通知公告
安全可靠測評工作指南(V2.0)
安全可靠測評主要面向計算機終端和服務器搭載的中央處理器(CPU)、操作系統以及數據庫等基礎軟硬件產品,通過對產品及其研發單位的核心技術、安全保障、持續發展等方面開展評估,評定產品的安全性和可持續性,實現對產品研發設計、生產制造、供應保障、售后維護等全生命周期安全可靠性的綜合度量和客觀評價。
安全可靠測評堅持“自愿平等、客觀公正”原則,由企業自愿向中國信息安全測評中心、國家保密科技測評中心申請產品檢測,測評結果由企業和用戶自主選擇使用。
一、測評申請
(一)申請流程
安全可靠測評申請流程分為材料提交、材料審核、受理評審3個階段。
圖1安全可靠測評申請流程
1.材料提交
(1)送測單位按照自主自愿原則,在受理期內通過郵件方式向中國信息安全測評中心(pdtscc@mail.itsec.gov.cn)或國家保密科技測評中心(nsstecaqkk@163.com)提交《安全可靠測評申請登記表》掃描件(表格附后)。
(2)測評機構收到送測單位提交的《安全可靠測評申請登記表》后,5個工作日內通知送測單位到指定地點領取測評申請材料清單。
(3)送測單位根據測評申請材料清單在受理期內向測評機構提交相關材料,并對材料的真實性負責。
(4)受理期每年兩次,為1月第一個工作日至2月最后一個工作日和7月第一個工作日至8月最后一個工作日。
2.材料審核
(1)測評機構收到送測單位提交的申請材料后開展材料審核,15個工作日內向送測單位反饋審核意見。
(2)通過材料審核的,進入受理評審環節。
(3)未通過材料審核的,送測單位可在受理期內根據審核意見補充完善申請材料并重新提交。
(4)受理期截止后,測評機構不再接受送測單位提交的申請材料和補充材料。
3.受理評審
(1)受理期截止后,測評機構根據送測單位提交的申請材料進行受理評審,并向送測單位反饋受理評審結果。
(2)通過受理評審的,測評機構與送測單位明確測試樣品和測評材料有關要求,核定測評工作量,確定測評費用并簽訂測評協議,進入測評實施環節。
(3)未通過受理評審或未達成測評協議的,終止本次測評。
(二)申請條件
送測單位應為中國境內注冊的實體,且滿足以下條件:
1.送測產品應面向市場公開銷售;
2.具有送測產品完備的研發文檔、設計資料、代碼數據和研發環境;
3.擁有送測產品相關的專利、商標、著作權、集成電路布圖設計等知識產權(含申請)之一;
4.具備與送測產品研發設計、生產制造、供應保障、售后維護相匹配的人員隊伍和工作環境;
5.不存在違反中國法律法規的行為和記錄;
6.送測產品功能定性定位應準確,產品名稱應與產品功能一致,不同技術路線產品名稱應有明確區分,不得誤導用戶;
7.同類產品迭代升級,產品名稱應保持連續性,非同類產品應做明確區分;
8.同一送測單位一個受理期內最多送測中央處理器(CPU)、操作系統、數據庫產品各兩款。
二、測評實施
(一)測評流程
測評流程分為測評啟動、測評開展、結果評定3個階段。
圖2安全可靠測評流程
1.測評啟動
(1)送測單位自接到測評機構通知起10個工作日內提交測試樣品及測評材料。
(2)測評機構對送測單位提交的測評材料及測試樣品確認無誤后,啟動測評。
2.測評開展
(1)測評主要包括材料核驗、人員訪談、代碼審查、環境審查、現場測試、現場考核、樣品測試等環節。
(2)測評過程中,送測單位應及時響應測評機構需要,提供技術支持或補充相關材料。若測試樣品出現問題導致測評無法正常開展,送測單位應及時更換或補充樣品。
(3)自測評啟動之日起,測評機構原則上在90個工作日內完成測評。送測單位補充材料、更換或補充樣品的時間不計入測評周期。如遇特殊情況或受不可抗力影響,測評周期可根據實際情況延長。
(4)若測評過程中發現送測產品存在影響或者可能涉及網絡安全法律法規的問題,應當確認送測產品符合相關法律法規后,再繼續開展測評。
(5)若測評過程中發現送測單位存在隱瞞、欺騙、提交虛假材料、夸大產品代碼自主量超過60%、不配合測評等行為,測評機構終止本次測評,作不通過處理,且兩年內不再受理其測評申請。
3.結果評定
測評完成后,測評機構對測評情況進行分級評定,出具安全可靠測評結果。
(二)測評主要內容
1.針對送測產品:
(1)設計、開發、生產等關鍵環節在中國境內完成的情況,以及實施必要的安全防護措施的情況;
(2)遵守中華人民共和國知識產權相關法律法規、行業標準規范的情況,履行開源許可協議、授權許可合同的要求的情況;
(3)不存在未聲明功能和已知安全風險的情況;
(4)安全風險防護能力的情況;
(5)供應鏈安全性和持續穩定性的情況;
(6)服務保障安全性、持續穩定性和可追溯性的情況;
(7)符合中華人民共和國網絡安全相關的法律法規及技術標準的情況;
(8)滿足技術要件對測評機構充分公開和可追溯的情況。
2.針對送測單位:
(1)依據中華人民共和國相關法律法規合法合規運營,具備相關的運營、研發、管理、服務等資質的情況;
(2)依據中華人民共和國相關法律法規實施知識產權保護及管理的情況;
(3)依據中華人民共和國相關法律法規對核心數據、重要數據進行保護的情況;
(4)供應鏈服務的情況或風險;
(5)具備與送測產品研發設計、生產制造、供應保障、售后維護相匹配的人員隊伍的情況;
(6)具備產品定制開發能力,能夠基于自身產品構建產業生態,保持生態開放性、透明性,滿足各種應用場景需求的情況;
(7)具備漏洞響應等能力與管理機制的情況;
(8)具備及時有效的售后服務能力與管理機制的情況;
(9)具備送測產品的獨立研發能力,且擁有相關知識產權保護的情況;
(10)具備送測產品的研發環境及過程記錄的情況;
(11)確保測評材料對測評機構充分公開和可追溯。
三、結果查詢
1.送測單位可通過中國信息安全測評中心(網址:www.itsec.gov.cn)和國家保密科技測評中心(網址:zhongyazg.com)官方網站查詢測評結果,測評結果自發布之日起有效期3年。
2.測評結果有效期內,若送測單位出現實控人或控股權發生變化、產品技術路線更換、產品被發現重大安全漏洞等可能影響測評結果的情形,送測單位應及時告知測評機構。未及時告知的,測評機構有權視情處置,直至取消產品測評結果。
3.送測單位對測評結果有異議,采用書面方式向測評機構提出申訴。一般情況下,測評機構30個工作日內予以答復。
4.未通過測評的產品,如在供應鏈安全、核心技術掌控、知識產權、抵御安全風險等方面取得重要進展,可在受理期內重新申請送測。兩次未通過測評的,兩年內不再受理其同類產品測評申請。
四、保密承諾
1.測評機構對在測評工作中知悉的商業秘密和未公開材料承擔保密義務,承諾不侵犯送測單位的知識產權。
2.送測單位應對測評工作涉及的未公開事項承擔保密義務,不公開宣傳、報道,不向第三方泄露。
五、參考依據
1.《中華人民共和國國家安全法》
2.《中華人民共和國網絡安全法》
3.《中華人民共和國數據安全法》
4.《中華人民共和國個人信息保護法》
5.《中華人民共和國保守國家秘密法》
6.《中華人民共和國密碼法》
7.《中華人民共和國專利法》
8.《中華人民共和國商標法》
9.《中華人民共和國著作權法》
10.《中華人民共和國反壟斷法》
11.《計算機軟件保護條例》
12.《集成電路布圖設計保護條例》
13.《關鍵信息基礎設施安全保護條例》
14.《網絡安全審查辦法》
15.《數據出境安全評估辦法》
16.《商用密碼應用安全性評估管理辦法(試行)》
17.《知識產權對外轉讓有關工作辦法(試行)》
18.《商標一般違法判斷標準》
19.《商標侵權判斷標準》
20.《不可靠實體清單規定》
21.《國家知識產權局知識產權信用管理規定》
22.GB/T 18336-2015《信息技術安全評估準則》
23.GB/T 29490-2023《企業知識產權合規管理體系要求》
24.GB/T 37286-2019《知識產權分析評議服務—服務規范》
25.GB/T 22239-2019《信息安全技術網絡安全等級保護基本要求》
26.GB/T 25070-2019《信息安全技術網絡安全等級保護安全設計技術要求》
27.GB/T 28448-2019《信息安全技術網絡安全等級保護測評要求》
28.GB/T 39786-2021《信息系統密碼應用基本要求》