中国信息安全测评中心(以下简称测评中心)是我国专门从事信息技术安全测试和风险评估的权威职能机构。
信息技术已经成为应用面极广、渗透性很强的战略性技术。信息安全产品和信息系统固有的敏感性和特殊性,直接影响国家的安全利益和经济利益。各国政府纷纷采取颁布标准,实行测评和认证制度等方式,对信息安全产品的研制、生产、销售、使用和进出口实行严格、有效的控制。美、英、德、法、澳、加、荷、韩等国家先后建立了国家信息安全测评认证体系。
联系方式
安全可靠测评工作指南(V2.0)
安全可靠测评主要面向计算机终端和服务器搭载的中央处理器(CPU)、操作系统以及数据库等基础软硬件产品,通过对产品及其研发单位的核心技术、安全保障、持续发展等方面开展评估,评定产品的安全性和可持续性,实现对产品研发设计、生产制造、供应保障、售后维护等全生命周期安全可靠性的综合度量和客观评价。
安全可靠测评坚持“自愿平等、客观公正”原则,由企业自愿向中国信息安全测评中心、国家保密科技测评中心申请产品检测,测评结果由企业和用户自主选择使用。
一、测评申请
(一)申请流程
安全可靠测评申请流程分为材料提交、材料审核、受理评审3个阶段。
图1安全可靠测评申请流程
1.材料提交
(1)送测单位按照自主自愿原则,在受理期内通过邮件方式向中国信息安全测评中心(pdtscc@mail.itsec.gov.cn)或国家保密科技测评中心(nsstecaqkk@163.com)提交《安全可靠测评申请登记表》扫描件(表格附后)。
(2)测评机构收到送测单位提交的《安全可靠测评申请登记表》后,5个工作日内通知送测单位到指定地点领取测评申请材料清单。
(4)受理期每年两次,为1月第一个工作日至2月最后一个工作日和7月第一个工作日至8月最后一个工作日。
2.材料审核
(1)测评机构收到送测单位提交的申请材料后开展材料审核,15个工作日内向送测单位反馈审核意见。
(2)通过材料审核的,进入受理评审环节。
(3)未通过材料审核的,送测单位可在受理期内根据审核意见补充完善申请材料并重新提交。
(4)受理期截止后,测评机构不再接受送测单位提交的申请材料和补充材料。
3.受理评审
(1)受理期截止后,测评机构根据送测单位提交的申请材料进行受理评审,并向送测单位反馈受理评审结果。
(2)通过受理评审的,测评机构与送测单位明确测试样品和测评材料有关要求,核定测评工作量,确定测评费用并签订测评协议,进入测评实施环节。
(3)未通过受理评审或未达成测评协议的,终止本次测评。
(二)申请条件
送测单位应为中国境内注册的实体,且满足以下条件:
1.送测产品应面向市场公开销售;
2.具有送测产品完备的研发文档、设计资料、代码数据和研发环境;
4.具备与送测产品研发设计、生产制造、供应保障、售后维护相匹配的人员队伍和工作环境;
5.不存在违反中国法律法规的行为和记录;
6.送测产品功能定性定位应准确,产品名称应与产品功能一致,不同技术路线产品名称应有明确区分,不得误导用户;
7.同类产品迭代升级,产品名称应保持连续性,非同类产品应做明确区分;
8.同一送测单位一个受理期内最多送测中央处理器(CPU)、操作系统、数据库产品各两款。
二、测评实施
(一)测评流程
测评流程分为测评启动、测评开展、结果评定3个阶段。
图2安全可靠测评流程
1.测评启动
(1)送测单位自接到测评机构通知起10个工作日内提交测试样品及测评材料。
(2)测评机构对送测单位提交的测评材料及测试样品确认无误后,启动测评。
2.测评开展
(1)测评主要包括材料核验、人员访谈、代码审查、环境审查、现场测试、现场考核、样品测试等环节。
(5)若测评过程中发现送测单位存在隐瞒、欺骗、提交虚假材料、夸大产品代码自主量超过60%、不配合测评等行为,测评机构终止本次测评,作不通过处理,且两年内不再受理其测评申请。
3.结果评定
测评完成后,测评机构对测评情况进行分级评定,出具安全可靠测评结果。
(二)测评主要内容
1.针对送测产品:
(1)设计、开发、生产等关键环节在中国境内完成的情况,以及实施必要的安全防护措施的情况;
(4)安全风险防护能力的情况;
(5)供应链安全性和持续稳定性的情况;
(6)服务保障安全性、持续稳定性和可追溯性的情况;
(8)满足技术要件对测评机构充分公开和可追溯的情况。
2.针对送测单位:
(4)供应链服务的情况或风险;
(5)具备与送测产品研发设计、生产制造、供应保障、售后维护相匹配的人员队伍的情况;
(6)具备产品定制开发能力,能够基于自身产品构建产业生态,保持生态开放性、透明性,满足各种应用场景需求的情况;
(7)具备漏洞响应等能力与管理机制的情况;
(8)具备及时有效的售后服务能力与管理机制的情况;
(10)具备送测产品的研发环境及过程记录的情况;
(11)确保测评材料对测评机构充分公开和可追溯。
三、结果查询
1.送测单位可通过中国信息安全测评中心(网址:www.itsec.gov.cn)和国家保密科技测评中心(网址:www.nsstec.org.cn)官方网站查询测评结果,测评结果自发布之日起有效期3年。
2.测评结果有效期内,若送测单位出现实控人或控股权发生变化、产品技术路线更换、产品被发现重大安全漏洞等可能影响测评结果的情形,送测单位应及时告知测评机构。未及时告知的,测评机构有权视情处置,直至取消产品测评结果。
3.送测单位对测评结果有异议,采用书面方式向测评机构提出申诉。一般情况下,测评机构30个工作日内予以答复。
4.未通过测评的产品,如在供应链安全、核心技术掌控、知识产权、抵御安全风险等方面取得重要进展,可在受理期内重新申请送测。两次未通过测评的,两年内不再受理其同类产品测评申请。
四、保密承诺
1.测评机构对在测评工作中知悉的商业秘密和未公开材料承担保密义务,承诺不侵犯送测单位的知识产权。
2.送测单位应对测评工作涉及的未公开事项承担保密义务,不公开宣传、报道,不向第三方泄露。
五、参考依据
1.《中华人民共和国国家安全法》
2.《中华人民共和国网络安全法》
3.《中华人民共和国数据安全法》
4.《中华人民共和国个人信息保护法》
5.《中华人民共和国保守国家秘密法》
6.《中华人民共和国密码法》
7.《中华人民共和国专利法》
8.《中华人民共和国商标法》
9.《中华人民共和国著作权法》
10.《中华人民共和国反垄断法》
11.《计算机软件保护条例》
12.《集成电路布图设计保护条例》
13.《关键信息基础设施安全保护条例》
14.《网络安全审查办法》
15.《数据出境安全评估办法》
16.《商用密码应用安全性评估管理办法(试行)》
17.《知识产权对外转让有关工作办法(试行)》
18.《商标一般违法判断标准》
19.《商标侵权判断标准》
20.《不可靠实体清单规定》
21.《国家知识产权局知识产权信用管理规定》
22.GB/T18336-2015《信息技术安全评估准则》
23.GB/T29490-2023《企业知识产权合规管理体系要求》
24.GB/T37286-2019《知识产权分析评议服务—服务规范》
25.GB/T22239-2019《信息安全技术网络安全等级保护基本要求》
26.GB/T25070-2019《信息安全技术网络安全等级保护安全设计技术要求》
27.GB/T28448-2019《信息安全技术网络安全等级保护测评要求》