一、整体流程
1.入库阶段
合同签订后,由技术人员对接项目信息。我中心将提供《评估服务单元简介》与《评估物料清单》,由客户填写清单后随物料一同寄送。收到物料后,我中心将及时启动入库流程。严格按照保密规定处理物料数据。入库时,我们将进行详尽的核验,确保物料准确、完整、无误,为后续评估奠定坚实基础。如果出现物料受损、资料与清单不符等情况,我中心将及时联系对接人,沟通物料补全事宜。
核验无误入库后,我中心技术部门将启动对应的安全评估服务。除DAST外,所有流程均在内网环境中进行,以确保评估过程的安全与数据的保密。同时,所有数据均在监管下进行评估。评估完成后,我中心将对物料与评估结果进行归档处理,并以物理隔离的方式妥善存储,以确保评估数据的安全与可追溯性。
2.评估阶段
我中心将合理调配资源、指派专业技术人员开展技术服务。根据客户选取的评估服务,技术人员使用专业工具对物料文件进行扫描评估。获取初步评估结果后,技术人员对评估结果中的信息逐条评审,排除误报结果后生成第一版评估结果。由交叉审核人员对原始数据与第一版评估结果进行复验并生成最终版评估结果,确保结果的真实性与准确性。
3.整改阶段
技术人员根据第一版评估结果预估产品安全分值,如果预估安全分值未达标,分中心会提供列有详细风险组件和漏洞分布等信息的报告,且每种风险都会尽可能提供可参考的整改意见。客户根据自己的实际情况进行整改。请注意,分中心仅提供整改意见以供参考,不参与任何整改程序。客户整改完成后按照标准流程寄送至我中心,我中心提供一次免费复检。请在整改后及时进行复检。
4.评估结果
复检后相应评估结果数据将上传至公安部第三研究所相关平台,根据平台给出的分数定级。达标的系统将由公安部第三研究所出具并授予产品供应链安全技术分析报告,报告中显示文件信息与供应链安全等级。当次评估结果仅对送检文件的版本负责。
5.评分阶段
技术人员上传评估结果至公安部第三研究所平台后,平台将上传的数据划分为多个维度,每个维度按照对应的标准打分。所有维度给出评分后,按照维度权重汇总计算产品安全分值。根据分值进行定级。
6.报告出具
评估分值在及格以上的产品,将由公安部第三研究所出具并授予客户一份带有公安部第三研究所公章的技术分析报告,以示软件产品通过供应链安全能力评估认证。报告中带有产品安全分值以及产品供应链安全等级。
二、流程图
1. 收到评估需求、确认需求、签订评估合同
2. 客服:开始介入跟客户沟通系统情况,根据合同评估内容沟通物料清单和评估要求
3. 客服:登记评估台账
4. 客服:供应链安全能力分中心平台发起评估申请
5. 客户:交付待评估物料(通过挂号信或电子邮件寄送)
6. 客服:接收物料,校验物料的完整性
7. 客服:使用hash工具获得文件hash跟整体hash,更新评估台账
8. 测试:按各单元评估流程,进行单元的评估
9. 测试:分析各单元评估结果
10. 测试:交叉核验一下单元评估结果,整合漏洞报告,预估安全分值,更新评估台账
11. 客服:预估不合格的产品,反馈漏洞报告给客户做安全整改
12. 测试:漏洞报告解读(如需要)
13. 客户:整改,整改完成回到第5步
14. 测试:单元评估结果审核
15. 测试:单元评估结果在供应链安全能力分中心平台上报
16. 测试:打印报告
17. 客服:交付评估报告给客户
18. 售后:更新台账
19. 售后:客户回访,记录回访结果
数安官方公众号
分中心公众号