安全建设管理-（三）产品采购和使用

安全建设管理

 控制点

3.产品采购和使用

产品采购管理是指对等级保护对象软硬件产品采购过程的管理，包括安全产品、网络产品、服务器、应用和系统软件、密码产品等。

a)

安全要求（关键）：应确保网络安全产品采购和使用符合国家的有关规定。

要求解读：我国对网络安全产品的管理，在不同发展阶段可能存在不同的管理政策，因此应根据当前国家的管理要求落实此项。目前，国家在此方面的主要管理要求是产品获得《计算机等级保护对象安全专用产品销售许可证》方能在市场上流通。产品购买方选择已获得销售许可证的产品。

测评方法

1.访谈系统建设负责人，了解产品采购的流程或遵循的标准。

2.抽样核查网络安全产品的销售许可标志。

期望结果

网络安全产品均有销售许可证。

高风险判定

满足以下条件即可判定为高风险：（三级及以上系统）

网络安全产品的采购和使用违反国家的有关规定，“例如采购、使用的安全产品未获得销售许可证、未通过国家有关机构的安全监测等”。

补偿因素：

对于使用开源、自研的网络安全产品（非销售类安全产品）的情况，可从该网络安全产品的作用、功能、使用场景、国家及行业主管部门的要求等角度进行综合风险分析，充分考虑该网络安全产品未通过专业机构检测，一旦出现功能缺陷、安全漏洞等问题对定级对象带来的影响，根据分析结果，酌情判定风险等级。

b)

安全要求（关键）：应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求。

要求解读：若被测系统中采用了商用密码产品，则该产品的采购和使用需符合国家商用密码管理部门的要求，例如《信息安全等级保护商用密码管理办法》等。

密码产品是指采用密码技术对信息进行加密保护或安全认证的产品，如加密机、电子证书等。

测评方法

1.访谈建设负责人，了解系统是否采用了商用密码产品或服务。

2.核查系统所使用的密码产品的许可证明或批文。

期望结果

密码产品符合国家相关部门的要求。

c)

安全要求（一般）：应预先对产品进行选型测试，确定产品的候选范围，并定期审定和更新候选产品名单。

要求解读：在采购产品时，不仅要考虑产品的使用环境、安全功能、成本（包括采购和维护成本）等因素，还要考虑产品本身的质量和安全性，因此需要预先对产品进行选型测试。

在通常情况下，产品采购的管理需要制定相关制度要求，产品采购管理文档略。

测评方法

1.访谈系统建设负责人，了解产品采购流程。

2.核查产品采购管理制度或要求。

3.核查采购管理制度的内容是否覆盖产品的选择方式，以及是否定期审定和更新产品列表。

期望结果

有产品选型测试报告、候选产品清单，已定期更新产品列表。