5.3 评价实施

5.3.1 评价流程

评价流程主要包括评价准备、方案制定、现场实施、分析评估4个阶段:

a) 在评价准备阶段,评价实施方接收供应方提交的评价申请后,与供应方沟通所需的评价材料,包括拟提供的评价样品、材料和证据等,依据具体产品的评价指标审核供应方提供的评价材料是否满足条件,通过审核后,组建评价实施团队,根据需要可设置专家组;

a) 在方案制定阶段,评价实施方针对具体产品确定评价方法、程序和进度,形成评价方案;

b) 在现场实施阶段,评价实施方依据评价方案,结合供应方提供的评价材料逐项核查,必要时可要求供应方补充相关材料,双方对现场实施结果进行确认;

c) 在分析评估阶段,评价实施方依据现场实施情况对产品进行具体评价和打分。

5.3.2 评价方法

评价实施方在开展信息技术产品安全可控评价工作中应综合采用访谈、检查和测试等基本评价方法,以核实供应方所提供评价材料是否满足指标考查内容要求:

a) 访谈:评价实施方通过与供应方相关人员进行有针对性的交流以帮助理解、厘清或取得证据,访谈的对象为个人或团体,如技术团队负责人、核心技术工程师、采购部门负责人等;

b) 检查:评价实施方对供应方提供的相关材料进行观察、查验、分析以帮助理解、厘清或取得证据,检查的对象为制度、文档和记录,如必要的技术设计文档、核心材料采购记录等;

c) 测试:评价实施方使用预定的方法/工具使测试对象产生特定的结果,并将运行结果与预期的结果进行比对,测试的对象为信息技术产品的技术或功能特性,如安全可控产品适配性、重现结果与产品一致性等。

5.3.3 评价结果

信息技术产品安全可控评价采取百分制,最低得分为0分,未能通过优先评价项的按照最低分计分,最高得分为100分,即所有一般评价项所设定参考分值之和为100分。在评价过程中,评价实施方可根据产品的实际情况,在参考分值的区间范围内给出各评价指标项的具体分值。各评价指标项分值之和为该产品安全可控评价的结果,该结果可作为认定该产品安全可控程度的依据。

本文章首发在 网安wangan.com 网站上。

上一篇 下一篇
讨论数量: 0
只看当前版本


暂无话题~