一、申请信息技术产品服务安全体系认证证书的依据
1、GB/T-《信息安全技术网络产品和服务安全通用要求》;
2、GB/T.1-《信息安全技术信息技术产品安全可控评价指标第1部分:总则》。
二、信息技术产品服务安全体系认证的适用范围
1、适用于提供信息技术产品服务安全供应方包括生产商、销售商、代理商、集成商、服务商等;
2、适用于应用方包括采购和使用信息技术产品的用户。
三、信息技术产品服务安全体系认证的主要内容
1、GB/T-《信息安全技术网络产品和服务安全通用要求》
从安全功能和安全保障两个方面规范网络产品和服务的安全通用要求。安全功能和安全保障均包含基本级和增强级安全要求。
2、GB/T.1-《信息安全技术信息技术产品安全可控评价指标第1部分:总则》
信息技术产品安全可控的概念、保障目标,给出了信息技术产品安全可控的评价原则、评价指标体系和实施流程。
四、信息技术产品服务安全体系认证证书的等级
GB/T.1-《信息安全技术信息技术产品安全可控评价指标第1部分:总则》,其中研发生产评价类主要包括产品设计实现透明性、产品设计验证、产品重现能力、产品关键技术研发能力和产品安全生态适应性5个指标项;供应链评价类主要包括产品持续供应能力和产品供应链保障能力2个指标项;运维服务评价类主要包括产品服务保障能力和数据处理规范性2个指标项,认证机构依据现场实施情况对产品进行具体评价和打分,信息技术产品安全可控评价采取百分制,最低得分为0分,未能通过优先评价项的按照最低分计分,最高得分为分,即所有一般评价项所设定参考分值之和为分依据等级评定和评定结果:AAAAA级、AAAA级、AAA级、AA级、A级。
五、申请信息技术产品服务安全体系认证的条件
1、已按照一级标准要求建立了信息技术产品服务安全体系,且有效运行6个月以上;
2、企业具备良好的信息技术运行维护服务体系,达到GB/T-、GB/T.1-的要求,即可获得相对应等级的“信息技术产品服务安全体系证书”。
六、申请信息技术产品服务安全体系认证的作用
1、防范信息泄露风险:保障网络产品和服务中用户信息不被泄露,降低用户信息泄露的安全风险;
2、防范数据篡改风险:保障网络产品和服务中用户信息不被非授权更改或伪造,降低数据被篡改的安全风险;
3、防范服务中断风险:保障网络产品和服务的持续运行和供应,降低网络产品和服务供应中断的安全风险;
4、防范不当控制风险:保障网络产品和服务运行过程中的风险可控,降低网络产品和服务提供者恶意控制用户的网络产品和服务、非授权获取用户信息,以及利用用户对网络产品和服务的依赖实施不正当竞争或损害用户利益的风险;
5、防范网络安全风险:为提高信息技术产品安全可控水平,维护国家和公共安全,进而满足信息技术产品应用方安全可控需求,增强应用方信心,推动信息技术产业健康、快速发展。