安全可靠測評主要面向計算機(jī)終端和服務(wù)器搭載的中央處理器(CPU)、人工智能訓(xùn)練推理芯片�����、操作系統(tǒng)、數(shù)據(jù)庫�����,以及激光或噴墨打印機(jī)搭載的主控芯片�����。通過對產(chǎn)品及其研發(fā)單位的核心技術(shù)�����、安全保障�、持續(xù)發(fā)展等方面開展評估,評定產(chǎn)品的安全性和可持續(xù)性,實(shí)現(xiàn)對產(chǎn)品研發(fā)設(shè)計����、生產(chǎn)制造、供應(yīng)保障�、售后維護(hù)等全生命周期安全可靠性的綜合度量和客觀評價。
安全可靠測評堅持“自愿平等�、客觀公正”原則,由企業(yè)自愿向中國信息安全測評中心���、國家保密科技測評中心申請產(chǎn)品檢測�,測評結(jié)果由企業(yè)和用戶自主選擇使用��。
一�、測評申請
(一)申請流程
安全可靠測評申請流程分為材料提交�、材料審核、受理評審3個階段�。
圖1安全可靠測評申請流程
1.材料提交
(1)送測單位按照自主自愿原則,在受理期內(nèi)通過郵件方式向中國信息安全測評中心(pdtscc@mail.itsec.gov.cn)或國家保密科技測評中心(nsstecaqkk@163.com)提交《安全可靠測評申請登記表》掃描件(表格附后)����。
(2)測評機(jī)構(gòu)收到送測單位提交的《安全可靠測評申請登記表》后,5個工作日內(nèi)通知送測單位到指定地點(diǎn)領(lǐng)取測評申請材料清單��。
(3)送測單位根據(jù)測評申請材料清單在受理期內(nèi)向測評機(jī)構(gòu)提交相關(guān)材料����,并對材料的真實(shí)性負(fù)責(zé)���。
(4)受理期每年兩次,為1月第一個工作日至2月最后一個工作日和7月第一個工作日至8月最后一個工作日��。
2.材料審核
(1)測評機(jī)構(gòu)收到送測單位提交的申請材料后開展材料審核��,10個工作日內(nèi)向送測單位反饋審核意見�。
(2)通過材料審核的,進(jìn)入受理評審環(huán)節(jié)���。
(3)未通過材料審核的�,仍在受理期內(nèi)�����,送測單位可根據(jù)審核意見補(bǔ)充完善申請材料并重新提交�����。
(4)受理期截止后���,測評機(jī)構(gòu)不再接受送測單位提交的申請材料和補(bǔ)充材料���。
3.受理評審
(1)受理期截止后�,測評機(jī)構(gòu)根據(jù)送測單位提交的申請材料進(jìn)行受理評審�����,并向送測單位反饋受理評審結(jié)果����。
(2)通過受理評審的,測評機(jī)構(gòu)與送測單位明確測試樣品和測評材料有關(guān)要求���,核定測評工作量�����,確定測評費(fèi)用并簽訂測評協(xié)議�,進(jìn)入測評實(shí)施環(huán)節(jié)�。
(3)未通過受理評審或未達(dá)成測評協(xié)議的��,終止本次測評���。
(二)申請條件
送測單位應(yīng)為中國境內(nèi)注冊的實(shí)體�����,且滿足以下條件:
1.送測產(chǎn)品應(yīng)面向市場公開銷售或已投入實(shí)際使用�����;
2.具有送測產(chǎn)品完備的研發(fā)文檔���、設(shè)計資料�����、代碼數(shù)據(jù)和研發(fā)環(huán)境�����;
3.擁有送測產(chǎn)品相關(guān)的專利��、商標(biāo)���、著作權(quán)、集成電路布圖設(shè)計等知識產(chǎn)權(quán)之一����;
4.具備與送測產(chǎn)品研發(fā)設(shè)計��、生產(chǎn)制造��、供應(yīng)保障����、售后維護(hù)相匹配的人員隊伍和工作環(huán)境���;
5.不存在違反中國法律法規(guī)的行為和記錄���;
6.送測產(chǎn)品功能定性定位應(yīng)準(zhǔn)確,產(chǎn)品名稱應(yīng)與產(chǎn)品功能一致�,不同技術(shù)路線產(chǎn)品名稱應(yīng)有明確區(qū)分,不得誤導(dǎo)用戶�;
7.同類產(chǎn)品迭代升級,產(chǎn)品名稱應(yīng)保持連續(xù)性�����,非同類產(chǎn)品應(yīng)做明確區(qū)分�;
8.同一送測單位一個受理期內(nèi)最多送測中央處理器(CPU)、操作系統(tǒng)���、數(shù)據(jù)庫���、人工智能訓(xùn)練推理芯片、打印機(jī)主控芯片產(chǎn)品各兩款�。
二、測評實(shí)施
(一)測評流程
測評流程分為測評啟動��、測評開展�、結(jié)果評定3個階段。
圖2安全可靠測評流程
1.測評啟動
(1)送測單位自接到測評機(jī)構(gòu)通知起10個工作日內(nèi)提交測評材料����、測試樣品及樣機(jī)。
(2)測評機(jī)構(gòu)對送測單位提交的測評材料��、測試樣品及樣機(jī)確認(rèn)無誤后��,啟動測評�����。
2.測評開展
(1)測評主要包括材料核驗(yàn)�����、人員訪談、代碼審查�、環(huán)境審查、現(xiàn)場測試��、現(xiàn)場考核���、樣品測試等環(huán)節(jié)�。
(2)測評過程中���,送測單位應(yīng)及時響應(yīng)測評機(jī)構(gòu)需要����,提供技術(shù)支持或補(bǔ)充相關(guān)材料�����。若測試樣品出現(xiàn)問題導(dǎo)致測評無法正常開展��,送測單位應(yīng)及時更換或補(bǔ)充樣品��。
(3)自測評啟動之日起����,測評機(jī)構(gòu)原則上在90個工作日內(nèi)完成測評�。送測單位補(bǔ)充材料��、更換或補(bǔ)充樣品的時間不計入測評周期����。如遇特殊情況或受不可抗力影響�,測評周期可根據(jù)實(shí)際情況延長。
(4)若測評過程中發(fā)現(xiàn)送測產(chǎn)品存在影響或者可能涉及網(wǎng)絡(luò)安全法律法規(guī)的問題����,應(yīng)當(dāng)確認(rèn)送測產(chǎn)品符合相關(guān)法律法規(guī)后,再繼續(xù)開展測評��。
(5)若測評過程中發(fā)現(xiàn)送測單位存在隱瞞����、欺騙、提交虛假材料��、夸大產(chǎn)品代碼自主量超過60%���、不配合測評等行為�����,測評機(jī)構(gòu)終止本次測評��,作不通過處理�����,且兩年內(nèi)不再受理其測評申請���。
3.結(jié)果評定
測評完成后��,測評機(jī)構(gòu)對測評情況進(jìn)行分級評定��,出具安全可靠測評結(jié)果�。
(二)測評主要內(nèi)容
1.針對送測產(chǎn)品:
(1)設(shè)計�、開發(fā)、生產(chǎn)等關(guān)鍵環(huán)節(jié)在中國境內(nèi)完成的情況�����,以及實(shí)施必要的安全防護(hù)措施的情況���;
(2)遵守中華人民共和國知識產(chǎn)權(quán)相關(guān)法律法規(guī)����、行業(yè)標(biāo)準(zhǔn)規(guī)范的情況,履行開源許可協(xié)議���、授權(quán)許可合同的要求的情況���;
(3)不存在未聲明功能和已知安全風(fēng)險的情況��;
(4)安全風(fēng)險防護(hù)能力的情況��;
(5)供應(yīng)鏈安全性和持續(xù)穩(wěn)定性的情況�����;
(6)服務(wù)保障安全性����、持續(xù)穩(wěn)定性和可追溯性的情況;
(7)符合中華人民共和國網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)及技術(shù)標(biāo)準(zhǔn)的情況��;
(8)滿足技術(shù)要件對測評機(jī)構(gòu)充分公開和可追溯的情況��。
2.針對送測單位:
(1)依據(jù)中華人民共和國相關(guān)法律法規(guī)合法合規(guī)運(yùn)營����,具備相關(guān)的運(yùn)營��、研發(fā)�、管理��、服務(wù)等資質(zhì)的情況����;
(2)依據(jù)中華人民共和國相關(guān)法律法規(guī)實(shí)施知識產(chǎn)權(quán)保護(hù)及管理的情況;
(3)依據(jù)中華人民共和國相關(guān)法律法規(guī)對核心數(shù)據(jù)��、重要數(shù)據(jù)進(jìn)行保護(hù)的情況����;
(4)供應(yīng)鏈服務(wù)的情況或風(fēng)險;
(5)具備與送測產(chǎn)品研發(fā)設(shè)計����、生產(chǎn)制造、供應(yīng)保障����、售后維護(hù)相匹配的人員隊伍的情況;
(6)具備產(chǎn)品定制開發(fā)能力�����,能夠基于自身產(chǎn)品構(gòu)建產(chǎn)業(yè)生態(tài),保持生態(tài)開放性�����、透明性���,滿足各種應(yīng)用場景需求的情況��;
(7)具備漏洞響應(yīng)等能力與管理機(jī)制的情況��;
(8)具備及時有效的售后服務(wù)能力與管理機(jī)制的情況;
(9)具備送測產(chǎn)品的獨(dú)立研發(fā)能力�����,且擁有相關(guān)知識產(chǎn)權(quán)保護(hù)的情況���;
(10)具備送測產(chǎn)品的研發(fā)環(huán)境及過程記錄的情況����;
(11)確保測評材料對測評機(jī)構(gòu)充分公開和可追溯�。
三、結(jié)果查詢
1.送測單位可通過中國信息安全測評中心(網(wǎng)址:www.itsec.gov.cn)和國家保密科技測評中心(網(wǎng)址:www.nsstec.org.cn)官方網(wǎng)站查詢測評結(jié)果,測評結(jié)果自發(fā)布之日起有效期3年�。
2.測評結(jié)果有效期內(nèi),若送測單位出現(xiàn)實(shí)控人或控股權(quán)發(fā)生變化����、產(chǎn)品技術(shù)路線更換、產(chǎn)品被發(fā)現(xiàn)重大安全漏洞等可能影響測評結(jié)果的情形����,送測單位應(yīng)及時告知測評機(jī)構(gòu)。未及時告知的��,測評機(jī)構(gòu)有權(quán)視情處置���,直至取消產(chǎn)品測評結(jié)果���。
3.送測單位對測評結(jié)果有異議,在結(jié)果發(fā)布30個工作日內(nèi)�,采用書面方式向測評機(jī)構(gòu)提出申訴。一般情況下���,測評機(jī)構(gòu)30個工作日內(nèi)予以答復(fù)���。
4.未通過測評的產(chǎn)品�����,如在供應(yīng)鏈安全�、核心技術(shù)掌控�����、知識產(chǎn)權(quán)��、抵御安全風(fēng)險等方面取得重要進(jìn)展��,可在受理期內(nèi)重新申請送測���。兩次未通過測評的��,兩年內(nèi)不再受理其同類產(chǎn)品測評申請。
四��、保密承諾
1.測評機(jī)構(gòu)對在測評工作中知悉的商業(yè)秘密和未公開材料承擔(dān)保密義務(wù)�,承諾不侵犯送測單位的知識產(chǎn)權(quán)。
2.送測單位應(yīng)對測評工作涉及的未公開事項承擔(dān)保密義務(wù)�����,不公開宣傳、報道����,不向第三方泄露。
五�����、參考依據(jù)
1.《中華人民共和國國家安全法》
2.《中華人民共和國網(wǎng)絡(luò)安全法》
3.《中華人民共和國數(shù)據(jù)安全法》
4.《中華人民共和國個人信息保護(hù)法》
5.《中華人民共和國保守國家秘密法》
6.《中華人民共和國密碼法》
7.《中華人民共和國專利法》
8.《中華人民共和國商標(biāo)法》
9.《中華人民共和國著作權(quán)法》
10.《中華人民共和國反壟斷法》
11.《計算機(jī)軟件保護(hù)條例》
12.《集成電路布圖設(shè)計保護(hù)條例》
13.《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》
14.《網(wǎng)絡(luò)安全審查辦法》
15.《數(shù)據(jù)出境安全評估辦法》
16.《商用密碼應(yīng)用安全性評估管理辦法》
17.《知識產(chǎn)權(quán)對外轉(zhuǎn)讓有關(guān)工作辦法(試行)》
18.《商標(biāo)一般違法判斷標(biāo)準(zhǔn)》
19.《商標(biāo)侵權(quán)判斷標(biāo)準(zhǔn)》
20.《不可靠實(shí)體清單規(guī)定》
21.《國家知識產(chǎn)權(quán)局知識產(chǎn)權(quán)信用管理規(guī)定》
22.GB/T 18336-2024《信息技術(shù)安全評估準(zhǔn)則》
23.GB/T 29490-2023《企業(yè)知識產(chǎn)權(quán)合規(guī)管理體系要求》
24.GB/T 37286-2019《知識產(chǎn)權(quán)分析評議服務(wù)—服務(wù)規(guī)范》
25.GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》
26.GB/T 25070-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計技術(shù)要求》
27.GB/T 28448-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評要求》
28.GB/T 39786-2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》
| | | |
| CPU、操作系統(tǒng)��、數(shù)據(jù)庫 | 新增:? 人工智能訓(xùn)練推理芯片? 打印機(jī)主控芯片(激光/噴墨) | 覆蓋范圍擴(kuò)展至AI硬件芯片和打印設(shè)備芯片�,范圍擴(kuò)大。 |
| 3. 需擁有知識產(chǎn)權(quán)(含申請中) | 1. 調(diào)整為“面向市場公開銷售或已投入實(shí)際使用”3. 刪除“含申請”表述 → 必須已獲授權(quán)的知識產(chǎn)權(quán)8. 新增AI芯片����、打印機(jī)主控芯片 → 五類產(chǎn)品各限兩款 | 1、允許未上市但已部署的產(chǎn)品送測����,降低新廠商準(zhǔn)入門檻����。2����、提高知識產(chǎn)權(quán)門檻,避免用“申請中”專利充數(shù)��。3����、企業(yè)需合理規(guī)劃多品類送測策略 |
| | | |
| | 測評啟動:明確要求提交測評材料��、測試樣品及樣機(jī) | 新增樣機(jī)提交要求�����,強(qiáng)化實(shí)物驗(yàn)證環(huán)節(jié) |
| 測評開展:新增“樣機(jī)”作為測試對象(與樣品并列) | 對硬件類產(chǎn)品(如芯片、打印機(jī))增加實(shí)機(jī)測試環(huán)節(jié) |
| | 3. 新增時限:需在結(jié)果發(fā)布30個工作日內(nèi)提出申訴 | |
| 4. 兩次未通過測評 → 兩年內(nèi)禁測同類產(chǎn)品 | 4. 兩次未通過 → 兩年內(nèi)禁測“該類別產(chǎn)品”(如CPU���、AI芯片等獨(dú)立計算) | 懲戒更精準(zhǔn)�,避免企業(yè)用同類產(chǎn)品反復(fù)試錯 |
| 22. GB/T 18336-2015《信息技術(shù)安全評估準(zhǔn)則》 | | |
| 16. 《商用密碼應(yīng)用安全性評估管理辦法(試行)》 | | |
| 未明確申訴時限 | 新增:測評結(jié)果自發(fā)布之日起有效期3年(首次明確) | 為企業(yè)提供明確的認(rèn)證周期規(guī)劃依據(jù) |
文章來源:中國信息安全測評中心/密碼頭條
0531-67800866