犐犆犛35.040 犔80 中华人民共和国密码行业标准 犌犕/犜0065—2019 商用密码产品生产和保障能力建设规范 犛狆犲犮犻犳犻犮犪狋犻狅狀犳狅狉犮犪狆犪犫犻犾犻狋狔犮狅狀狊狋狉狌犮狋犻狅狀狅犳狆狉狅犱狌犮狋犻狅狀犪狀犱犵狌犪狉犪狀狋犲犲犳狅狉 犮狅犿犿犲狉犮犻犪犾犮狉狔狆狋狅犵狉犪狆犺犻犮狆狉狅犱狌犮狋狊 20190712 发布 20190712 实施 国家密码管理局 发 布 犌犕/犜0065—2019 目 次 前言 ………………………………………………………………………………………………………… Ⅲ 引言 ………………………………………………………………………………………………………… Ⅳ 1 范围 ……………………………………………………………………………………………………… 1 2 规范性引用文件 ………………………………………………………………………………………… 1 3 术语和定义 ……………………………………………………………………………………………… 1 4 评估要素 ………………………………………………………………………………………………… 1 4.1 基本项 ……………………………………………………………………………………………… 1 4.2 声明项 ……………………………………………………………………………………………… 2 4.3 评估项 ……………………………………………………………………………………………… 2 5 基本项要求 ……………………………………………………………………………………………… 3 5.1 法人资格 …………………………………………………………………………………………… 3 5.2 主要技术人员 ……………………………………………………………………………………… 3 5.3 产品研发 …………………………………………………………………………………………… 3 5.4 行业管理遵从 ……………………………………………………………………………………… 3 6 声明项要求 ……………………………………………………………………………………………… 3 6.1 关键人员信息 ……………………………………………………………………………………… 3 6.2 单位性质 …………………………………………………………………………………………… 4 6.3 数据管理 …………………………………………………………………………………………… 4 7 评估项要求 ……………………………………………………………………………………………… 4 7.1 生产能力 …………………………………………………………………………………………… 4 7.1.1 技术力量 ……………………………………………………………………………………… 4 7.1.2 生产管理 ……………………………………………………………………………………… 4 7.1.3 生产条件 ……………………………………………………………………………………… 5 7.1.4 生产工艺与流程 ……………………………………………………………………………… 5 7.2 质量保障能力 ……………………………………………………………………………………… 5 7.2.1 制度保障 ……………………………………………………………………………………… 5 7.2.2 开发过程质量管理 …………………………………………………………………………… 6 7.2.3 质量问题管理 ………………………………………………………………………………… 6 7.2.4 持续改进产品质量措施 ……………………………………………………………………… 6 7.3 安全保障能力 ……………………………………………………………………………………… 6 7.3.1 组织保障 ……………………………………………………………………………………… 6 7.3.2 安全管理 ……………………………………………………………………………………… 7 7.4 服务保障能力 ……………………………………………………………………………………… 8 7.4.1 制度保障 ……………………………………………………………………………………… 8 7.4.2 应急响应能力 ………………………………………………………………………………… 8 7.4.3 服务响应方式 ………………………………………………………………………………… 8 Ⅰ 犌犕/犜0065—2019 前 言 本标准根据 GB/T1.1—2009 给出的规则起草 。 本标准由密码行业标准化技术委员会提出并归口 。 本标准起草单位 :北京中电华大电子设计有限责任公司 、格尔软件股份有限公司 、兴唐通信科技有 限公司 、国家密码管理局商用密码检测中心 、北京三未信安科技发展有限公司 、天地融科技股份有限公 司 、成都卫士通信息产业股份有限公司 、北京市密码管理局 、上海市密码管理局 、广东省密码管理局 。 本标准主要起草人 :周建锁 、叶枫 、赵闪 、罗鹏 、冯育晖 、韩小平 、杨耀华 、高志权 、熊云 、李立勋 、马飞 、 郑强 、李明 、曲志华 、杨阳 。 Ⅲ 犌犕/犜0065—2019 引 言 密码是网络和信息安全的核心技术和基础支撑 ,是保障国家安全 、推动经济发展和维护公众利益的 战略性资源 。 商用密码产品是密码技术的实现载体 ,为应用提供机密性 、完整性 、不可否认性等安全保 障 。 国家对销售或者在经营活动中使用的商用密码产品实施许可 。 根据《商用密码管理条例》的相关要求 ,商用密码产品研制生产单位必须具备独立的法人资格 ,具有 与开发 、生产商用密码产品相适应的技术力量和场所 ,具有确保商用密码产品质量的设备 、生产工艺和 质量保证体系 ,满足法律 、行政法规规定的其他条件 。 为了对商用密码产品生产单位的生产和保障能力建设提供统一 、客观的标准 ,为了生产单位对自身 技术力量 、场所 、设备 、生产工艺和质量保证能力有较为全面的把握 ,制定本标准 。 本标准从评估的角度 对商用密码产品生产单位相关能力建设提出要求 ,也可用于第三方机构对商用密码产品生产单位进行 评估 。 建设规范包含本标准和《商用密码产品生产和保障能力建设实施指南》,本标准规定了基本项 、声 明项和评估项等要素及要求 ;《商用密码产品生产和保障能力建设实施指南 》包含评估方法 、评估程序 、 评估报告和实施要点 。 Ⅳ 犌犕/犜0065—2019 商用密码产品生产和保障能力建设规范 1 范围 本标准规定了商用密码产品生产和保障能力的评估要素和评估要求 。 本标准适用于对商用密码产品生产单位的生产能力 、质量保障能力 、安全保障能力和服务保障能力 进行能力建设及核查 。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ,仅注日期的版本适用于本文 件 。 凡是不注日期的引用文件 ,其最新版本(包括所有的修改单)适用于本文件 。 GM/Z4001 密码术语 商用密码管理条例 3 术语和定义 GM/Z4001 界定的以及下列术语和定义适用于本文件 。 3.1 主要技术人员 犿犪犻狀狋犲犮犺狀犻犮犪犾狆犲狉狊狅狀狀犲犾 从事商用密码产品设计 、实现 、检测或测试及技术支持工作的人员 。 3.2 关键人员 犮狉狌犮犻犪犾狆犲狉狊狅狀狀犲犾 包括法定代表人 、实际控制人 、高层管理人员 、技术负责人 。 3.3 关键岗位 犮狉狌犮犻犪犾狆狅狊犻狋犻狅狀 对研发 、生产和管理活动具有重要作用 ,对结果的质量有显著影响 ,甚至能决定结果成败的岗位 。 3.4 密码核心技术 犮狅狉犲犮狉狔狆狋狅犵狉犪狆犺犻犮狋犲犮犺狀狅犾狅犵狔 商用密码产品中使用的实现密码核心功能的技术 。 3.5 密码固件 犮狉狔狆狋狅犵狉犪狆犺犻犮犳犻狉犿狑犪狉犲 密码边界内的硬件中 、执行期间不能被动态写入或修改的程序与数据组成部分 。 如存储硬件 ,包括 但不限于 ROM、PROM、EEPROM 与 FLASH。 4 评估要素 4.1 基本项 基本项是商用密码产品生产单位应达到的基本条件 ,包括法人资格 、主要技术人员 、研发产品和行 1 犌犕/犜0065—2019 业管理遵从项 。 4.2 声明项 声明项是商用密码产品生产单位做出的特别说明 ,包括生产单位关键人员信息 、单位性质和数据 管理 。 4.3 评估项 评估项是商用密码产品和生产保障能力评估的具体量化指标 ,生产单位参照评估项提高自身的商 用密码产品生产和保障能力 。 评估要求具体指标参见表 1。 表 1 评估指标 一级指标 二级指标 技术力量 生产能力 生产管理 生产条件 生产工艺与流程 三级指标 人力资源 主要技术团队 技术积累及优势 技术创新 研发工具和设备 试验测试条件 岗位设置 制度保障 管理系统 供应管理 生产场所 生产设备 生产外协 生产技术管理 批量生产和检测能力 生产外协 制度保障 质量保障能力 开发过程质量管理 开发与测试体系 研发过程管理 版本管理 质量问题管理 持续改进产品质量措施 安全保障能力 2 组织保障 领导力承诺 建立组织机制 人力资源安全 犌犕/犜0065—2019 表 1 (续 ) 一级指标 二级指标 安全保障能力 安全管理 服务保障能力 三级指标 安全生产制度保障 物理和环境安全 计算机和网络安全 访问控制 介质控制 开发和支持过程中的安全 资产管理 日志审计 事故管理 业务持续性管理 制度保障 应急响应能力 服务响应方式 服务网络 受理与反馈 5 基本项要求 5.1 法人资格 应为在中国境内注册的独立法人 。 5.2 主要技术人员 应不少于 15 人 。 5.3 产品研发 产品密码核心技术应具有自主知识产权 ,禁止核心技术外包或产品贴牌 。 5.4 行业管理遵从 应遵守商用密码产品管理相关法律法规 ,自愿遵从商用密码产品管理相关标准规定 ,并承诺提供产 品源代码以供审查 ,承诺接受研发和生产现场审查 ,做好产品销售情况日常记录 。 6 声明项要求 6.1 关键人员信息 应提供关键人员的国籍(或绿卡)、教育背景和从业经历等信息 。 若关键人员有违法犯罪记录 ,应如 实声明 。 3 犌犕/犜0065—2019 6.2 单位性质 应声明单位性质信息 ,明确注册资本构
GM/T 0065-2019 商用密码产品生产和保障能力建设规范
文档预览
中文文档
13 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共13页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 路人甲 于 2022-05-14 08:55:43上传分享