后信创时代，新晋软硬件厂商如何加入信创大军？

7月28日，中国信息安全测评中心发布了针对PC和服务器搭载的CPU、操作系统及数据库等基础软硬件产品的《安全可靠测评工作指南》（试行）。12月26日，在中国信息安全测评中心官方网站又更新了最新版本的《安全可靠测评工作指南》（试行），详见如下链接。

《安全可靠测评工作指南》（试行）.pdf

根据《安全可靠测评工作指南》要求，产品供应商可以在每年的1-2月及7-8月进行测评申报（需填写《安全可靠测评申请登记表》，详见如下链接），送测厂商应为在中国境内注册的实体，且必须具有送测产品完备的设计资料、研发文档、代码数据和研发环境，拥有送测产的知识产权或授权，具备稳定的研发生产及售后服务团队。产品测评通过后将被认定为安全可靠产品，有效期三年，测评结果供各政企客户自主参考。

《安全可靠测评申请登记表》.pdf

2024年1月，新一轮的安全可靠测评申报工作马上又要启动了，如果有意向测评的新晋软硬件厂商或者是刚刚想进入信创领域的老牌软硬件厂商，可以了解清楚申报程序，尽快下载填写上述的登记表并提交给相关单位。

2023年12月26日，中国信息安全测评中心发布《安全可靠测评结果公告（2023年第1号）》（详见如下链接），自发布之日起有效期三年。这说明，第一批基础软硬件产品已经完成安全可靠测试。

《安全可靠测评结果公告（2023年第1号）》.pdf

据"中国信息安全测评中心"官网介绍，安全可靠测评主要面向计算机终端和服务器搭载的中央处理器（CPU）、操作系统以及数据库等基础软硬件产品，通过对产品及其研发单位的核心技术、安全保障、持续发展等方面开展评估，评定产品的安全性和可持续性，实现对产品研发设计、生产制造、供应保障、售后维护等全生命周期安全可靠性的综合度量和客观评价。

安全可靠测评坚持“自愿平等、客观公正”原则，由企业自愿向中国信息安全测评中心、国家保密科技测评中心申请产品检测，测评结果由企业和用户自主选择使用。

在当前信创名录已经不再更新的情况下，软硬件厂商应该如何加入信创的队伍呢？

据业内人士介绍：

1. 如果是应用软件，走适配认证就可以。如果基础软硬件的话，可通过国家主管部门认可的权威机构的认定。

2. 除了申请国家信息安全测评中心、国家保密局以及其他权威机构的认证安全可靠测评外；申请一些地方政府信创主管部门认定的信创产品评测机构，也是一个不错的选择和途径。目前，山东、上海、深圳等地均有类似权威机构做信创产品的测试及评估认证；且这些各地权威认证机构的结果互为认证，全国通用。

3. 专家认为，信创测试报告，主要用在项目验收或招投标提供资料或控标的。信创产品评估证书，可用于申请国家政策或作为验收材料提交。未来，安全可靠测评以及信创产品的测评和评估认证证书结果将会逐步取代党政信创时期的信创名录，或将成为用户进行信创产品选型的重要参考，有利于提高选型效率。

4. 另外，信创产品的测评和评估认证证书的评定，主要依据除了国家相关部门颁布的法律法规之外，各地各组织制定的各种信创相关的团体标准、国家标准等均是评测评估的重要依据。因此，作为软硬件厂商，积极参与各种标准规范的编制也是极为重要的事情。

大家如果对各类信创测评证书以及信创产品的适配测试、评估认证等环节有何问题需要咨询，可添加安东老师微信（微信号：andon90），将邀请您进群与相关专家老师进行交流沟通。

附：

安全可靠测评工作指南（试行）

2023-12-26   来源： 中国信息安全测评中心

       安全可靠测评主要面向计算机终端和服务器搭载的中央处理器（CPU）、操作系统以及数据库等基础软硬件产品，通过对产品及其研发单位的核心技术、安全保障、持续发展等方面开展评估，评定产品的安全性和可持续性，实现对产品研发设计、生产制造、供应保障、售后维护等全生命周期安全可靠性的综合度量和客观评价。

       安全可靠测评坚持“自愿平等、客观公正”原则，由企业自愿向中国信息安全测评中心、国家保密科技测评中心申请产品检测，测评结果由企业和用户自主选择使用。

一、测评申请

       （一）申请流程

       安全可靠测评申请流程分为材料提交、材料审核、受理评审3个阶段。

图1安全可靠测评申请流程

       1.材料提交

       （1）送测单位按照自主自愿原则，在受理期内通过邮件方式向中国信息安全测评中心（pdtscc@mail.itsec.gov.cn）或国家保密科技测评中心（nsstecaqkk@163.com）提交《安全可靠测评申请登记表》扫描件（表格附后）。

       （2）测评机构收到送测单位提交的《安全可靠测评申请登记表》后，5个工作日内通知送测单位到指定地点领取测评申请材料清单。

       （3）送测单位根据测评申请材料清单在受理期内向测评机构提交相关材料，并对材料的真实性负责。

       （4）受理期每年两次，为1月第一个工作日至2月最后一个工作日和7月第一个工作日至8月最后一个工作日。

       2.材料审核

       （1）测评机构收到送测单位提交的申请材料后开展材料审核，15个工作日内向送测单位反馈审核意见。

       （2）通过材料审核的，进入受理评审环节。

       （3）未通过材料审核的，送测单位可在受理期内根据审核意见补充完善申请材料并重新提交。

       （4）受理期截止后，测评机构不再接受送测单位提交的申请材料和补充材料。

       3.受理评审

       （1）受理期截止后，测评机构根据送测单位提交的申请材料进行受理评审，并向送测单位反馈受理评审结果。

       （2）通过受理评审的，测评机构与送测单位明确测试样品和测评材料有关要求，核定测评工作量，确定测评费用并签订测评协议，进入测评实施环节。

       （3）未通过受理评审或未达成测评协议的，终止本次测评。

       （二）申请条件

       送测单位应为中国境内注册的实体，且满足以下条件：

       1.具有送测产品完备的研发文档、设计资料、代码数据和研发环境；

       2.拥有送测产品相关的发明专利、商标、著作权等知识产权或授权；

       3.具备与送测产品研发设计、生产制造、供应保障、售后维护相匹配的人员队伍和工作环境；

       4.不存在违反中国法律法规的行为和记录；

       5.不存在依据中国相关法规条例认定的知识产权滥用、失信等行为。

二、测评实施

       （一）测评流程

       测评流程分为测评启动、测评开展、结果评定3个阶段。

图2安全可靠测评流程

       1.测评启动

       （1）送测单位自接到测评机构通知起10个工作日内提交测试样品及测评材料。

       （2）测评机构对送测单位提交的测评材料及测试样品确认无误后，启动测评。

       2.测评开展

       （1）测评主要包括材料核验、人员访谈、代码审查、环境审查、现场测试、现场考核、样品测试等环节。

       （2）测评过程中，送测单位应及时响应测评机构需要，提供技术支持或补充相关材料。若测试样品出现问题导致测评无法正常开展，送测单位应及时更换或补充样品。

       （3）自测评启动之日起，测评机构原则上在90个工作日内完成测评。送测单位补充材料、更换或补充样品的时间不计入测评周期。如遇特殊情况或受不可抗力影响，测评周期可根据实际情况延长。

       （4）若测评过程中发现送测产品存在影响或者可能涉及网络安全法律法规的问题，应当确认送测产品符合相关法律法规后，再继续开展测评。

       （5）若测评过程中发现送测单位存在隐瞒、欺骗、提交虚假材料、不配合测评等行为，测评机构终止本次测评，作不通过处理，且两年内不再受理其测评申请。

       3.结果评定

       测评完成后，测评机构对测评情况进行分级评定，出具安全可靠测评结果。

       （二）测评主要内容

       1.针对送测产品：

       （1）设计、开发、生产等关键环节在中国境内完成的情况，以及实施必要的安全防护措施的情况；

       （2）遵守中华人民共和国知识产权相关法律法规、行业标准规范的情况，履行开源许可协议、授权许可合同的要求的情况；

       （3）不存在未声明功能和已知安全风险的情况；

       （4）安全风险防护能力的情况；

       （5）供应链安全性和持续稳定性的情况；

       （6）服务保障安全性、持续稳定性和可追溯性的情况；

       （7）符合中华人民共和国网络安全相关的法律法规及技术标准的情况；

       （8）满足技术要件对测评机构充分公开和可追溯的情况。

       2.针对送测单位：

       （1）依据中华人民共和国相关法律法规合法合规运营，具备相关的运营、研发、管理、服务等资质的情况；

       （2）依据中华人民共和国相关法律法规实施知识产权保护及管理的情况；

       （3）依据中华人民共和国相关法律法规对核心数据、重要数据进行保护的情况；

       （4）供应链服务的情况或风险；

       （5）具备与送测产品研发设计、生产制造、供应保障、售后维护相匹配的人员队伍的情况；

       （6）具备产品定制开发能力，能够基于自身产品构建产业生态，保持生态开放性、透明性，满足各种应用场景需求的情况；

       （7）具备漏洞响应等能力与管理机制的情况；

       （8）具备及时有效的售后服务能力与管理机制的情况；

       （9）具备送测产品的独立研发能力，且拥有相关知识产权保护的情况；

       （10）具备送测产品的研发环境及过程记录的情况；

       （11）确保测评材料对测评机构充分公开和可追溯。

三、结果查询

       1.送测单位可通过中国信息安全测评中心（网址：www.itsec.gov.cn）和国家保密科技测评中心（网址：www.nsstec.org.cn）官方网站查询测评结果，测评结果自发布之日起有效期3年。

       2.测评结果有效期内，若送测单位出现实控人或控股权发生变化、产品技术路线更换、产品被发现重大安全漏洞等可能影响测评结果的情形，送测单位应及时告知测评机构。未及时告知的，测评机构有权视情处置，直至取消产品测评结果。

       3.送测单位对测评结果有异议，采用书面方式向测评机构提出申诉。一般情况下，测评机构30个工作日内予以答复。

       4.未通过测评的送测产品，送测单位一年内不得重复送测同类产品。

四、保密承诺

       1.测评机构对在测评工作中知悉的商业秘密和未公开材料承担保密义务，承诺不侵犯送测单位的知识产权。

       2.送测单位应对测评工作涉及的未公开事项承担保密义务，不公开宣传、报道，不向第三方泄露。

五、参考依据

       1.《中华人民共和国国家安全法》

       2.《中华人民共和国网络安全法》

       3.《中华人民共和国数据安全法》

       4.《中华人民共和国个人信息保护法》

       5.《中华人民共和国保守国家秘密法》

       6.《中华人民共和国密码法》

       7.《中华人民共和国专利法》

       8.《中华人民共和国商标法》

       9.《中华人民共和国著作权法》

       10.《中华人民共和国反垄断法》

       11.《计算机软件保护条例》

       12.《集成电路布图设计保护条例》

       13.《关键信息基础设施安全保护条例》

       14.《网络安全审查办法》

       15.《数据出境安全评估办法》

       16.《商用密码应用安全性评估管理办法（试行）》

       17.《知识产权对外转让有关工作办法（试行）》

       18.《商标一般违法判断标准》

       19.《商标侵权判断标准》

       20.《不可靠实体清单规定》

       21.《国家知识产权局知识产权信用管理规定》

       22.GB/T 18336-2015《信息技术安全评估准则》

       23.GB/T 29490-2013《企业知识产权管理规范》

       24.GB/T 37286-2019《知识产权分析评议服务—服务规范》

       25.GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》

       26.GB/T 25070-2019《信息安全技术网络安全等级保护安全设计技术要求》

       27.GB/T 28448-2019《信息安全技术网络安全等级保护测评要求》

       28.GB/T 39786-2021《信息系统密码应用基本要求》