5.2　評價指標體系

5.2.1　體系框架

為有效控制信息技術產品在安全可控方面面臨的風險，實現應用方對信息技術產品在數據支配權、產品控制權和產品選擇權三方面的安全可控保障目標，本標準制定了安全可控評價指標體系。其中，影響應用方數據支配權的主要風險來自數據收集、傳輸、存儲、處理、使用、銷毀等環節，為有效控制相關風險需確保產品數據相關實現與其聲稱功能一致、數據相關服務合規，標準設置了產品設計實現透明性、產品重現能力、數據處理規范性等指標項；影響應用方設備控制權的風險主要來自產品研發生產、供應、運維服務等環節，為有效控制相應風險需確保產品控制相關實現與其聲稱功能一致、控制相關服務合規，標準設置了產品設計實現透明性、產品設計驗證等指標項；影響應用方產品選擇權的風險主要來自供應鏈、運維服務等環節，為有效控制相應風險需確保產品的持續供應、正常使用，標準設置了產品持續供應能力、產品供應鏈保障能力、產品服務保障能力等指標項。
本標準設置的信息技術產品安全可控評價指標包括優先評價項和一般評價項兩大類：
——優先評價項指嚴重影響產品安全可控的指標項，該類指標項在評價開始時優先評價。在評價過程中，一旦優先評價項生效，則評價結果為0分，無需進行后續的一般評價項評價。是否設置優先評價項、以及選擇哪項指標作為優先評價項由該類信息技術產品自身技術特點決定。例如可將中央處理器產品的知識產權設置為優先評價項，若發現被評價產品存在經司法判決且未得到妥善處理解決的侵權行為，則按照優先評價項的判定原則，直接判定該中央處理器產品安全可控評價結果為0分。
——一般評價項是針對信息技術產品全生命周期中可能面臨的風險，設置的評價安全可控程度的一系列指標項。根據信息技術產品的生命周期將指標項劃分為研發生產評價類、供應鏈評價類、運維服務評價類三類。表2給出了各評價類對應的指標項及考查內容，并明確了各指標項與安全可控保障目標的對應關系。本系列標準中，中央處理器、操作系統、辦公套件、通用計算機等具體信息技術產品依據自身技術特點和需求設置相應的一般評價項。各信息技術產品的指標項應結合應用方關注點和專家論證結果，設置分檔次的參考分值。
.

5.2.2　研發生產評價類

研發生產評價類主要包括產品設計實現透明性、產品設計驗證、產品重現能力、產品關鍵技術研發能力和產品安全生態適應性5個指標項：

a) 產品設計實現透明性指標主要驗證產品中安全可控相關功能模塊的實現是否與其聲稱的一致，可以通過供應方所提供材料進行評價，必要時可通過技術手段等方式進行評價；

a) 產品設計驗證指標主要驗證產品硬件設計部分是否與實際產品一致，重點考查驗證環境、驗證充分性，以及驗證結果與產品一致性等內容，必要時可通過技術手段等方式進行評價；

b) 產品重現能力指標主要驗證產品軟件設計實現部分是否與實際產品一致，重點考查重現環境、重現充分性，以及重現結果與產品一致性等內容，必要時可通過技術手段等方式進行評價。

c) 產品關鍵技術研發能力指標主要評價供應方對影響到安全可控的核心技術的掌握能力，重點考查產品定制權限和產品定制能力等內容；

d) 產品安全生態適應性指標主要評價產品與應用環境的適配性，重點考查安全可控產品適配性、接口開放性、密碼合規性等內容，其中密碼合規性主要考查涉及到采用密碼技術解決保密性、完整性、真實性、不可否認性需求的產品是否遵循密碼相關國家標準和行業標準。

5.2.3　供應鏈評價類

供應鏈評價類主要包括產品持續供應能力和產品供應鏈保障能力2個指標項：

a) 產品持續供應能力指標主要評價供應方具備持續供應產品的能力，重點考查產品供應情況、核心團隊情況、產品交付管理等內容；

b) 產品供應鏈保障能力指標主要評價供應方的供應鏈可靠性，重點考查核心部件安全可控程度、供應鏈可追溯性、供應鏈穩定性等內容。

5.2.4　運維服務評價類

運維服務評價類主要包括產品服務保障能力和數據處理規范性2個指標項：

a) 產品服務保障能力指標主要評價供應方為應用方提供持續運維服務的能力，重點考查服務及時性、服務可持續性、服務質量和服務規范性等內容；

b) 數據處理規范性指標主要評價供應方對應用方數據的操作各環節的規范性，重點考查數據收集、數據傳輸、數據存儲、數據處理、數據使用和數據銷毀等方面的操作規范性內容。