标准搜索结果: 'GM/T 0066-2019'
标准编号 | GM/T 0066-2019 (GM/T0066-2019) | 中文名称 | 商用密码产品生产和保障能力建设实施指南 | 英文名称 | Implementation guide to capability construction criteria of production and guarantee for commercial cryptographic products | 行业 | Chinese Industry Standard (推荐) | 中标分类 | L80 | 国际标准分类 | 35.040 | 字数估计 | 35,382 | 发布日期 | 2019 | 实施日期 | 2019-07-12 |
GM/T 0066-2019: 商用密码产品生产和保障能力建设实施指南
GM/T 0066-2019 英文名称: Implementation guide to capability construction criteria of production and guarantee for commercial cryptographic products
中华人民共和国密码行业标准
商用密码产品生产和保障能力建设
实施指南
国家密码管理局 发 布
1 范围
本标准规定了实施商用密码产品生产和保障能力评估的方法、程序、报告和要点说明。
本标准适用于对生产单位的生产能力、质量保障能力、安全保障能力和服务保障能力进行建设
指导。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
4.1 评估内容
评估内容包括基本项、声明项和评估项等评估要素。
基本项包括生产单位法人资格项、主要技术人员项、产品研发项、行业管理遵从项等内容。
声明项包括生产单位关键人员信息、单位性质、数据管理等内容。
评估项包括生产单位生产能力、质量保障能力、安全保障能力和服务保障能力等内容。
4.2 评估方式
对商用密码产品生产和保障能力进行评估采用单位自证和专家评分相结合的方式,质量保障、安全
保障以及服务保障能力应为单位的自证项,由生产单位提供商用密码产品生产和保障能力的证明;结合
生产单位的基本项、声明项,专家组根据评估项的评估要素进行评分判定。
4.3 评估原则
对商用密码产品生产和保障能力进行评估应基于生产单位提交的申请材料采用“材料审查”与“现
场审查”相结合、“前置评估”与“专家评估”相结合等方式,遵循“定量评估”与“定性判定”的评估原则以
确保申请材料的真实性、一致性和符合性,本着公平公正、保密性、独立性和基于证据的基本原则,对生
产单位的生产能力、质量保障能力、安全保障能力和服务保障能力等进行评估。
5.1.1 法人资格
生产单位为中国境内注册的独立法人,应出具生产单位营业执照注册号;应出具法定代表人有效身
份证件的名称和号码。
5.1.2 主要技术人员
生产单位从事密码产品设计、实现、检测或测试、技术支持等工作的主要技术人员应不少于15人,
并提供相关信息,否则终止评估流程。相关信息包括但不限于国籍、学历、工作简历、专业特长及现从事
工作等。
5.1.3 产品研发
生产单位应承诺所研发产品及产品涉及的密码核心技术具有自主知识产权,应拥有专利、软件著作
权、集成电路版图布图登记等;应承诺申请评估材料对应产品不包含其他任何组织或单位的知识产权或
已通过合法方式取得。
5.1.4 行业管理遵从
a) 生产单位应签署承诺文件,应做好产品销售记录并如实申报产品年度销售情况,承诺提供源代
码,将源代码提交经密码管理部门认可的检测机构;
b) 生产单位应履行上述承诺,否则终止评估流程。
5.2 声明项
5.2.1 关键人员信息
生产单位应提供关键人员的证件名称及号码、国籍、教育背景和从业经历的详细介绍。
5.2.2 单位性质
生产单位应提供单位性质的声明,按照合法营业执照的内容如实提供,包括注册资本结构、注册资
金规模、投资人名称、投资比例等。如有自然人,应说明自然人人数、姓名、国籍;如有外资成分,说明外
资比例及外资参与公司经营管理的情况。
5.2.3 数据管理
生产单位应提供商用密码产品研发、生产和保障数据中心所在地的声明,说明数据中心所在地、数
据流转是否会涉及出境等情况。
5.3.1.1.1 人力资源
a) 生产单位应设置研发、生产和管理关键岗位;
b) 关键岗位宜由经验丰富、专业技术深厚的资深人员担任;
c) 生产单位的岗位设置和人员资格应满足人力资源设置,评判标准包括岗位设置是否齐备合理、
任职资格是否清晰等。
5.3.1.1.2 主要技术团队
a) 应核实生产单位中从事密码技术设计、实现、检测或测试和技术支持人员的数量,及本科以上
人员占技术团队的比例等;
b) 应考核核心技术负责人的密码专业技术能力,评判标准至少包括从业经历、学历职称、研究成
果及获奖情况等。
5.3.1.1.3 技术积累及优势
a) 生产单位所申请的产品应符合生产单位的主营业务方向;
b) 生产单位在产品生产过程中应有效利用自身的科研资源,保证产品具备较高的技术水平;
c) 生产单位应具备相关科研成果和技术储备。生产单位应有与所申请产品相关领域的专业技术
研究成果且该成果得到过实际应用,且近5年来生产单位应开展过与所申请产品类似项目的
科研并有技术储备;
d) 生产单位的专业技术水平应满足所申请产品的需求,宜达到国内先进水平。
5.3.1.1.4 技术创新
a) 生产单位应具备授权专利、软件著作权、集成电路版图布图登记等;
b) 生产单位应明确申请产品是否经专家鉴定认为填补国内或国际行业应用空白;
c) 生产单位应明确申请产品是否具备高性价比,是否在成本、功能、性能、可靠性、市场应用等方
面具有良好的市场发展空间。
5.3.1.1.5 研发工具和设备
a) 生产单位应具备满足研发需求的工具和设备;
b) 生产单位应具备满足申请产品研发相关的主要研发工具,如工作站、专用软件、开发板、仿真
器、示波器、逻辑分析仪等。
5.3.1.1.6 试验测试条件
a) 生产单位应具有较完善的密码产品功能、性能、稳定性、可靠性、环境适应性(如电磁兼容)等试
验测试条件;
b) 密码产品环境适应性检测应能保证密码产品在生产、运输、贮存、使用等环境下功能正常;
c) 密码产品可靠性检测应能保证密码产品在产品生命周期内无故障的实现功能。
5.3.1.2 生产管理
5.3.1.2.1 岗位设置
生产单位应设置生产主管、仓储管理等相关的岗位,并确保由经验丰富、认真负责的资深专业人士
担任相关职务。
5.3.1.2.2 制度保障
生产单位应制定相应生产管理规章制度和仓储管理制度,并建立生产记录档案且确保生产记录可
查询和追溯。
5.3.1.2.3 管理系统
a) 生产单位应建立完善的产品出入库记录档案,并确保产品出入库记录可查询和追溯;
b) 生产单位应建立产品数量管理要求,并确保数量管理的准确性。
5.3.1.2.4 供应管理
a) 生产单位应考核供应商或外协单位是否具备相应的资质和技术能力,应提供供应商或外协单
位的资质和能力证明材料;
b) 生产单位应对供应商供货环节和外协加工环节具备控制和监管措施;
c) 生产单位应设立专职负责供应商及外协单位质量监视、测量和验收及提供外加工产品的质量
标准,保证外协加工环节对产品质量无影响;
d) 生产单位应与供应商签订质量保证协议并定期进行质量审查,对外包人员、过程和外包工作有
明确管理规定。
5.3.1.3 生产条件
5.3.1.3.1 生产场所
a) 生产单位应具备生产场所土地及房屋使用权,生产设施和仓储场所应满足需求;
b) 对自有生产场所的情况,应核对生产场所的产权证明文件或租赁合同,以确认生产单位具备固
定的生产场所,并具备满足生产基本需求的基础设施(如水、气、电供应设施等)和支持性服务
设施(如运输、通讯、信息化手段等),以保证生产设施安全可靠运行;
c) 生产单位如采用外协加工的方式,应具备相应的仓储场所,仓储场所应满足产品仓储需求,保
证产品免受各种物理损伤;
d) 可对外协加工的生产场所进行评估。
5.3.1.3.2 生产设备
a) 生产单位应具备满足生产要求的生产设备和检测设备;
b) 生产单位进行商用密码产品生产所需的生产辅助工具、加工、试验、检测设备及计量器具等设
备应满足需要;
c) 生产单位如采用外采或外协方式,则外采或外协单位应满足本条中a)、b)项要求。
5.3.1.4 生产工艺与流程
5.3.1.4.1 生产技术管理
生产单位应具有管理规范和齐全的生产技术文件,至少包括生产清单、物料清单、检验流程和报告
文件。
5.3.1.4.2 批量生产和检测能力
生产单位应具备批量生产和检测能力,宜具备自动化生产线及相应的产品检测机制,以保障产能充
足、产品质量稳定;应具备规定的检验、试验和计量设备,以满足与生产规模相适应的需要。
5.3.2 质量保障能力
5.3.2.1 制度保障
a) 生产单位应建立质量管理制度,明确质量目标并落实实施;
b) 生产单位应保证商用密码产品的质量,设立质量管理岗位并明确岗位职责,在商用密码产品生
产过程中应建立各阶段的质量目标并由生产单位高层负责实施;
c) 生产单位应建立服务质量保障体系,明确对服务质量的标准要求,对服务质量进行监督并评
估,并提供必要的技术保障服务。
5.3.2.2 开发过程质量管理
5.3.2.2.1 开发与测试体系
a) 生产单位应建立完备的开发与测试体系,以保证产品的质量;
b) 开发体系宜包括系统集成设计规范、系统集成管理规范、编码规范、设计规范、开发管理规范、
变更管理规范等;
c) 测试体系宜包括单元测试、集成测试、系统测试和验收测试等。
5.3.2.2.2 研发过程管理
a) 生产单位应对研发过程进行管理和控制;
b) 生产单位研发过程应有专人跟踪并组织协调,整个过程应有明确的阶段划分和过程管理;
c) 生产单位应定期对项目进行评审和审核,应对变更进行管控;
d) 生产单位应有详尽的技术设计方案,应对技术性文档进行归档;
e) 生产单位应对用于检验、量测与判定产品质量的测试设备进行管制、定期校正与维护,维持测
试设备的准确性能。
5.3.2.2.3 版本管理
a) 生产单位应制定配置管理制度;
b) 生产单位应设置配置管理人员;
c) 生产单位宜使用配置管理工具和方法。
5.3.2.2.4 质量问题管理
a) 生产单位应对质量问题具有管理和控制措施,并就质量问题的解决进行跟踪管理;
b) 生产单位应建立质量问题处理制度和流程,具备质量问题跟踪和统计的能力,对质量问题处理
的时效性进行要求,并对客户进行满意度调查。
5.3.2.3 持续改进产品质量措施
a) 生产单位应具有合理的持续改进产品质量的措施;
b) 生产单位应对产品质量进行持续跟踪监控,收集产品质量改进的信息,并据此制定产品质量改
进计划。
5.3.2.4 质量体系认证
应对生产单位的第三方质量体系认证进行核实,对于已获得相应认证并在有效期之内的生产单位,
可对质量保障能力评估得分,如生产单位具有ISO 9001质量体系认证或CMMI3级及以上能力成熟度
认证。
5.3.3 安全保障能力
5.3.3.1 组织保障
a) 生产单位应明确安全的重要性,建立组织范围内的安全目标;
b) 应由高层管理人员承诺保证安全研发和生产;
c) 生产单位应由专人或部门(组织)负责安全;
d) 生产单位应定期进行组织内部安全管理制度的审核和评审,确保安全管理体系的适宜性和有
效性;
e) 生产单位应建立组织预防、处理安全事件机制;
f) 生产单位应与员工签署正规的劳动合同并对员工进行安全培训;
g) 生产单位应与相关岗位员工签署保密合同或合同中包含着安全条款并对相关岗位员工进行商
用密码条例的培训;
h) 生产单位应对离职的单位员工设置信息资产归还和访问权限撤销的规定;
i) 生产单位应对纠正和危害安全的行为进行适当的鼓励和惩罚。
5.3.3.2 安全管理
a) 生产单位应建立安全生产规章制度并贯彻执行,应了解国家和行业的安全生产规定和标准,制
定安全生产责任制和安全操作流程。
b) 生产单位应划分物理安全区域并任命相应的负责人,重要区域应安装门禁系统并对访问进行
记录且记录可查询,监控的内容记录至少保存30天以上。重要资产进出单位或重要区域应实
行审批机制,重要区域设置温湿度要求并配备不间断电源,由安全负责人定期对机房防火、防
雷、防漏、防尘等规程进行检查和记录。
c) 生产单位应具备计算机软件防护措施和网络防护措施。重要信息资产应有专人维护,有远程
及移动办公安全管理制度或条款,应识别计算机资产脆弱性和潜在威胁,建立适应组织的信息
安全策略,保证信息存储、交换和销毁过程中的信息安全,且应具备应急灾备计划。
d) 生产单位应对组织访问机制有控制。重要区域应有识别并重点保护,通过网络接入单位内网
应有访问控制,员工对信息访问应具有访问策略控制,应安全传输、接收和处理关键数据,及时
删除存储介质上的数据或销毁存储介质,并详细记录存放信息。
e) 生产单位应具备移动存储介质的安全管理制度。应建立对存储介质申请、使用、更换、维修及
报废的管理制度和安全策略,保存对关键存储介质定期检查的记录,执行写操作以覆盖旧内容
并确保不可恢复,对不再利用的介质应采用毁损的方式进行物理销毁并......
|