工作簡況任務來源本項目為2012年的標準編制項目，名為“信息安全技術硬拷貝設備安全測試評價方法”（以下簡稱《測評方法》），計劃號為20130341-T-469。該標準以《信息安全技術辦公設備基本安全要求》（GB/T29244-2012）為基礎，制定了對辦公設備安全要求進行測試評價的方法。本項目由中國電子技術標準化研究院承擔，參與單位包括西安電子科技大學、國家辦公設備與耗材質量監督檢驗中心、珠海天威飛馬打印耗材有限公司、方正科技集團股份有限公司、珠海賽納打印科技股份有限公司、天津復印機技術研究所、東莞市金翔電器設備有限公司、天津光電通信技術有限公司、河北漢光重工有限責任公司等國內單位，以及中國惠普有限公司、佳能（中國）有限公司、柯尼卡美能達（中國）投資有限公司、上海富士施樂有限公司、夏普辦公設備（常熟）有限公司、三星電子（山東）數碼打印機有限公司、愛普生（中國）有限公司等國外企業。主要工作過程1.2013年2月，成立標準編制組考慮到辦公設備的產業現狀，標準編制組廣泛吸收了國內的研究機構、質檢機構、辦公設備企業參與到標準研制工作，同時按照相關程序，接受了部分國外企業作為觀察成員，參與標準研制過程。2.2013年3月，調研國內外辦公設備安全標準現狀研究現有國內外辦公設備安全相關標準，分析各自特點，學習借鑒，主要包括：《信息安全技術辦公設備基本安全要求》（GB/T29244-2012）《IEEEStandardforInformationTechnology:HardcopyDeviceandSystemSecurity》（IEEE2600-2008）《IEEEStandardforaProtectionProfileinOperationalEnvironmentA/B/C/D》（IEEE2600.1~4-2009）GB/T18336.1～3-2015(ISO／IEC15408-1～3－2005)《信息安全技術信息系統安全等級保護基本要求》（GB/T22239—2008）《信息安全技術信息系統安全等級保護測評要求》（GB/T28448-2012）3.2013年4月，調研國內辦公設備安全測評需求與產業現狀2013年4月，與國內外辦公設備廠商、國家辦公設備與耗材質量監督檢驗中心等代表進行研討，并到個別廠商和政府機構實地調研情況，了解辦公設備的安全現狀與測評需求。4.2013年5月，召開標準啟動會，確定標準范圍和框架2013年5月編制組召開標準啟動會，與參與單位共同討論，明確了標準的適用范圍和草案框架。5.2013年6月-7月，初步形成標準草案，小范圍征求意見。根據標準草案框架，編制標準草案初稿，并于2013年7月底召開標準內部研討會，與編制組成員進行研討，并小范圍征求專家意見。6.2013年8月-10月，完善標準草案，召開標準草案審查會編制組根據標準內部研討會的意見，完成標準草案。2013年10月信安標委秘書處組織了標準草案審查會，評審專家對標準內容提出了修改意見。7.2013年11月-12月，修改完善標準草案，召開標準草案研討會編制組根據審查會的專家意見，重新梳理了標準研制思路，并進行了任務分工，完善了標準草案。2013年12月，信安標委秘書處組織了標準草案研討會，進一步對標準制定內容進行討論。8.2014年1月-2015年9月，修改完善標準草案，開展標準實驗驗證為了驗證標準的合理性和可操作性，編制組搭建了辦公設備安全標準驗證環境，對主流品牌多款辦公設備產品開展了大量安全測評實驗，包括辦公設備的安全漏洞掃描、硬盤數據恢復、網絡協議分析等，并研發配備了數據恢復、安全檢測等多款測評工具。在測評實驗驗證的基礎上，編制組對標準草案進一步修改完善，形成了標準草案第二版。信安標委秘書處于2014年6月、2014年11月、2015年5月分別組織三次標準草案研討會，進一步對標準內容進行討論。8.2015年9月-2016年3月，修改完善標準草案根據前期標準研討會的專家意見，將標準草案進行完善，并參考國家等級保護系列標準對標準草案的內容邏輯和文字描述進行修改，形成標準草案第三版。2016年3月，陸續征求了幾位專家對標準草案的意見，并進行了相應完善。9.2016年4月，召開標準草案審查會，專家同意形成征求意見稿2016年4月25日，召開標準草案審查會，會議專家同意形成征求意見稿，并根據此標準研討會的專家意見，將標準名稱由《信息安全技術硬拷貝設備安全測試評價方法》改為《信息安全技術辦公設備安全測試評價方法》。10.2016年10月，標準周審查該標準，同意形成征求意見稿2016年10月14日召開內部專家評審會，會議專家對標準草案提出一些修改意見，修改后形成標準草案第9稿。10月19日，該標準參加成都信息安全標準周會議，會議同意該標準形成征求意見稿，但是標準名稱更改未獲同意，名稱仍為《信息安全技術硬拷貝設備安全測試評價方法》。編制原則和主要內容2.1編制原則本標準的研究與編制工作遵循以下原則：一是以GB/T29244-2012標準為基礎?！稖y評方法》是《信息安全技術辦公設備基本安全要求》（GB/T29244-2012）對應的安全測評標準，因此標準編制中針對GB/T29244-2012的每一條辦公設備安全要求，提出了相應的安全測評方法，力求做到一一對應，沒有遺漏。二是支持靈活的測評方法。由于辦公設備類型多樣，并且越來越網絡化、智能化，辦公設備的安全測評方法也在不斷發展變化，因此本標準在編制中盡量保持技術中立，只對安全要求的測評提出要求，而不限制具體的測評實現方法，保持了辦公設備安全測評方法的靈活性。三是考慮可操作性和實用性。為了確保標準的可操作性和實用性，標準編制從兩方面著手，一方面標準編制組廣泛吸收了在國內辦公設備市場的主流國內和國外辦公設備廠商作為標準編制組成員；另一方面標準編制過程中，開展了大量了辦公設備產品安全測評實驗，為標準合理性和可操作性驗證提供了支撐。2.2主要內容《測評方法》是GB/T29244-2012《信息安全技術辦公設備基本安全要求》對應的測評標準，規定了對辦公設備安全要求進行測試評價的方法。該標準適用于對辦公設備具有安全要求的機構，對采購或使用的辦公設備產品進行安全測評，也可為辦公設備供應商提供產品安全設計的參考，但不適用于涉及國家秘密的信息處理環境?！稖y評方法》在“測評概述”中介紹了辦公設備安全測評的測評依據、測評實施過程、測評方法、測試環境和對辦公設備供應商的要求。其中，測評實施過程將辦公設備安全測評分成測評準備、測評計劃開發、現場測評、綜合分析四個階段。測評方法，包括訪談、檢查、測試三種方法。測試環境，則給出了一個典型的辦公設備安全測評的實驗室環境。針對GB/T29244-2012的每一項辦公設備安全要求，《測評方法》在“測評規程”中給出了相應的安全測評方法，主要包括：標識和鑒別訪問控制安全審計殘余信息保護系統功能維護會話可移動非易失性存儲密碼要求安全屬性管理數據管理用戶角色管理主要試驗（或驗證）的分析、綜述報告，技術經濟論證，預期的經濟效果編制組搭建了辦公設備安全標準驗證環境，根據《測評方法》標準草案要求，對HP、三星、理光、兄弟、佳能等主流品牌多款辦公設備產品開展了大量安全測評實驗，涉及身份鑒別、訪問控制、殘余信息保護、安全審計、遠程維護、系統功能等多個方面，標準的合理性和可操作性效果良好。采用國際標準和國外先進標準的程度，以及與國際、國外同類標準水平的對比情況，或與測試的國外樣品、樣機的有關數據對比情況信息安全標準已經成為網絡空間國際競爭的戰略制高點。特別是，辦公設備安全標準及其背后的管理政策將會對辦公設備產業造成重大影響，也將限制國外辦公設備供應商滲透到我國敏感部門和重要行業，這必然會引起國外企業的強烈反應。為此，編制組專門分析、參考、吸收了國外辦公設備信息安全相關標準，主要包括：《硬拷貝設備和系統安全》（IEEE2600-2008）。這是硬拷貝設備的國際標準，用于指導制造商或用戶硬拷貝設備和系統的安全安裝、配置或使用。《A類操作環境的硬拷貝設備保護輪廓》（IEEE2600.1-2009）。這是適用于A類操作環境下硬拷貝設備的保護輪廓（PP）國際標準，A類環境通常是HIPAA、PCIDSS，或高保密性的環境?！禕類操作環境的硬拷貝設備保護輪廓》（IEEE2600.2-2009）。這是適用于B類操作環境下硬拷貝設備的保護輪廓（PP）國際標準，B類環境常見于中到大型企業，或政府部門中（不需要高級安全的）?！禖類操作環境的硬拷貝設備保護輪廓》（IEEE2600.3-2009）。這是適用于C類操作環境下硬拷貝設備的保護輪廓（PP）國際標準，C類環境是服務于公眾的環境?！禗類操作環境的硬拷貝設備保護輪廓》（IEEE2600.4-2009）。這是適用于D類操作環境下硬拷貝設備的保護輪廓（PP）國際標準，D類環境通常是遠程工作環境，或小到中型企業。由于GB/T29244-2012標準主要參考了IEEE2600.1-2009國際標準，本標準在GB/T29244-2012標準的基礎上，力求在技術要素上覆蓋國際權威標準。同時，為落實國家對辦公設備信息安全管理的政策要求，標準在保持技術中立的前提下，提出了大量擴展要求。與有關的現行法律、法規和強制性國家標準的關系《測評方法》符合現有法律法規。《測評方法》是GB/T29244-2012《信息安全技術辦公設備基本安全要求》配套的測評標準，規定了對辦公設備安全要求進行測試評價的要求?！稖y評方法》與GB/T18336-2015《信息技術安全技術信息技術安全評估準則》不矛盾、不沖突?！稖y評方法》是針對辦公設備安全保護輪廓的安全測評方法?！稖y評方法》與GB/T28448-2012《信息安全技術信息系統安全等級保護測評要求》不矛盾、不沖突。等級保護標準是針對信息系統，沒有覆蓋辦公設備的安全等級測評。重大分歧意見的處理經過和依據詳見標準意見匯總處理表。國家標準作為強制性國家標準或推薦性國家標準的建議建議本標準作為推薦性國家標準發布實施。貫徹國家標準的要求和措施建議（包括組織措施、技術措施、過渡辦法等內容）本標準作為辦公設備安全標準體系的一部分，配合實施。其他事項說明