信息安全技术信息技术产品安全可控评价指标第1部分：总则

信息安全技术信息技术产品安全可控评价指标第1部分：总则

国家标准 GB/36630.1一2018 信息安全技术 信息技术产品安全可控评价指标 1部分:总则 第 nformationseeuritytechnology一Controllability evaluationindeXxfor eeurityofinformationtechnoloprodets一Part1.Generalprineiples 2018-09-17发布 2019-04-01实施 国家市场监督管理总局 发布 币国国家标准化管理委员会国家标准
GB/T36630.1一2018 次 目 前言 引言 范围 规范性引用文件 术语和定义 安全可控概述 4.1风险分析 4.2安全可控保障 4.2.1保障目标 4.2.2保障要求 5 安全可控评价 5.1评价原则 5.1.1科学合理 5.1.2客观公正 5.1.3知识产权保护 5.2评价指标体系 5.2.1体系框攀 5.2.2研发生产评价类 5.2.3供应链评价类 运维服务评价类 5.2.4 5.3评价实施 5.3.1评价流程 5.3.2评价方法 5.3.3评价结果 参考文献
GB;/T36630.1一2018 前 言 GB/T36630《信息安全技术信息技术产品安全可控评价指标)包括以下部分 第1部分:总则; 第2部分:中央处理器; 第3部分:操作系统; 第4部分;办公套件; 第5部分;通用计算机 本部分为GB/T36630的第1部分 本部分按照GB/T1.1一2009给出的规则起草 本部分由全国信息安全标准化技术委员会(sAc/TC260)提出并归口 本部分起草单位;电子信息产业发展研究院、公安部第一研究所、电子技术标准化研究院 信息安全研究院有限公司电子科技集团公司、国家信息技术安全研究中心,工业和信息化部 软件与集成电路促进中心,软件评测中心、公安部第三研究所、信息安全测评中心、信息通 信研究院等 本部分主要起草人;刘权,王闯、韩煜、李海涛、叶润国,刘贤刚、左晓栋,张建军、李冰,方进社、刘龙庚、 顾健、张宝峰、宁华、翟艳芬、冯伟、许亚倩、杨永生、李英的、陈妍、赵爽、王超、马士民、荣志刚、韦安垒
GB/T36630.1一2018 引 言 随着信息技术应用的日益深人,信息技术产品设计实现的复杂度不断提升,涉及的生命周期环节越 来越多,人为设置的后门不可控的产品供应链、不能持续的产品服务,未经授权的数据收集和使用等潜 在的不可控因素不断增多,严重损害应用方的权益,甚至可能危害国家安全和公共利益 依据《网络安全法网络产品和服务安全审查办法试行》等要求,为提高信息技 术产品安全可控水平,防范网络安全风险,维护国家和公共安全,进而满足信息技术产品应用方安全可 控需求,增强应用方信心,推动信息技术产业健康、快速发展,特制定GB/T36630. GB/T36630提出信息技术产品安全可控评价指标和评价方法,不包含对产品本身安全功能和安 全性能的评价 安全可控只是信息技术产品的一个属性,如需评价信息技术产品的安全功能和安全性 能等其他属性,可参照相关国家标准 本部分明确了信息技术产品安全可控评价指标总体要求,为开展信息技术产品安全可控评价工作 提供指导
GB;/T36630.1一2018 信息安全技术 信息技术产品安全可控评价指标 第1部分:总则 范围 GB/T36630的本部分规定了信息技术产品安全可控的概念、保障目标,给出了信息技术产品安全 可控的评价原则、评价指标体系和实施流程 本部分适用于评价实施方对信息技术产品的安全可控程度进行评价,也可供信息技术产品供应方 和应用方在产品供应和应用过程中保障产品安全可控进行参照 规范性引用文件 下列文件对于本文件的应用是必不可少的 凡是迷日期的引用文件,仅注日期的版本适用于本文 件 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T25069-2010信息安全技术术语 术语和定义 GB/T250692010界定的以及下列术语和定义适用于本文件 3.1 信息技术产品intmatntehlg》pdut 具有采集、存储、处理、传输、控制、交换、显示数据或信息功能的硬件、软件、系统和服务 注，信息技术产晶包括计算机及其辅助设备,通信设备、网络设备,自动控制设备、操作系统,数据库,应用软件与服 务等 [[GB/T32921一2016,定义3.1] 3.2 安全可控controllabiltyforseeurity 信息技术产品具备的保证其应用方数据支配权、产品控制权、产品选择权等不受损害的属性 3.3 信息技术产品供应方informationteehnologyprduesupplier 提供信息技术产品的组织 注:信息技术产品供应方包括生产商、销售商、代理商、集成商、服务商等 [GB/T32921一2016,定义3.2] 3,4 信息技术产品应用方informationtechnologyprduetuser 采购和使用信息技术产品的用户 注信息技术产品应用方包括自然人,法人等
GB/T36630.1一2018 3.5 产品供应链prductsupplychainm 为满足供应关系通过资源和过程将供需各方相互连接的网链结构 安全可控概述 4.1风险分析 信息技术产品在安全可控方面所面临的风险主要包括 a 产品被非法控制、干扰和中断运行; b产品及关健部件在生产、测试,交付、技术支持过程中引发的供应链安全问题 c 产品供应方利用提供产品的便利条件非法收集、存储、处理、使用、销毁用户相关数据 d 产晶供应方利用应用方对产品的依赖实施不正当竟争或损害应用方利益 其他可能危害国家安全相公共利益的情况 4.2安全可控保障 4.2.1保障目标 安全可挖保障是应用方信任信息技术产品满足其安全可控需求的基础,其目标是保护应用方的数 据支配权、产品控制权和产品选择权 数据支配权是指应用方能够自主控制自己的数据,信息技术产品供应方不在未经授权情况下 a 以任何形式获取应用方的数据,损害应用方对自己数据的支配权 b)产品控制权是指应用方能够自主控制所使用的产品,信息技术产品供应方不在未经授权情况 下通过网络控制和操纵应用方产品,损害应用方对自己所拥有和使用产品的控制权; 产品选择权是指应用方能够自主选择所使用的产品,信息技术产品供应方不可利用应用方对 其依赖性牟取不当利益或损害应用方权益,包括停止提供合理的安全技术支持、迫使应用方更 新换代、.恶意中断产品供应等 4.2.2保障要求 针对安全可控保障目标,结合信息技术产品在研发生产、供应、运维服务等生命周期各环节面临的 潜在风险,对信息技术产品及其提供方提出了安全保障要求 其中,影响应用方数据支配权的主要风险 来自数据收集、传输、存储、处理、使用、销毁等环节,为有效控制相关风险应确保产品数据相关实现与其 声称功能一致、数据相关服务合规;影响应用方产品控制权的风险主要来自产品研发生产,供应,运维服 务等环节,为有效控制相应风险应确保产品控制相关实现与其声称功能一致、控制相关服务合规;影响 应用方产品选择权的风险主要来自供应链、运维服务等环节,为有效控制相应风险应确保产品的持续供 应、正常使用 具体的安全可控保障要求如表1所示 表1安全可控保障目标及要求 保障目标 保障要求 应用方数据不被非授权收集、处理和使用,应用方具有支配权 -产品涉及数据收集、传输、存储,处理,使用、销毁等环节的实现应与其声称功能一致; 数据支配权 产品严格遵守法律法规要求及其承诺,不存在非授权收集,处理应用方数据等情况 -产品在构建系统过程中不会引人新的影响数据支配权的隐患
GB;/T36630.1一2018 表1(续 保障目标 保障要求 应用方使用的产品不被非授权控制和操纵,应用方具有控制权 产品涉及操作控制、远程访间等方面的实现与其声称功能一致 产品控制权 -产品相关服务严格按照法律法规要求及其承诺,没有非授权控制和操纵产品本身等情况; 产品在构建系统过程中不引人新的影响产品控制权的隐患 应用方对产品的选择权不应被剥夺、被妨碍,不因相应选择付出不合理的额外代价 产品所有供应环节不存在因非技术因素,非正常商业因索中断供应的隐患; 产品选择权 供应方不存在利用提供产品的便利条件获取不当利益,实施不正当竟争或损害应用方利益的 情况; 供应方不存在利用应用方依赖性非法获利的情况 安全可控评价 5 5.1评价原则 5.1.1科学合理 评价指标覆盖产品安全可控的关键要素,分值设置科学,评价方法合理 5.1.2客观公正 评价指标客观无歧视,评价过程公平公正,同类信息技术产品评分规则统- 5.1.3知识产权保护 充分尊重供应方知识产权,保护供应方合法权益,评价过程中供应方知识产权不受侵害 5.2评价指标体系 5.2.1体系框架 为有效控制信息技术产品在安全可控方面面临的风险,实现安全可控保障目标,依据安全可控保障 要求制定了安全可控评价指标体系,具体包括优先评价项和一般评价项两大类 优先评价项指严重影响产品安全可控的指标项,该类指标项在评价开始时优先评价 在评价 a 过程中,若优先评价项不满足要求,则评价结果为0分,无需进行后续的一般评价项评价 是 否设置优先评价项、以及选择哪项指标作为优先评价项由该类信息技术产品自身技术特点决 定 例如可将中央处理器产品的知识产权设置为优先评价项,若发现被评价产品存在经司法 判决且未得到妥善处理解决的侵权行为.则按照优先评价项的判定原则.直接判定该中央处理 器产品安全可控评价结果为0分 -般评价项是针对信息技术产品全生命周期中可能面临的风险,设置的评价安全可控程度的 系列指标项 根据信息技术产品的生命周期将指标项划分为研发生产评价类、供应链评价 类、运维服务评价类三类 表2给出了各评价类对应的指标项及考查内容,并明确了各指标项 与安全可控保障目标的对应关系 本标准中,中央处理器、操作系统,办公套件,通用计算机等 具体信息技术产品依据自身技术特点和需求设置相应的一般评价项 各信息技术产品的指标 项应结合应用方关注点和专家论证结果,设置分档次的参考分值
GB/T36630.1一2018 表2一般评价项 评价类 指标项 数据支配权 考查内容 产品控制权 产品选择权 产品设计实现透产品涉及安全可控的核心 明性 技术 验证环境 产晶设计验证 验证充分性 验证结果与产品一致性 重现环境 研发生产 产品重现能力 重现充分性 评价类 重现结果与产品一致性 产品关键技术研发产品定制权限 能力 产品定制能力 安全可控产品适配性 产品安全生态适 接口开放性 应性 密码合规性 产品供应情况 产品持续供应能力 核心团队情况 产品交付管理 供应链评 价类 核心部件安全可控程度 产品供应链保障 供应链各环节的可追溯性和 能力 供应稳定性 服务及时性 产品服务保障能力 服务规范性 服务可持续性 数据收集 运维服务 数据传输 评价类 数据存储 数据处理规范性 数据处理 数据使用 数据销毁 5.2.2研发生产评价类 研发生产评价类主要包括产品设计实现透明性、产品设计验证、产品重现能力、产品关键技术研发 能力和产品安全生态适应性5个指标项 产品设计实现透明性指标主要验证产品中安全可控相关功能模块的实现是否与其声称的 a 致,可以通过供应方所提供材料进行评价,必要时可通过技术手段等方式进行评价 b) 产品设计验证指标主要验证产品硬件设计部分是否与实际产品一致,重点考查验证环境、验证
GB;/T36630.1一2018 充分性,以及验证结果与产品一致性等内容,必要时可通过技术手段等方式进行评价 产品重现能力指标主要验证产品软件设计实现部分是否与实际产品一致,重点考查重现环境 重现充分性,以及重现结果与产品一致性等内容,必要时可通过技术手段等方式进行评价 产品关键技术研发能力指标主要评价供应方对影响到安全可控的核心技术的掌握能力,重点 考查产品定制权限和产品定制能力等内容; 产品安全生态适应性指标主要评价产品与应用环境的适配性,重点考查安全可控产品适配性、 接口开放性、密码合规性等内容,本标准凡涉及密码算法的相关内容按国家有关法规实施,凡 涉及到采用密码技术解决保密性、完整性、真实性、不可否认性需求的遵循密码相关国家标准 和行业标准 5.2.3供应链评价类 供应链评价类主要包括产品持续供应能力和产品供应链保障能力2个指标项: 产品持续供应能力指标主要评价供应方具备持续供应产品的能力,重点考查产品供应情况、核 心团队情况、产品交付管理等内容 b 产品供应链保障能力指标主要评价供应方的供应链可靠性,重点考查核心部件安全可控程度、 供应链各环节的可追溯性和供应链稳定性等内容 5.2.4运维服务评价类 运维服务评价类主要包括产品服务保障能力和数据处理规范性2个指标项 产品服务保障能力指标主要评价供应方为应用方提供持续运维服务的能力,重点考查服务及 时性、服务规范性、服务可持续性等内容 b 数据处理规范性指标主要评价供应方对应用方数据的操作各环节的规范性,重点考查数据收 集,数据传输、数据存储、数据处理、数据使用和数据销毁等方面的操作规范性内容 5.3评价实施 5.3.1评价流程 评价流程主要包括评价准备、方案制定、现场实施、分析评估4个阶段 在评价准备阶段,评价实施方接收供应方提交的评价申请后,与供应方沟通所需的评价材料 a 包括拟提供的评价样品、材料和证据等,依据具体产品的评价指标审核供应方提供的评价材料 是否满足条件,通过审核后,组建评价实施团队,根据需要可设置专家组; 在方案制定阶段,评价实施方针对具体产品确定评价方法、程序和进度,形成评价方案 b 在现场实施阶段,评价实施方依据评价方案,结合供应方提供的评价材料逐项查验,必要时可 要求供应方补充相关材料,双方对现场实施结果进行确认; 在分析评估阶段,评价实施方依据现场实施情况对产品进行具体评价和打分 d 评价方法 5.3.2 评价实方在开展信息技朴产晶安全可控评价工作中应耀合采用访谈,脸查和渊试等基本详价方 法,以核实供应方所提供评价材料是否满足指标考查内容要求 访谈:评价实施方通过与供应方相关人员进行有针对性的交流以帮助理解、厘清或取得证据， 访谈的对象为个人或团体,如技术团队负责人核心技术工程师,采购部门负责人等; b 检查:评价实施方对供应方提供的相关材料进行观察、查验、分析以帮助理解、厘清或取得证 据,检查的对象为制度、文档和记录,如必要的技术设计文档、核心材料采购记录等
GB/T36630.1一2018 测试:评价实施方使用预定的方法/工具使测试对象产生特定的结果,并将运行结果与预期的 结果进行比对,测试的对象为信息技术产品的技术或功能特性,如安全可控产品适配性、重现 结果与产品一致性等 5.3.3评价结果 信息技术产品安全可控评价采取百分制,最低得分为0分,未能通过优先评价项的按照最低分计 分 ,最高得分为100分,即所有一般评价项所设定参考分值之和为100分 在评价过程中,评价实施方 可根据产品的实际情况,在参考分值的区间范围内给出各评价指标项的具体分值 各评价指标项分值 之和为该产品安全可控评价的结果,该结果可作为认定该产品安全可控程度的依据
GB;/T36630.1一2018 考文 参 献 GB/T18336.1一2015信息技术安全技术信息技术安全评估准则第1部分;简介和 -般模型 [2]GB/T18336.3一2015信息技术安全技术信息技术安全评估准则第3部分;安全保 障组件 [3]GB/T315092015信息安全技术信息安全风险评估实施指南 [门 GB/T329212016 信息安全技术信息技术产品供应方行为安全准则 [5]Iso28002.;201Seeuritymanagementsystemsforthe.supplychain一Developmentofre- silienceinthesupplychain [6ISO/IEC27034-l:2011lnformation tecehnlogy Securitytechniques Applieationseeuri -Part1:Overviewandconcepts IsO/IEC27036-1;201403-15Istecdition)InformationsecurityforsupplierrelationshipsPartl: Overviewandconcepts [8” NISTSpecialPublication800-161SupplyChainRiskManagementPraeticesforFederalln- formationSystemsandOrganizations GeneralDtaProteetionRegulation，REGUL.ATION(EU)2016/679O)FTHEEUR(OPEAN [9 PARLIAMENTANDOFTHEcoUuNC