GM/T 0065-2019 商用密码产品生产和保障能力建设规范在线下载,免费下载

犐犆犛３５．０４０犔８０中华人民共和国密码行业标准犌犕／犜００６５—２０１９商用密码产品生产和保障能力建设规范犛狆犲犮犻犳犻犮犪狋犻狅狀犳狅狉犮犪狆犪犫犻犾犻狋狔犮狅狀狊狋狉狌犮狋犻狅狀狅犳狆狉狅犱狌犮狋犻狅狀犪狀犱犵狌犪狉犪狀狋犲犲犳狅狉犮狅犿犿犲狉犮犻犪犾犮狉狔狆狋狅犵狉犪狆犺犻犮狆狉狅犱狌犮狋狊２０１９０７１２发布２０１９０７１２实施国家密码管理局发布犌犕／犜００６５—２０１９目　　次前言 ………………………………………………………………………………………………………… Ⅲ 引言 ………………………………………………………………………………………………………… Ⅳ １　范围 ……………………………………………………………………………………………………… １２　规范性引用文件 ………………………………………………………………………………………… １３　术语和定义 ……………………………………………………………………………………………… １４　评估要素 ………………………………………………………………………………………………… １　４．１　基本项 ……………………………………………………………………………………………… １　４．２　声明项 ……………………………………………………………………………………………… ２　４．３　评估项 ……………………………………………………………………………………………… ２５　基本项要求 ……………………………………………………………………………………………… ３　５．１　法人资格 …………………………………………………………………………………………… ３　５．２　主要技术人员 ……………………………………………………………………………………… ３　５．３　产品研发 …………………………………………………………………………………………… ３　５．４　行业管理遵从 ……………………………………………………………………………………… ３６　声明项要求 ……………………………………………………………………………………………… ３　６．１　关键人员信息 ……………………………………………………………………………………… ３　６．２　单位性质 …………………………………………………………………………………………… ４　６．３　数据管理 …………………………………………………………………………………………… ４７　评估项要求 ……………………………………………………………………………………………… ４　７．１　生产能力 …………………………………………………………………………………………… ４　　７．１．１　技术力量 ……………………………………………………………………………………… ４　　７．１．２　生产管理 ……………………………………………………………………………………… ４　　７．１．３　生产条件 ……………………………………………………………………………………… ５　　７．１．４　生产工艺与流程 ……………………………………………………………………………… ５　７．２　质量保障能力 ……………………………………………………………………………………… ５　　７．２．１　制度保障 ……………………………………………………………………………………… ５　　７．２．２　开发过程质量管理 …………………………………………………………………………… ６　　７．２．３　质量问题管理 ………………………………………………………………………………… ６　　７．２．４　持续改进产品质量措施 ……………………………………………………………………… ６　７．３　安全保障能力 ……………………………………………………………………………………… ６　　７．３．１　组织保障 ……………………………………………………………………………………… ６　　７．３．２　安全管理 ……………………………………………………………………………………… ７　７．４　服务保障能力 ……………………………………………………………………………………… ８　　７．４．１　制度保障 ……………………………………………………………………………………… ８　　７．４．２　应急响应能力 ………………………………………………………………………………… ８　　７．４．３　服务响应方式 ………………………………………………………………………………… ８ Ⅰ 犌犕／犜００６５—２０１９前　　言　　本标准根据ＧＢ／Ｔ１．１—２００９给出的规则起草。本标准由密码行业标准化技术委员会提出并归口。本标准起草单位：北京中电华大电子设计有限责任公司、格尔软件股份有限公司、兴唐通信科技有限公司、国家密码管理局商用密码检测中心、北京三未信安科技发展有限公司、天地融科技股份有限公司、成都卫士通信息产业股份有限公司、北京市密码管理局、上海市密码管理局、广东省密码管理局。本标准主要起草人：周建锁、叶枫、赵闪、罗鹏、冯育晖、韩小平、杨耀华、高志权、熊云、李立勋、马飞、郑强、李明、曲志华、杨阳。 Ⅲ 犌犕／犜００６５—２０１９引　　言　　密码是网络和信息安全的核心技术和基础支撑，是保障国家安全、推动经济发展和维护公众利益的战略性资源。商用密码产品是密码技术的实现载体，为应用提供机密性、完整性、不可否认性等安全保障。国家对销售或者在经营活动中使用的商用密码产品实施许可。根据《商用密码管理条例》的相关要求，商用密码产品研制生产单位必须具备独立的法人资格，具有与开发、生产商用密码产品相适应的技术力量和场所，具有确保商用密码产品质量的设备、生产工艺和质量保证体系，满足法律、行政法规规定的其他条件。为了对商用密码产品生产单位的生产和保障能力建设提供统一、客观的标准，为了生产单位对自身技术力量、场所、设备、生产工艺和质量保证能力有较为全面的把握，制定本标准。本标准从评估的角度对商用密码产品生产单位相关能力建设提出要求，也可用于第三方机构对商用密码产品生产单位进行评估。建设规范包含本标准和《商用密码产品生产和保障能力建设实施指南》，本标准规定了基本项、声明项和评估项等要素及要求；《商用密码产品生产和保障能力建设实施指南》包含评估方法、评估程序、评估报告和实施要点。 Ⅳ 犌犕／犜００６５—２０１９商用密码产品生产和保障能力建设规范１　范围本标准规定了商用密码产品生产和保障能力的评估要素和评估要求。本标准适用于对商用密码产品生产单位的生产能力、质量保障能力、安全保障能力和服务保障能力进行能力建设及核查。２　规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。ＧＭ／Ｚ４００１　密码术语商用密码管理条例３　术语和定义ＧＭ／Ｚ４００１界定的以及下列术语和定义适用于本文件。３．１　主要技术人员　犿犪犻狀狋犲犮犺狀犻犮犪犾狆犲狉狊狅狀狀犲犾从事商用密码产品设计、实现、检测或测试及技术支持工作的人员。３．２　关键人员　犮狉狌犮犻犪犾狆犲狉狊狅狀狀犲犾包括法定代表人、实际控制人、高层管理人员、技术负责人。３．３　关键岗位　犮狉狌犮犻犪犾狆狅狊犻狋犻狅狀对研发、生产和管理活动具有重要作用，对结果的质量有显著影响，甚至能决定结果成败的岗位。３．４　密码核心技术　犮狅狉犲犮狉狔狆狋狅犵狉犪狆犺犻犮狋犲犮犺狀狅犾狅犵狔商用密码产品中使用的实现密码核心功能的技术。３．５　密码固件　犮狉狔狆狋狅犵狉犪狆犺犻犮犳犻狉犿狑犪狉犲密码边界内的硬件中、执行期间不能被动态写入或修改的程序与数据组成部分。如存储硬件，包括但不限于ＲＯＭ、ＰＲＯＭ、ＥＥＰＲＯＭ与ＦＬＡＳＨ。４　评估要素４．１　基本项基本项是商用密码产品生产单位应达到的基本条件，包括法人资格、主要技术人员、研发产品和行１犌犕／犜００６５—２０１９业管理遵从项。４．２　声明项声明项是商用密码产品生产单位做出的特别说明，包括生产单位关键人员信息、单位性质和数据管理。４．３　评估项评估项是商用密码产品和生产保障能力评估的具体量化指标，生产单位参照评估项提高自身的商用密码产品生产和保障能力。评估要求具体指标参见表１。表１　评估指标一级指标二级指标技术力量生产能力生产管理生产条件生产工艺与流程三级指标人力资源主要技术团队技术积累及优势技术创新研发工具和设备试验测试条件岗位设置制度保障管理系统供应管理生产场所生产设备生产外协生产技术管理批量生产和检测能力生产外协制度保障质量保障能力开发过程质量管理开发与测试体系研发过程管理版本管理质量问题管理持续改进产品质量措施安全保障能力２组织保障领导力承诺建立组织机制人力资源安全犌犕／犜００６５—２０１９表１（续）一级指标二级指标安全保障能力安全管理服务保障能力三级指标安全生产制度保障物理和环境安全计算机和网络安全访问控制介质控制开发和支持过程中的安全资产管理日志审计事故管理业务持续性管理制度保障应急响应能力服务响应方式服务网络受理与反馈５　基本项要求５．１　法人资格应为在中国境内注册的独立法人。５．２　主要技术人员应不少于１５人。５．３　产品研发产品密码核心技术应具有自主知识产权，禁止核心技术外包或产品贴牌。５．４　行业管理遵从应遵守商用密码产品管理相关法律法规，自愿遵从商用密码产品管理相关标准规定，并承诺提供产品源代码以供审查，承诺接受研发和生产现场审查，做好产品销售情况日常记录。６　声明项要求６．１　关键人员信息应提供关键人员的国籍（或绿卡）、教育背景和从业经历等信息。若关键人员有违法犯罪记录，应如实声明。３犌犕／犜００６５—２０１９６．２　单位性质应声明单位性质信息，明确注册资本构