国家信息安全测评信息安全产品自主原创测评白皮书Word格式文档下载.doc
- 文档编号:15261429
- 上传时间:2022-10-28
- 格式:DOC
- 页数:19
- 大小:464KB
国家信息安全测评信息安全产品自主原创测评白皮书Word格式文档下载.doc
《国家信息安全测评信息安全产品自主原创测评白皮书Word格式文档下载.doc》由会员分享,可在线阅读,更多相关《国家信息安全测评信息安全产品自主原创测评白皮书Word格式文档下载.doc(19页珍藏版)》请在冰豆网上搜索。
2.1.2公平、公正、保密 3
2.1.3成熟的技术 3
2.2业务需求 3
2.2.1支持自主产权 3
2.2.2经济发展需要 3
2.2.3政策措施完善 3
2.3依据标准 4
第3章自主原创测评方法介绍 5
3.1企业自主原创环境和能力测评 5
3.1.1企业资质考查 5
3.1.2企业管理状况考查 6
3.1.3企业产品研发生产环境和过程 7
3.2产品自主原创资质和技术测评 8
3.2.1产品资质 8
3.2.2产品安全性测评 8
3.2.3产品核心技术同源性分析 8
3.3自主原创测评内容综述 9
第4章自主原创测评流程介绍 10
4.1自主原创测评流程综述 10
4.2资料提交和说明 12
4.2.1业务受理阶段(申请书)所需提交的资料 12
4.2.2测评实施阶段(启动通知单)所需提交的资料 13
4.3自主原创测评业务接口说明 13
4.3.1测评内容 14
4.3.2人员及时间 15
4.3.3监督测评 15
4.3.4代码托管 15
4.4业务输出 15
-II-
中国信息安全测评中心
信息安全产品自主原创测评白皮书,V1.0
第1章简介
1.1引言
当今世界,国家的核心竞争力越来越表现为对智力资源和智慧成果的培育、配置、调控能力,表现为对知识产权的拥有、运用能力。
因此,加强我国自主知识产权的建设,大力提高对知识产权的创造、管理、保护、运用能力,是完善社会主义市场经济体制、规范市场秩序和建立诚信社会的迫切需要,是增强我国企业市场竞争力、提高国家核心竞争力的迫切需要。
面对世界经济科技发展的趋势,面对日趋激烈的国际竞争,我国正在以科学发展观大力增强自主创新能力,不断提高我国的国际竞争力和抗风险能力,推动我国社会经济的快速发展。
建立和完善知识产权保护体系,是加快科学技术创新、实施科教兴国战略的内在要求,也是我国全面建设小康社会进程中所面临的重大历史任务。
支持和保护我国信息安全产品的核心技术原创性,既增强了我国的科技实力和国际竞争力,也维护了国家利益和经济等方面的安全,为我国进入创新型国家行列提供强有力的支撑。
目前,我国社会的信息化高速发展,电子政务、电子商务等已逐渐成为了新的工作和生活方式。
同时,信息安全产品在我国经济建设中的作用越来越突出,涉及了从保护个人的隐私、企业的商业秘密,到保护国家的机密等各个方面。
因此,加强我国信息安全产品的核心技术原创性建设尤为迫切。
1.2目的和意义
信息安全产品自主原创测评是适应我国经济社会发展的需要,是适应国际知识产权保护的发展趋势,鼓励信息安全产业的自主创新和维护权利人合法权益的重要举措。
自主原创测评业务的目的是鼓励信息安全产业开发拥有自主核心技术和自主知识产权的信息安全产品,加强信息安全知识产权服务系统的建设,加快建立健全信息安全产业的知识产权服务体系,促进自主创新成果的知识产权化、商品化、产业化。
信息安全产品自主原创测评的根本目的是促进高质量、安全和自主可控的IT产品的开发,其具体的目的和意义包括:
1)积极落实国家的自主创新政策,扶持具有一定自主创新能力的民族信息安全企业,促进中国信息安全产业的发展。
2)有助于在涉及国家安全的信息安全领域中加强产品和服务的安全性和可控性,维护国家和用户的安全利益。
3)引导和鼓励民族信息安全企业的自主研发,使企业发展进入良性循环,提高民族信息安全产业的整体技术水平。
4)促进中国信息安全市场的优胜劣汰机制的建立和完善,规范市场。
5)帮助企业加强自主创新和保护知识产权的意识,提高企业信息安全产品和服务的自主创新能力和水平。
1.3业务范围
除下列产品外的所有信息安全产品:
l国外品牌产品
l非自主研发的开源产品;
l不具有完全知识产权的非自主研发的产品;
l其他不符合政策和技术要求的产品。
第2章自主原创测评业务介绍
2.1业务特点
2.1.1国家权威
中心多年来依据国家授权对外开展信息安全产品业务,代表国家对信息安全产品的最高认可,出具的证明报告具有极高的权威性。
2.1.2公平、公正、保密
中心是第三方的独立测评机构,不代表任何商业组织的利益,出具的测评报告以事实为依据,以公平、公正为准则。
我中心有成熟和完善的代码管理控制机制,可对厂家送测的产品源代码进行保密处理,防止其外泄。
2.1.3成熟的技术
中心长期以来从事信息安全工作,拥有广泛的客户群体,掌握一手的行业信息,积累了丰富的产品测评、研发、评估经验,这些领域内的实践经验应用到此项业务中,能够很好的支持该业务的发展。
2.2业务需求
2.2.1支持自主产权
支持对我国经济发展具有带动作用的信息安全核心技术和关键设备的自主知识产权,支持拥有核心技术、打造知名品牌、具有国际竞争力的信息安全企业。
2.2.2经济发展需要
适应我国经济社会发展的需要,适应国际知识产权保护的发展趋势,从行政方面鼓励信息安全产业的自主创新和维护权利人合法权益。
2.2.3政策措施完善
完善信息安全产业自主知识产权保护和运用的政策措施,加强信息安全知识产权服务体系的建设,加快建立健全信息安全产业的知识产权服务体系,促进自主创新成果的知识产权化、商品化、产业化。
2.3依据标准
此项业务的主要依据标准:
1. 信息安全产品测评相关国家标准,包括《GB/T18336-2001信息技术安全性评估准则》等;
2. 国家知识产权相关政策、法规和标准指南。
第3章自主原创测评方法介绍
自主原创测评方法主要从企业和产品两个层面来进行测评:
1. 企业自主原创环境和能力测评:
从企业性质、企业管理状况、企业产品研发生产环境和过程三方面测评企业自主原创环境和能力;
2. 产品自主原创资质和技术测评:
从产品资质、产品安全性测评和产品核心技术同源性分析三方面测评送测产品的质量、安全和自主可控性。
3.1企业自主原创环境和能力测评
产品研发生产企业是否具备相应的资质,是否具有完善的管理体系,是否具有自主研发的环境和能力,是自主原创业务需要测评的首要方面。
在企业层面上,自主原创测评将从企业性质、企业管理状况、企业产品研发过程三方面测评企业自主原创环境和能力。
3.1.1企业资质考查
在企业资质考查中,主要考查企业性质和企业的相关资质文件。
一、企业性质
本测评方法适用于从事信息安全产品研发和生产的国内独资企业和国内控股的合资企业,不适用于外商独资企业和国外控股的合资企业。
答复:
考虑保护国内产品,目前产品作自主原创证明测评仅针对国内厂家。
其中含(申报内容,投资方各占股份)
根据资本性质,目前我国主要存在三种类型的信息安全企业:
国内独资企业、中外合资企业、外商独资企业。
其中国内独资企业、国内具有控股权的合资企业是本评价方法的适用对象,外商独资企业、国外具有控股权的合资企业不是本评价方法的适用对象。
在本测评方法中,主要通过对企业法人营业执照的考查,来审查企业的法人身份、注册资金、企业类型、经营范围等内容。
二、资质证明
企业需提供各种资质文件用于审查,这些文件将作为企业自主原创环境和能力的辅助依据。
企业需提交的资质证书包括政府或行业协会等单位颁发的企业能力资质证书,包括质量管理体系证书等。
在本测评方法中,主要通过对企业提交的相关资质证书进行考查,考查企业的质量、软件开发等方面的资格和能力。
3.1.2企业管理状况考查
企业的决策层是否具有进取和创新精神,对企业的发展和产品的定位有很大的影响。
企业的发展战略规划、科技人员队伍的建设、管理制度的制定等方面能够体现出企业的自主创新意识。
通过考察企业的管理状况,来了解企业是否具有长远的、创新的发展战略,是否具有稳定的、有创新能力的科技队伍,是否制定了具有激励机制的制度。
在企业管理状况考查,主要从以下方面进行考查:
一、企业的发展战略和规划
企业提供发展战略和规划文件,考察其发展战略规划的内容是否充实、有效,是否与其经营范围、企业资质等相符,是否符合信息安全行业的发展趋势和市场需求。
通过与企业的各级别人员进行交流,考察企业的发展战略和规划是否在企业内部进行了正确、及时的传达和实施。
二、 企业的管理制度
企业提供管理制度文件,其管理制度要符合企业战略规划的精神,要具有使企业从上至下都能够自主创新的效力。
管理制度主要包括内部职能、奖惩制度、知识产权保护制度及其他制度等方面。
1) 内部职能的设置。
考察企业各部门、各机构的职能设置是否合理,是否满足企业发展的需要,是否能够促进核心技术原创性的创新、发展和保护。
2) 薪酬及奖惩制度
n考察薪酬制度是否能够激发员工的积极性。
n考察是否有奖励制度鼓励员工关注产品的创新和发展。
3) 知识产权保护制度
n考察企业是否对信息资产进行分类和分级,而且涉及知识产权技术的资产处于什么样的类别和级别。
n考察企业是否采取了法律约束、内部规定、技术手段等措施来保证自有的技术、资料等信息在有效期内不被泄漏给其他企业。
4) 运营制度。
企业依据其实际情况而制定的与企业运营相关的制度,考察其是否具有激发员工自主创新意识的机制,是否能够在企业的运营过程中促进产品核心技术的创造、管理、保护、运用。
如:
要求非生产研发部门能够积极主动的配合生产研发部门的创新工作,等等。
三、企业科技人员队伍的建设
信息安全行业有人员流动较频繁的特点,而且技术、知识、甚至是源代码也随之流动。
这样,技术人员的流动有可能把一个企业的核心技术带到了其他企业。
因此要考察企业科技人员队伍的建设情况,包括如下方面:
1) 考察科技人员队伍的结构和规模是否满足企业发展和产品生产的需求。
2) 考察企业与科技人员之间的保密协议。
3) 考察科技人员自身的保密意识及对保密制度的执行情况。
4) 考察企业的人事档案,了解企业的科技人员的流动情况。
5) 考察企业的科研部门主管、高层技术人员等涉及企业核心技术的科研人员的工作经历及技术档案。
6) 考察企业的保密措施、实施情况以及实施效果。
四、对外合作
如果企业有合作单位,需其提供与合作单位相关的文件。
要审查的文件包括合作单位的企业资质及证明、双方的合作合同、双方的保密协议等。
进而确认合作单位是否触及产品的核心技术。
3.1.3企业产品研发生产环境和过程
企业产品研发生产环境和过程的考查,是自主原创测评的基础和重要依据。
在对企业产品研发生产环境和过程的静态评审和现场考查中,将考查并提供企业自主原创的主要证据,支持高质量、安全和自主可控产品测评的证明。
在企业产品研发生产环境和过程的考查中,主要考查以下过程和环境:
一、产品设计环境和过程
通过查看企业提交的产品设计文档,访谈产品设计人员,包括产品需求分析文件、概要设计文档等,了解熟悉产品的设计初衷、设计思路等,确认产品原创的设计依据。
二、产品研发环境和过程
查看产品的详细设计和研发流程文档,确认产品的结构,以及研发各个模块的任务分配情况。
考查企业的研发环境,访谈产品研发人员,确认研发人员的情况是否与任务分配的一致,是否使用了配置管理系统,产品在研发过程中代码或文档的各版本是否与记录一致。
三、
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 国家 信息 安全 测评 安全产品 自主 原创 白皮书