实施指南《G B-T36630.1-2018信息安全技术信息技术产品安全可控评价指标第1部分：总则》实施指南

—PAGE—《GB/T3663.1-2018信息安全技术信息技术产品安全可控评价指标第1部分：总则》实施指南目录一、为何《GB/T3663.1-2018》是信息技术产品安全可控的核心准则？专家视角剖析标准核心价值与未来5年行业应用趋势二、信息技术产品安全可控面临哪些严峻挑战？结合《GB/T3663.1-2018》看标准制定的迫切背景与关键动因三、如何精准把握《GB/T3663.1-2018》的适用范围？深度解读标准覆盖的产品类型、场景及边界界定要点四、《GB/T3663.1-2018》中的核心术语有何特殊内涵？专家带你逐一厘清易混淆概念确保评价无偏差五、标准确立的评价原则对实际工作有何指导意义？深度剖析安全性、可控性等原则的落地执行方法六、信息技术产品安全可控评价的核心指标体系如何构建？依据标准拆解技术、管理、服务等维度关键指标七、不同类型信息技术产品评价有何差异？结合标准给出针对性评价策略与重点关注方向八、如何按照《GB/T3663.1-2018》开展规范的评价流程？从准备到结论全环节操作要点与常见误区规避九、标准实施后对企业与行业带来哪些深远影响？预测未来3-5年信息技术产品安全可控发展新格局十、《GB/T3663.1-2018》与相关标准如何协同应用？专家视角解析标准间关联与整合使用技巧一、为何《GB/T3663.1-2018》是信息技术产品安全可控的核心准则？专家视角剖析标准核心价值与未来5年行业应用趋势（一）从行业现状看《GB/T3663.1-2018》成为核心准则的必然性在当前数字化快速推进的背景下，信息技术产品在各行业广泛应用，其安全可控问题愈发凸显。各类网络攻击、数据泄露事件频发，严重威胁企业与国家的信息安全。而《GB/T3663.1-2018》的出台，为信息技术产品安全可控提供了统一、规范的评价依据，填补了此前该领域缺乏系统标准的空白，因此成为核心准则具有必然趋势。（二）专家解读标准核心价值对企业信息安全保障的关键作用专家指出，该标准的核心价值在于为企业提供了明确的安全可控评价方向。通过遵循标准，企业能够精准识别信息技术产品的安全风险点，建立完善的安全防控体系，有效降低信息安全事件发生的概率，保障企业业务的稳定运行，同时提升企业在市场中的信誉与竞争力。（三）未来5年《GB/T3663.1-2018》在各行业的应用趋势预测随着数字化转型的深入，未来5年，该标准将在金融、能源、医疗等关键行业得到更广泛的应用。金融行业将依据标准加强核心业务系统产品的安全可控评价，防范金融数据泄露与交易风险；能源行业会借助标准保障能源调度、电力控制系统等关键领域信息技术产品的安全，确保能源供应稳定；医疗行业则将运用标准规范医疗设备、患者信息管理系统等产品，保护患者隐私与医疗数据安全。二、信息技术产品安全可控面临哪些严峻挑战？结合《GB/T3663.1-2018》看标准制定的迫切背景与关键动因（一）当前信息技术产品在技术层面面临的安全可控挑战当前，信息技术产品技术更新迭代迅速，新技术如人工智能、云计算的融入，使得产品架构愈发复杂，安全漏洞难以察觉。部分产品核心技术依赖国外，一旦外部技术支持中断或存在恶意后门，将直接导致产品安全可控性丧失，这给我国信息技术产业发展带来巨大隐患。（二）管理层面信息技术产品安全可控存在的突出问题在管理层面，许多企业缺乏完善的信息技术产品安全管理制度，对产品的采购、使用、维护等环节缺乏有效的安全管控。部分企业为追求成本效益，忽视对产品供应商的安全资质审核，导致不合格产品进入企业系统，进而引发安全风险。（三）《GB/T3663.1-2018》制定的迫切背景与关键动因分析正是由于信息技术产品在技术和管理层面面临诸多严峻挑战，且缺乏统一的评价标准来规范产品安全可控性，《GB/T3663.1-2018》的制定迫在眉睫。其关键动因在于保障国家信息安全，推动我国信息技术产业自主可控发展，为企业提供科学、可行的产品安全可控评价依据，促进整个行业健康有序发展。三、如何精准把握《GB/T3663.1-2018》的适用范围？深度解读标准覆盖的产品类型、场景及边界界定要点（一）标准明确覆盖的信息技术产品类型详细梳理《GB/T3663.1-2018》明确覆盖的信息技术产品类型丰富，包括计算机硬件产品如服务器、计算机终端等；软件产品如操作系统、数据库管理系统、应用软件等；以及信息技术服务相关产品如云计算服务产品、数据存储与传输服务产品等，基本涵盖了当前主流的信息技术产品范畴。（二）标准适用的典型应用场景及实际案例分析该标准适用于多种典型应用场景，例如企业内部信息系统建设场景，企业在搭建内部办公、业务处理系统时，需依据标准评价所选用的软硬件产品安全可控性；政府信息化项目采购场景，政府部门在采购信息技术产品时，要以标准为依据筛选符合安全可控要求的产品，保障政务信息安全。以某市政府政务云建设项目为例，通过参考该标准，成功筛选出安全可控的云计算服务产品，有效防范了政务数据泄露风险。（三）精准界定标准适用边界的关键要点与注意事项在界定标准适用边界时，需注意区分信息技术产品与非信息技术产品，避免将非信息技术产品纳入评价范围。同时，对于一些跨界融合产品，要重点判断其核心功能是否属于信息技术范畴，若核心功能为信息技术相关，则适用该标准。此外，标准不适用于军事、航天等特殊领域的专用信息技术产品，这些领域有其专属的安全评价标准体系。四、《GB/T3663.1-2018》中的核心术语有何特殊内涵？专家带你逐一厘清易混淆概念确保评价无偏差（一）“信息技术产品”在标准中的明确定义与范围界定在《GB/T3663.1-2018》中，“信息技术产品”并非简单指代传统意义上的软硬件产品，其定义涵盖了以信息技术为核心，用于信息获取、处理、存储、传输、展示等功能的各类产品，包括硬件、软件以及相关服务产品。范围上既包括独立的产品，也包括集成化的信息技术系统产品，这与日常认知中单一的软硬件产品概念有所不同，需准确把握。（二）“安全可控”的特殊内涵及在标准中的具体体现“安全可控”在标准中具有特殊内涵，不仅要求信息技术产品自身具备抵御安全威胁的能力，如防止非法入侵、数据泄露等，还要求产品在整个生命周期内，企业能够对其进行有效管控，包括对产品的研发、生产、销售、维护等环节的掌控，确保产品不会因外部因素导致安全失控。在标准中，通过一系列评价指标来具体体现“安全可控”，如技术安全性指标、管理可控性指标等。（三）易混淆术语对比分析：如“安全可控”与“安全可靠”“自主可控”的差异“安全可控”“安全可靠”“自主可控”是易混淆的三个术语。“安全可靠”更侧重于产品在正常运行过程中，能够稳定发挥功能，不易出现故障，强调产品的稳定性和容错能力；“自主可控”主要强调产品的核心技术、知识产权等由本国自主掌握，减少对外部的依赖；而“安全可控”则是在“安全可靠”和“自主可控”的基础上，进一步强调对产品全生命周期的管控能力。在实际评价工作中，需明确三者差异，避免因概念混淆导致评价偏差。五、标准确立的评价原则对实际工作有何指导意义？深度剖析安全性、可控性等原则的落地执行方法（一）安全性原则的核心要求及在评价工作中的落地执行策略安全性原则是《GB/T3663.1-2018》确立的重要评价原则之一，其核心要求是信息技术产品需具备有效的安全防护能力，能够抵御各类安全威胁，保障产品所处理、存储、传输的信息安全。在落地执行时，评价人员需检查产品是否具备身份认证、访问控制、数据加密等安全功能，同时评估产品在遭受网络攻击、病毒感染等情况下的应急响应能力，确保产品符合安全性原则要求。（二）可控性原则在产品全生命周期中的具体体现与执行方法可控性原则贯穿信息技术产品的全生命周期，在研发阶段，企业需掌控产品的核心技术与研发流程，确保研发过程可追溯；在生产阶段，要对生产环节进行严格管控，防止产品被篡改或植入恶意代码；在使用和维护阶段，需建立完善的管理机制，能够及时掌握产品的运行状态，对异常情况进行快速处理。执行时，可通过查阅企业研发文档、生产记录，实地检查产品运行管理情况等方式，评估可控性原则的落实情况。（三）公正性、客观性原则对评价结果可信度的影响及保障措施公正性和客观性原则是确保评价结果可信度的关键。公正性要求评价人员在评价过程中，不受任何外部因素干扰，公平对待所有被评价产品；客观性要求评价工作基于事实和数据，避免主观臆断。为保障这两项原则的落实，需建立严格的评价人员选拔与培训机制，提高评价人员的专业素养和职业道德；同时制定规范的评价流程和方法，确保评价过程可追溯，评价数据真实可靠。六、信息技术产品安全可控评价的核心指标体系如何构建？依据标准拆解技术、管理、服务等维度关键指标（一）技术维度核心指标：从安全功能、漏洞防护等方面拆解在技术维度，核心指标包括安全功能指标和漏洞防护指标。安全功能指标要求产品具备身份鉴别、访问控制、数据完整性保护、数据保密性保护、安全审计等功能，例如身份鉴别功能需支持多种鉴别方式，如密码、指纹等，且能有效防止身份冒用。漏洞防护指标则要求产品具备漏洞检测与修复能力，能够及时发现产品存在的安全漏洞，并提供有效的修复方案，同时产品需具备一定的抗攻击能力，如抵御SQL注入、跨站脚本攻击等。（二）管理维度核心指标：涵盖研发、采购、运维等全流程管控要点管理维度核心指标涵盖产品全流程管控要点。在研发管理方面，要求企业建立完善的研发管理制度，对研发人员、研发流程、研发文档等进行有效管控，确保研发过程的安全性和可追溯性；采购管理方面，需对供应商进行严格的资质审核，选择符合安全可控要求的供应商，同时签订详细的采购合同，明确双方在产品安全方面的责任；运维管理方面，要建立产品运行监控机制，及时发现并处理产品运行过程中的异常情况，定期对产品进行安全检测与维护。（三）服务维度核心指标：聚焦售后服务、应急响应等关键服务能力服务维度核心指标聚焦于产品的售后服务和应急响应能力。售后服务方面，要求供应商能够提供及时、有效的技术支持服务，如产品安装调试、故障排除、技术咨询等，同时需建立完善的客户反馈机制，及时响应客户的需求与投诉。应急响应方面，供应商需制定完善的应急响应预案，在产品出现安全事件时，能够快速启动预案，采取有效的应对措施，降低安全事件造成的损失，同时及时向客户通报事件处理进展情况。七、不同类型信息技术产品评价有何差异？结合标准给出针对性评价策略与重点关注方向（一）硬件产品评价的特殊性与针对性评价策略硬件产品具有实体性、易被物理篡改等特点，其评价具有特殊性。在评价时，需重点关注硬件产品的物理安全，如设备的防拆卸、防篡改能力，是否具备物理访问控制机制，防止未经授权人员接触硬件设备。同时，要评估硬件产品的核心部件是否符合安全要求，如处理器、存储设备等是否存在安全漏洞。针对性评价策略包括对硬件产品进行物理安全测试、核心部件安全性能检测，查阅硬件产品的生产工艺文件和质量检测报告等。（二）软件产品评价的关键差异点与重点关注方向软件产品具有无形性、易被复制和篡改等特点，评价时关键差异点在于软件的代码安全性、功能安全性以及数据处理安全性。重点关注方向包括软件是否存在恶意代码、后门程序，代码是否经过严格的安全测试与审计；软件的功能是否符合安全要求，如是否具备完善的权限管理功能，能否有效防止越权操作；软件在处理用户数据时，是否采取了有效的加密、脱敏等保护措施，防止数据泄露。（三）信息技术服务产品评价的独特要求与适配性评价方法信息技术服务产品如云计算服务、大数据服务等，其评价具有独特要求，需重点关注服务的可用性、安全性、合规性以及数据主权保护等方面。适配性评价方法包括评估服务提供商的服务水平协议（SLA）是否明确服务的可用性指标，如服务中断时间、故障恢复时间等；检查服务平台的安全防护措施，如是否具备完善的网络安全防护体系、数据备份与恢复机制；审核服务提供商是否符合相关法律法规要求，如数据隐私保护法规，确保用户数据在服务过程中的合规使用与主权保护。八、如何按照《GB/T3663.1-2018》开展规范的评价流程？从准备到结论全环节操作要点与常见误区规避（一）评价准备阶段：明确评价目标、组建团队、收集资料的操作要点在评价准备阶段，首先要明确评价目标，根据企业实际需求和产品应用场景，确定本次评价需重点关注的安全可控维度与指标。其次，组建专业的评价团队，团队成员应具备信息技术产品安全、标准解读等方面的专业知识，同时明确各成员的职责分工。最后，收集相关资料，包括被评价产品的技术文档、生产记录、供应商资质证明等，确保资料的完整性和真实性，为后续评价工作奠定基础。（二）评价实施阶段：指标测评、现场核查、数据分析的规范操作方法评价实施阶段，需按照规范的操作方法开展工作。指标测评时，依据标准中的核心指标体系，采用专业的测试工具和方法，对产品的技术、管理、服务等维度指标进行逐一测评，详细记录测评数据与结果。现场核查环节，深入被评价产品的研发、生产、使用现场，实地检查产品的实际情况，验证测评数据的真实性，同时与相关人员进行沟通交流，了解产品在实际应用中的安全可控状况。数据分析阶段，对测评数据和现场核查结果进行系统分析，判断产品是否符合标准要求，识别存在的问题与风险。（三）评价结论与整改阶段：结论编制、整改建议提出及常见误区规避评价结论编制需基于客观、准确的评价数据，明确指出产品在安全可控方面的符合情况，包括符合的指标、不符合的指标以及存在的问题。整改建议要具有针对性和可操作性，根据发现的问题，提出具体的整改措施和时间节点，帮助企业提升产品安全可控水平。常见误区包括评价结论过于笼统，缺乏具体数据支撑；整改建议不切实际，难以落地执行。规避这些误区需严格依据评价数据编制结论，结合企业实际情况提出切实可行的整改建议。九、标准实施后对企业与行业带来哪些深远影响？预测未来3-5年信息技术产品安全可控发展新格局（一）对企业产品研发、采购、运维流程的具体影响与变革方向标准实施后，企业在产品研发环节需更加注重核心技术的自