2014年以来,中国电子信息产业发展研究院在中央网信办、信安标委的指导下,按照国家标准制定程序,牵头研究制定了信息技术产品安全可控评价指标系列标准。

作者 | 网络空间所

编辑 | 煜  佳

该系列标准的编制工作组由信息技术产品厂商、研究机构、测评机构和高校等几十家单位代表组成,开展了大量调研、分析和研究工作,并通过专家研讨、公开征求意见等形式,听取了国内外相关部门、机构和厂商的意见建议,最终获得各方充分认可,标准的前五部分于今年9月以推荐性国家标准形式发布,分别为:

  • GB/T 36630.1-2018《信息技术产品 信息技术产品安全可控评价指标 第1部分:总则》

  • GB/T 36630.2-2018《信息技术产品 信息技术产品安全可控评价指标 第2部分:中央处理器》

  • GB/T 36630.3-2018《信息技术产品 信息技术产品安全可控评价指标 第3部分:操作系统》

  • GB/T 36630.4-2018《信息技术产品 信息技术产品安全可控评价指标 第4部分:办公套件》

  • GB/T 36630.5-2018《信息技术产品 信息技术产品安全可控评价指标 第5部分:通用计算机》

该系列标准将于2019年4月1日正式实施。

信息技术产品安全可控评价指标系列标准的第一部分为总则,明确了安全可控评价指标体系,从研发生产、供应链和运维服务三个角度,提出了产品设计实现透明性、产品实现验证、供应链保障能力、服务保障能力等评价指标项,同时给出了评价的原则和程序等,为编制具体信息技术产品的安全可控评价指标和开展评价工作提供了指引。

第二到五部分则依据总则分别针对中央处理器、操作系统、办公套件和通用计算机产品给出具体的评价指标。未来根据需要还将编制其他产品的安全可控评价指标。

该系列国家标准的制定,为落实《国家安全法》、《网络安全法》等政策法规,有效提升我国信息技术产品安全可控水平,保障国家网络安全提供重要支撑。

一是为信息技术产品厂商提升自身安全可控能力提供了依据,能够推动各厂商不断强化核心技术掌握能力、供应链保障能力等,进而提升整个行业的安全可控能力;

二是为推动信息技术产品应用单位提升安全可控保障能力提供手段,为主管部门评估各应用单位信息系统的安全可控水平提供了量化依据,进而有效督促重要领域和关键行业提升安全可控水平,保障国家关键信息基础设施安全运行。

声明:本文来自中国电子信息产业发展研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。