工作簡況任務(wù)來源本項目為2012年的標準編制項目，名為“信息安全技術(shù)硬拷貝設(shè)備安全測試評價方法”（以下簡稱《測評方法》），計劃號為20130341-T-469。該標準以《信息安全技術(shù)辦公設(shè)備基本安全要求》（GB/T29244-2012）為基礎(chǔ)，制定了對辦公設(shè)備安全要求進行測試評價的方法。本項目由中國電子技術(shù)標準化研究院承擔(dān)，參與單位包括西安電子科技大學(xué)、國家辦公設(shè)備與耗材質(zhì)量監(jiān)督檢驗中心、珠海天威飛馬打印耗材有限公司、方正科技集團股份有限公司、珠海賽納打印科技股份有限公司、天津復(fù)印機技術(shù)研究所、東莞市金翔電器設(shè)備有限公司、天津光電通信技術(shù)有限公司、河北漢光重工有限責(zé)任公司等國內(nèi)單位，以及中國惠普有限公司、佳能（中國）有限公司、柯尼卡美能達（中國）投資有限公司、上海富士施樂有限公司、夏普辦公設(shè)備（常熟）有限公司、三星電子（山東）數(shù)碼打印機有限公司、愛普生（中國）有限公司等國外企業(yè)。主要工作過程1.2013年2月，成立標準編制組考慮到辦公設(shè)備的產(chǎn)業(yè)現(xiàn)狀，標準編制組廣泛吸收了國內(nèi)的研究機構(gòu)、質(zhì)檢機構(gòu)、辦公設(shè)備企業(yè)參與到標準研制工作，同時按照相關(guān)程序，接受了部分國外企業(yè)作為觀察成員，參與標準研制過程。2.2013年3月，調(diào)研國內(nèi)外辦公設(shè)備安全標準現(xiàn)狀研究現(xiàn)有國內(nèi)外辦公設(shè)備安全相關(guān)標準，分析各自特點，學(xué)習(xí)借鑒，主要包括：《信息安全技術(shù)辦公設(shè)備基本安全要求》（GB/T29244-2012）《IEEEStandardforInformationTechnology:HardcopyDeviceandSystemSecurity》（IEEE2600-2008）《IEEEStandardforaProtectionProfileinOperationalEnvironmentA/B/C/D》（IEEE2600.1~4-2009）GB/T18336.1～3-2015(ISO／IEC15408-1～3－2005)《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》（GB/T22239—2008）《信息安全技術(shù)信息系統(tǒng)安全等級保護測評要求》（GB/T28448-2012）3.2013年4月，調(diào)研國內(nèi)辦公設(shè)備安全測評需求與產(chǎn)業(yè)現(xiàn)狀2013年4月，與國內(nèi)外辦公設(shè)備廠商、國家辦公設(shè)備與耗材質(zhì)量監(jiān)督檢驗中心等代表進行研討，并到個別廠商和政府機構(gòu)實地調(diào)研情況，了解辦公設(shè)備的安全現(xiàn)狀與測評需求。4.2013年5月，召開標準啟動會，確定標準范圍和框架2013年5月編制組召開標準啟動會，與參與單位共同討論，明確了標準的適用范圍和草案框架。5.2013年6月-7月，初步形成標準草案，小范圍征求意見。根據(jù)標準草案框架，編制標準草案初稿，并于2013年7月底召開標準內(nèi)部研討會，與編制組成員進行研討，并小范圍征求專家意見。6.2013年8月-10月，完善標準草案，召開標準草案審查會編制組根據(jù)標準內(nèi)部研討會的意見，完成標準草案。2013年10月信安標委秘書處組織了標準草案審查會，評審專家對標準內(nèi)容提出了修改意見。7.2013年11月-12月，修改完善標準草案，召開標準草案研討會編制組根據(jù)審查會的專家意見，重新梳理了標準研制思路，并進行了任務(wù)分工，完善了標準草案。2013年12月，信安標委秘書處組織了標準草案研討會，進一步對標準制定內(nèi)容進行討論。8.2014年1月-2015年9月，修改完善標準草案，開展標準實驗驗證為了驗證標準的合理性和可操作性，編制組搭建了辦公設(shè)備安全標準驗證環(huán)境，對主流品牌多款辦公設(shè)備產(chǎn)品開展了大量安全測評實驗，包括辦公設(shè)備的安全漏洞掃描、硬盤數(shù)據(jù)恢復(fù)、網(wǎng)絡(luò)協(xié)議分析等，并研發(fā)配備了數(shù)據(jù)恢復(fù)、安全檢測等多款測評工具。在測評實驗驗證的基礎(chǔ)上，編制組對標準草案進一步修改完善，形成了標準草案第二版。信安標委秘書處于2014年6月、2014年11月、2015年5月分別組織三次標準草案研討會，進一步對標準內(nèi)容進行討論。8.2015年9月-2016年3月，修改完善標準草案根據(jù)前期標準研討會的專家意見，將標準草案進行完善，并參考國家等級保護系列標準對標準草案的內(nèi)容邏輯和文字描述進行修改，形成標準草案第三版。2016年3月，陸續(xù)征求了幾位專家對標準草案的意見，并進行了相應(yīng)完善。9.2016年4月，召開標準草案審查會，專家同意形成征求意見稿2016年4月25日，召開標準草案審查會，會議專家同意形成征求意見稿，并根據(jù)此標準研討會的專家意見，將標準名稱由《信息安全技術(shù)硬拷貝設(shè)備安全測試評價方法》改為《信息安全技術(shù)辦公設(shè)備安全測試評價方法》。10.2016年10月，標準周審查該標準，同意形成征求意見稿2016年10月14日召開內(nèi)部專家評審會，會議專家對標準草案提出一些修改意見，修改后形成標準草案第9稿。10月19日，該標準參加成都信息安全標準周會議，會議同意該標準形成征求意見稿，但是標準名稱更改未獲同意，名稱仍為《信息安全技術(shù)硬拷貝設(shè)備安全測試評價方法》。編制原則和主要內(nèi)容2.1編制原則本標準的研究與編制工作遵循以下原則：一是以GB/T29244-2012標準為基礎(chǔ)。《測評方法》是《信息安全技術(shù)辦公設(shè)備基本安全要求》（GB/T29244-2012）對應(yīng)的安全測評標準，因此標準編制中針對GB/T29244-2012的每一條辦公設(shè)備安全要求，提出了相應(yīng)的安全測評方法，力求做到一一對應(yīng)，沒有遺漏。二是支持靈活的測評方法。由于辦公設(shè)備類型多樣，并且越來越網(wǎng)絡(luò)化、智能化，辦公設(shè)備的安全測評方法也在不斷發(fā)展變化，因此本標準在編制中盡量保持技術(shù)中立，只對安全要求的測評提出要求，而不限制具體的測評實現(xiàn)方法，保持了辦公設(shè)備安全測評方法的靈活性。三是考慮可操作性和實用性。為了確保標準的可操作性和實用性，標準編制從兩方面著手，一方面標準編制組廣泛吸收了在國內(nèi)辦公設(shè)備市場的主流國內(nèi)和國外辦公設(shè)備廠商作為標準編制組成員；另一方面標準編制過程中，開展了大量了辦公設(shè)備產(chǎn)品安全測評實驗，為標準合理性和可操作性驗證提供了支撐。2.2主要內(nèi)容《測評方法》是GB/T29244-2012《信息安全技術(shù)辦公設(shè)備基本安全要求》對應(yīng)的測評標準，規(guī)定了對辦公設(shè)備安全要求進行測試評價的方法。該標準適用于對辦公設(shè)備具有安全要求的機構(gòu)，對采購或使用的辦公設(shè)備產(chǎn)品進行安全測評，也可為辦公設(shè)備供應(yīng)商提供產(chǎn)品安全設(shè)計的參考，但不適用于涉及國家秘密的信息處理環(huán)境。《測評方法》在“測評概述”中介紹了辦公設(shè)備安全測評的測評依據(jù)、測評實施過程、測評方法、測試環(huán)境和對辦公設(shè)備供應(yīng)商的要求。其中，測評實施過程將辦公設(shè)備安全測評分成測評準備、測評計劃開發(fā)、現(xiàn)場測評、綜合分析四個階段。測評方法，包括訪談、檢查、測試三種方法。測試環(huán)境，則給出了一個典型的辦公設(shè)備安全測評的實驗室環(huán)境。針對GB/T29244-2012的每一項辦公設(shè)備安全要求，《測評方法》在“測評規(guī)程”中給出了相應(yīng)的安全測評方法，主要包括：標識和鑒別訪問控制安全審計殘余信息保護系統(tǒng)功能維護會話可移動非易失性存儲密碼要求安全屬性管理數(shù)據(jù)管理用戶角色管理主要試驗（或驗證）的分析、綜述報告，技術(shù)經(jīng)濟論證，預(yù)期的經(jīng)濟效果編制組搭建了辦公設(shè)備安全標準驗證環(huán)境，根據(jù)《測評方法》標準草案要求，對HP、三星、理光、兄弟、佳能等主流品牌多款辦公設(shè)備產(chǎn)品開展了大量安全測評實驗，涉及身份鑒別、訪問控制、殘余信息保護、安全審計、遠程維護、系統(tǒng)功能等多個方面，標準的合理性和可操作性效果良好。采用國際標準和國外先進標準的程度，以及與國際、國外同類標準水平的對比情況，或與測試的國外樣品、樣機的有關(guān)數(shù)據(jù)對比情況信息安全標準已經(jīng)成為網(wǎng)絡(luò)空間國際競爭的戰(zhàn)略制高點。特別是，辦公設(shè)備安全標準及其背后的管理政策將會對辦公設(shè)備產(chǎn)業(yè)造成重大影響，也將限制國外辦公設(shè)備供應(yīng)商滲透到我國敏感部門和重要行業(yè)，這必然會引起國外企業(yè)的強烈反應(yīng)。為此，編制組專門分析、參考、吸收了國外辦公設(shè)備信息安全相關(guān)標準，主要包括：《硬拷貝設(shè)備和系統(tǒng)安全》（IEEE2600-2008）。這是硬拷貝設(shè)備的國際標準，用于指導(dǎo)制造商或用戶硬拷貝設(shè)備和系統(tǒng)的安全安裝、配置或使用。《A類操作環(huán)境的硬拷貝設(shè)備保護輪廓》（IEEE2600.1-2009）。這是適用于A類操作環(huán)境下硬拷貝設(shè)備的保護輪廓（PP）國際標準，A類環(huán)境通常是HIPAA、PCIDSS，或高保密性的環(huán)境。《B類操作環(huán)境的硬拷貝設(shè)備保護輪廓》（IEEE2600.2-2009）。這是適用于B類操作環(huán)境下硬拷貝設(shè)備的保護輪廓（PP）國際標準，B類環(huán)境常見于中到大型企業(yè)，或政府部門中（不需要高級安全的）。《C類操作環(huán)境的硬拷貝設(shè)備保護輪廓》（IEEE2600.3-2009）。這是適用于C類操作環(huán)境下硬拷貝設(shè)備的保護輪廓（PP）國際標準，C類環(huán)境是服務(wù)于公眾的環(huán)境。《D類操作環(huán)境的硬拷貝設(shè)備保護輪廓》（IEEE2600.4-2009）。這是適用于D類操作環(huán)境下硬拷貝設(shè)備的保護輪廓（PP）國際標準，D類環(huán)境通常是遠程工作環(huán)境，或小到中型企業(yè)。由于GB/T29244-2012標準主要參考了IEEE2600.1-2009國際標準，本標準在GB/T29244-2012標準的基礎(chǔ)上，力求在技術(shù)要素上覆蓋國際權(quán)威標準。同時，為落實國家對辦公設(shè)備信息安全管理的政策要求，標準在保持技術(shù)中立的前提下，提出了大量擴展要求。與有關(guān)的現(xiàn)行法律、法規(guī)和強制性國家標準的關(guān)系《測評方法》符合現(xiàn)有法律法規(guī)。《測評方法》是GB/T29244-2012《信息安全技術(shù)辦公設(shè)備基本安全要求》配套的測評標準，規(guī)定了對辦公設(shè)備安全要求進行測試評價的要求。《測評方法》與GB/T18336-2015《信息技術(shù)安全技術(shù)信息技術(shù)安全評估準則》不矛盾、不沖突。《測評方法》是針對辦公設(shè)備安全保護輪廓的安全測評方法。《測評方法》與GB/T28448-2012《信息安全技術(shù)信息系統(tǒng)安全等級保護測評要求》不矛盾、不沖突。等級保護標準是針對信息系統(tǒng)，沒有覆蓋辦公設(shè)備的安全等級測評。重大分歧意見的處理經(jīng)過和依據(jù)詳見標準意見匯總處理表。國家標準作為強制性國家標準或推薦性國家標準的建議建議本標準作為推薦性國家標準發(fā)布實施。貫徹國家標準的要求和措施建議（包括組織措施、技術(shù)措施、過渡辦法等內(nèi)容）本標準作為辦公設(shè)備安全標準體系的一部分，配合實施。其他事項說明