4.3　安全可控保障

安全可控保障是應用方信任信息技術產品滿足其安全可控需求的基礎，通過對信息技術產品進行安全可控評價來提供保障。評價實施方依據公開信息和供應方自證材料等判斷產品符合安全可控需求的程度，為應用方提供參考。
依據安全可控要求，安全可控的保障目標主要是保護應用方的數據支配權、產品控制權和產品選擇權，具體如表1所示。從保障目標看，安全可控保障的實現涉及到產品研發、生產、供應、運維服務等生命周期各環節。在數據支配權方面，安全可控保障需要考查產品研發生產環節中相關技術實現與其聲稱功能的一致性，也要考查運維服務環節中對應用方數據的收集、傳輸、存儲、處理、使用、銷毀等操作的合規性；在產品控制權方面，安全可控保障需要考查產品研發生產環節中相關技術實現與其聲稱功能的一致性，也要考查運維服務環節產品升級、維護等的合規性；在產品選擇權方面，安全可控保障則主要考查產品供應鏈的完整性、穩定性以及運維服務的合理性。
。