技術(shù)產(chǎn)品安全檢測機構(gòu)的安全管理是保障國家安全和社會公眾利益的重要舉措。開展對信息技術(shù)產(chǎn)品安全檢測機構(gòu)管理,規(guī)范信息技術(shù)產(chǎn)品安全檢測機構(gòu)行為,從而促使信息技術(shù)產(chǎn)品供應(yīng)方提高產(chǎn)品的安全保證能力,是落實對國家關(guān)鍵信息基礎(chǔ)設(shè)施安全管理的措施之一。因此,編制組在標準編制過程中,分析研究了ISO/IEC17025和NIST的檢測機構(gòu)和實驗室要求,參照我國現(xiàn)有的相關(guān)標準和CNAS,以及國內(nèi)安全檢測機構(gòu)的現(xiàn)狀,綜合考慮制定了本標準。與有關(guān)的現(xiàn)行法律、法規(guī)和強制性國家標準的關(guān)系《信息技術(shù)產(chǎn)品安全檢測機構(gòu)條件和行為準則》符合現(xiàn)有法律法規(guī)的要求?!缎畔⒓夹g(shù)產(chǎn)品安全檢測機構(gòu)條件和行為準則》與GB/T27025-2008《檢測和校準實驗室能力的通用要求》不矛盾、不沖突。通用要求標準是針對所有的檢測機構(gòu)和校準實驗室,沒有針對到安全檢測機構(gòu)的一些具體要求和規(guī)范。重大分歧意見的處理經(jīng)過和依據(jù)《條件和行為準則》編制過程中未出現(xiàn)重大分歧。其他詳見意見匯總處理表。國家標準作為強制性國家標準或推薦性國家標準的建議建議《條件和行為準則》作為推薦性國家標準發(fā)布實施。貫徹國家標準的要求和措施建議(包括組織措施、技術(shù)措施、過渡辦法等內(nèi)容)《條件和行為準則》通過對信息技術(shù)產(chǎn)品安全檢測機構(gòu)管理,規(guī)范信息技術(shù)產(chǎn)品安全檢測機構(gòu)行為,從而促使信息技術(shù)產(chǎn)品供應(yīng)方提高產(chǎn)品的安全

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論