5.2 评价指标体系

5.2.1 体系框架

为有效控制信息技术产品在安全可控方面面临的风险,实现应用方对信息技术产品在数据支配权、产品控制权和产品选择权三方面的安全可控保障目标,本标准制定了安全可控评价指标体系。其中,影响应用方数据支配权的主要风险来自数据收集、传输、存储、处理、使用、销毁等环节,为有效控制相关风险需确保产品数据相关实现与其声称功能一致、数据相关服务合规,标准设置了产品设计实现透明性、产品重现能力、数据处理规范性等指标项;影响应用方设备控制权的风险主要来自产品研发生产、供应、运维服务等环节,为有效控制相应风险需确保产品控制相关实现与其声称功能一致、控制相关服务合规,标准设置了产品设计实现透明性、产品设计验证等指标项;影响应用方产品选择权的风险主要来自供应链、运维服务等环节,为有效控制相应风险需确保产品的持续供应、正常使用,标准设置了产品持续供应能力、产品供应链保障能力、产品服务保障能力等指标项。
本标准设置的信息技术产品安全可控评价指标包括优先评价项和一般评价项两大类:
——优先评价项指严重影响产品安全可控的指标项,该类指标项在评价开始时优先评价。在评价过程中,一旦优先评价项生效,则评价结果为0分,无需进行后续的一般评价项评价。是否设置优先评价项、以及选择哪项指标作为优先评价项由该类信息技术产品自身技术特点决定。例如可将中央处理器产品的知识产权设置为优先评价项,若发现被评价产品存在经司法判决且未得到妥善处理解决的侵权行为,则按照优先评价项的判定原则,直接判定该中央处理器产品安全可控评价结果为0分。
——一般评价项是针对信息技术产品全生命周期中可能面临的风险,设置的评价安全可控程度的一系列指标项。根据信息技术产品的生命周期将指标项划分为研发生产评价类、供应链评价类、运维服务评价类三类。表2给出了各评价类对应的指标项及考查内容,并明确了各指标项与安全可控保障目标的对应关系。本系列标准中,中央处理器、操作系统、办公套件、通用计算机等具体信息技术产品依据自身技术特点和需求设置相应的一般评价项。各信息技术产品的指标项应结合应用方关注点和专家论证结果,设置分档次的参考分值。
.

5.2.2 研发生产评价类

研发生产评价类主要包括产品设计实现透明性、产品设计验证、产品重现能力、产品关键技术研发能力和产品安全生态适应性5个指标项:

a) 产品设计实现透明性指标主要验证产品中安全可控相关功能模块的实现是否与其声称的一致,可以通过供应方所提供材料进行评价,必要时可通过技术手段等方式进行评价;

a) 产品设计验证指标主要验证产品硬件设计部分是否与实际产品一致,重点考查验证环境、验证充分性,以及验证结果与产品一致性等内容,必要时可通过技术手段等方式进行评价;

b) 产品重现能力指标主要验证产品软件设计实现部分是否与实际产品一致,重点考查重现环境、重现充分性,以及重现结果与产品一致性等内容,必要时可通过技术手段等方式进行评价。

c) 产品关键技术研发能力指标主要评价供应方对影响到安全可控的核心技术的掌握能力,重点考查产品定制权限和产品定制能力等内容;

d) 产品安全生态适应性指标主要评价产品与应用环境的适配性,重点考查安全可控产品适配性、接口开放性、密码合规性等内容,其中密码合规性主要考查涉及到采用密码技术解决保密性、完整性、真实性、不可否认性需求的产品是否遵循密码相关国家标准和行业标准。

5.2.3 供应链评价类

供应链评价类主要包括产品持续供应能力和产品供应链保障能力2个指标项:

a) 产品持续供应能力指标主要评价供应方具备持续供应产品的能力,重点考查产品供应情况、核心团队情况、产品交付管理等内容;

b) 产品供应链保障能力指标主要评价供应方的供应链可靠性,重点考查核心部件安全可控程度、供应链可追溯性、供应链稳定性等内容。

5.2.4 运维服务评价类

运维服务评价类主要包括产品服务保障能力和数据处理规范性2个指标项:

a) 产品服务保障能力指标主要评价供应方为应用方提供持续运维服务的能力,重点考查服务及时性、服务可持续性、服务质量和服务规范性等内容;

b) 数据处理规范性指标主要评价供应方对应用方数据的操作各环节的规范性,重点考查数据收集、数据传输、数据存储、数据处理、数据使用和数据销毁等方面的操作规范性内容。

本文章首发在 网安wangan.com 网站上。

上一篇 下一篇
讨论数量: 0
只看当前版本


暂无话题~