JSM-02是 JC-STAR（日本网络安全技术评估要求标签计划）的核心文档，于 2025 年 3 月 11 日生效，明确规定申请人获取标签需遵守的要求；文档核心界定 JC-STAR 为 4 级 conformance requirements（STAR-1 至 STAR-4），其中STAR-1（基础通用级） 是所有 IoT 产品的最低安全基线，STAR-2（产品定制级）按产品类别补充定制要求，STAR-3（重要系统级）和STAR-4（高安全级）针对关键基础设施及高安全需求场景；评估方式上，STAR-1/2 支持自我声明，STAR-3/4 强制第三方评估 + IPA 复核；同时还规范了标签申请流程（语言、文档、费用）、使用限制（仅对应型号使用）及后续维护（信息变更、漏洞报告）等关键内容。

一、文档基础信息

1. 文档定位

   全称为《Requirements for Security Requirement Conformance Assessment/Certification and Label Acquisition》（简称 “Requirements for Label Acquisition”），是 JC-STAR（日本网络安全技术评估要求标签计划）的核心合规文档，由日本信息处理推进机构（IPA）制定。

2. 生效时间

   2025 年 3 月 11 日（Jo-Se-Gi No.192 of 2025），明确申请人从标签申请到后续维护需全程遵守。

3. 关联文档

   细节流程需参考《Guidance on Label Acquisition (JSM-02-A)》，体系框架需结合《Labeling Scheme based on JC-STAR Scheme Document (JSS-01)》。

二、核心术语定义（关键术语）

三、JC-STAR 4 级体系详情（核心内容）

★1（基础通用级）

核心定位：所有IoT产品的最低安全基线，无产品类别差异。
适用场景：所有需符合JC-STAR的IoT产品，如消费级智能设备、小型工业传感器。
评估方式：支持自我声明，申请人自评后提交Checklist及证据即可。
安全强度：最低，仅要求统一通用规则，如默认密码规范、基础访问控制。

★2（产品定制级）

核心定位：在★1基础上，按产品类别补充定制化安全要求。
适用场景：有明确品类的IoT设备，如工业IoT网关、智能家居控制器、储能EMS通信模块。
评估方式：支持自我声明或第三方评估。
安全强度：中等，增加品类特有风险防护，如网络摄像机需视频加密。

★3（重要系统级）

核心定位：针对关键基础设施（能源、交通）、政府机构、大型企业使用的IoT产品。
适用场景：电网侧储能EMS核心控制器、轨道交通信号IoT模块、政府办公专用IoT设备。
评估方式：强制第三方机构评估，需实验室渗透测试。
安全强度：较高，需动态威胁情报同步、漏洞响应机制。

★4（高安全级）

核心定位：面向极高安全需求场景，如国家机密、核心工业控制。
适用场景：核电领域IoT监控模块、军事用途辅助IoT设备、涉及国家机密的IoT设备。
评估方式：强制第三方评估 + IPA额外复核。
安全强度：最高，需硬件级加密、全生命周期安全审计。

四、标签申请前的准备要求

1. 语言要求

• 工作语言原则为日语，英语为次要语言；
• 不可避免时可提交英文文档，但需具备日语应答能力（如电话 / 线上会议）；
• 企业资质证明等原始文档非日 / 英文时，需提交日 / 英文翻译件 + 原件。

2. 合规要求

   申请人需从申请阶段到获标签后，全程遵守《Scheme Document (JSS-01)》及本文档规定。

3. 资料准备

• 基础材料：申请表（需填写产品信息、申请人信息等），必要时准备补充材料；
• STAR-1/2（自我声明）：需创建 Checklist（按对应等级要求）+ 留存 Evidence（用于后续监管）；
• STAR-3/4（第三方评估）：需准备合规评估交付物（提交给第三方评估机构）。

五、标签申请时的核心要求

1. 需同意的条款（共 6 项）

• 遵守保密文档规定；
• 标签有效期内提供 Support（如漏洞修复）；
• STAR-1/2 需留存 Evidence；
• 遵守日本网络安全相关法律法规；
• 配合 IPA 开展的监管工作；
• STAR-3/4 需配合评估机构的现场检查。

2. 文档提交

   需向 IPA 提交《Application form for Issuance of Conformance Label》及 JSM-02-A 规定的附件。

3. 申请费用

• 金额按 IPA《Notice of Acceptance of Application and Application Fee（Form 2-4）》要求缴纳（参考 JSM-01 附件表）；
• 费用一旦支付，即使申请撤回也不退还；
• 确认缴费后，IPA 才会发放 conformance label。

六、标签获取流程（分两种方式）

1. 基于自我声明的流程（STAR-1/2）

1. 申请人按 STAR-1/2 的合规要求开展自我评估，创建 Checklist；
2. 准备 JSM-02-A 规定的文档，向 IPA 提交标签申请；
3. 收到 IPA 的《受理通知及费用通知》后，在60 天内缴纳申请费；
4. IPA 确认缴费后，发放 conformance label；
5. 申请人确认 IPA 官网 “产品信息页” 的信息无误。

2. 基于第三方评估的流程（STAR-3/4）

1. 申请人选择符合要求的第三方评估机构（需按 STAR-3/4 标准开展评估）；
2. 准备文档并向 IPA 提交申请，收到《受理通知及费用通知》后缴费；
3. 向评估机构提供《受理通知》副本及评估交付物，评估机构提交《评估机构适用性检查表（Form 1-5）》给 IPA；
4. 解决评估机构出具的《观察报告》中的问题，配合 IPA 的会议要求；
5. 评估完成且 IPA 认证通过后，发放 conformance label；
6. 申请人确认官网产品信息无误。

七、标签使用要求

1. 使用权限制

   conformance label 的独家使用权归 IPA 所有，申请人仅可用于已获证的产品型号（需与 IPA 官网 “产品信息页” 所列型号一致）；

2. 使用规范

• 不得用于未获证型号，不得误导宣传（如声称 “产品无漏洞”“完全安全”）；
• 仅可按比例缩放标签（需清晰可辨），不得篡改（如变色、旋转、叠加其他标识）；
• 标签过期 / 被撤销后，需立即停止使用（电子宣传材料需即时下架，已出厂产品无需召回）。

3. 违规后果

   若违反使用要求，IPA 可责令整改，拒不整改则撤销标签。

八、获标签后的后续流程要求

1. 产品信息变更：

• 变更内容：联系人信息、产品类别、产品名、支持期等（共 12 项，详见 Chapter8.1）；
• 流程：需提交《产品信息变更 / 报告通知（Form2-9）》，未按时提交可能导致标签被撤销。

2. 安全信息更新：

• 更新内容：固件更新（含漏洞修复信息）、需公开的安全信息、产品漏洞信息；
• 流程：提交《安全信息更新 / 报告通知（Form2-10）》，漏洞信息可能触发 IPA 监管，需配合。

3. 产品型号添加：

• 限制：仅可在标签有效期内添加使用相同固件的型号；
• 流程：提交《型号添加通知（Form2-11）》，官网型号不可删除，删除需撤回标签并重新申请。