《Guidance on Security Requirements Conformance Assessment/Certification and Label Acquisition Applications（JSM-02-A）》是日本 IPA（信息处理推进机构） 于 2025 年 3 月发布、2025 年 3 月 11 日生效的JC-STAR（日本网络安全技术评估要求标签计划） 核心指南，旨在明确申请人获取和维护 JC-STAR 标签的全流程要求。文档涵盖申请前准备（语言、信息获取、材料准备，分STAR-1/2（自我声明） 和STAR-3/4（第三方评估） 两类材料）、申请流程（两种路径：STAR-1/2 需自评并提交 Checklist，STAR-3/4 需选择 IPA 认可的评估机构并通过第三方测试，均需在60 天内缴纳不可退还的申请费）、标签使用条件（7 项合规要求，禁止误导宣传或超范围使用）及获证后流程（信息变更、安全信息更新、型号添加需提交指定表单，超期未补材料视为撤回），同时规范了 11 类关键表单的使用场景及提交要求，是 JC-STAR 标签申请的实操性文件。

一、文档基础信息

1. 文档定位

   全称为《Guidance on Security Requirements Conformance Assessment/Certification and Label Acquisition Applications》（简称 “JSM-02-A 指南”），是JC-STAR 标签申请的实操性文件，补充《JSM-02（标签获取要求）》的流程细节，指导申请人完成从准备到获证、维护的全环节。

2. 生效与发布

• 发布方：日本信息处理推进机构（IPA）
• 生效时间：2025 年 3 月 11 日（Jo-Se-Gi No.192 of 2024）
• 核心目标：确保申请人按统一流程申请，保障 JC-STAR scheme 的公信力。

3. 关联文档

• 体系框架：《Labeling Scheme based on JC-STAR（JSS-01）》（定义 scheme 规则）
• 核心要求：《Requirements for Label Acquisition（JSM-02）》（申请人合规义务）
• 操作手册：《Operational Manual（JSM-01）》（认证机构 / 发标机构操作规范）

二、申请前的核心准备要求

1. 语言要求（4.1）

2. 信息获取要求（4.2）

• 必须通过 IPA 官网获取最新信息，路径：
• 申请流程：https://www.ipa.go.jp/security/jc-star/shinsei/index.html
• 最新表单：官网 “申请流程页” 或 “规则页 - JSM-02-A 表单下载”
• 关键提醒：未使用最新版表单的申请可能被退回，需核对表单版本日期。

3. 材料准备（4.3）

按 STAR 等级差异，材料分为两类：

三、JC-STAR 标签申请流程（分两种路径）

1. 路径 1：基于自我声明的申请（STAR-1/2，6.1）

共 7 个核心步骤，全程可由申请人自主完成，无需第三方介入：

1. 自评与 Checklist 创建

   按 STAR-1/2 的合规要求开展自我评估，创建 Checklist（需覆盖所有安全要求）。

2. 材料提交

   将申请表、Checklist、资质证明等材料提交至 IPA（按官网流程）。

3. 收据通知

   IPA 收到材料后，发送含 “收据号” 的通知（此阶段仅为 “接收”，非 “受理”）。

4. 文档审核

   IPA 联合日本经济产业省（METI）审核材料，若内容不全，需在2 周内补提交，逾期视为申请撤回。

5. 受理与费用通知

   审核通过后，IPA 发放《受理通知 / 申请费通知（Form2-4）》；审核不通过则直接驳回。

6. 费用缴纳

   需在60 天内按通知金额转账（收款账户：瑞穗银行总行，账号 6852427），并至少提前 2 个工作日提交《银行转账通知（Form2-5）》，未标注 “收据号” 可能导致缴费确认延迟。

7. 标签发放与公示

   IPA 确认缴费后，向申请人发放标签；同时将申请表中 “公开项” 信息（如产品名、申请人）发布至 IPA 官网，申请人需确认公示信息无误。

2. 路径 2：基于第三方评估的申请（STAR-3/4，6.2）

共 16 个核心步骤，需第三方评估机构参与，流程更严格：

1. 评估机构选择

   从 IPA 官网 “JC-STAR Evaluation Bodies” 列表中选择机构（需无申请人 / 产品厂商的利益关联）。

2. 材料提交

   同路径 1 步骤 2，提交申请表、资质证明等。

3. 收据通知

   同路径 1 步骤 3。

4. 文档审核

   同路径 1 步骤 4（2 周内补材料）。

5. 受理与费用通知

   同路径 1 步骤 5。

6. 费用缴纳

   同路径 1 步骤 6（未缴费则不启动认证流程）。

7. 保密协议签订

   申请人需同意基础保密规则，也可额外申请签订《合规评估保密协议（Form1-1）》。

8. 评估委托

   向评估机构提交《受理通知》副本及评估用产品，明确评估项、数量及交付时间。

9. 评估机构资质报备

   评估机构完成委托后，向 IPA 提交《评估机构评估资质检查表（Form1-5）》。

10. 评估启动

    自《受理通知》发放日起启动评估，原则使用最新版评估标准（旧版仅在 grace 期内可使用）。

11. 评估问题解决

    评估机构发现问题后出具 “观察报告”，申请人需及时整改。

12. 配合 IPA 会议

    IPA 可能要求与申请人、评估机构召开会议，需无延迟响应。

13. 评估报告提交

    评估完成后，评估机构向 IPA 提交《合规评估报告》。

14. 认证完成确认

    IPA 基于报告完成认证，向申请人和评估机构发放《评估报告受理单》；若12 个月内未完成认证，申请视为 “不可认证” 并驳回。

15. 标签发放

    同路径 1 步骤 7。

16. 公示确认

    同路径 1 步骤 7。

3. 申请中的特殊处理（6.3-6.5）

四、JC-STAR 标签使用条件（Chapter7）

申请人使用标签需严格遵守 7 项核心条件，违规可能导致标签被撤销：

1. 范围限制

   仅可用于获证产品型号（与 IPA 官网 “产品信息页” 所列型号一致），不可用于未获证型号，也不可宣称 “等效于获证产品”。

2. 宣传禁止

   禁止误导性表述，如 “产品完全安全”“无漏洞”“官方背书”“适用于所有场景”。

3. 描述准确

   提及标签时需明确 “符合 JC-STAR scheme 规定”“仅证明符合对应等级要求，不代表绝对安全”。

4. 有效性要求

   仅可使用未过期、未被撤销的标签。

5. 停用义务

   标签过期或被撤销后，需立即停止使用（官网、电子手册等电子材料需即时下架，已出厂产品无需召回）。

6. 样式规范

   仅可在 “清晰可辨” 范围内等比例缩放，不可修改颜色、长宽比、旋转或叠加其他标识。

7. 公信力保护

   不可以任何方式损害 JC-STAR scheme 或标签的公信力。

五、获证后的流程要求（Chapter8）

1. 产品信息变更（8.1）

• 触发场景：申请人联系人、产品名、支持周期等 12 项信息变更（详见文档 8.1）。
• 流程：提交《产品信息变更 / 报告通知（Form2-9）》及变更清单 + 修订文档，2 周内补全材料（否则视为撤回）；IPA 确认后更新官网信息，申请人需核对。

2. 安全信息更新（8.2）

• 触发场景：固件更新（含漏洞修复）、需公开的安全信息、产品漏洞发现。
• 流程：提交《安全信息更新 / 报告通知（Form2-10）》，2 周内补全材料；若报告漏洞，IPA 会评估漏洞严重性，可能启动监管，申请人需配合。

3. 产品型号添加（8.3）

• 核心规则：标签仅适用于 IPA 官网所列型号，同固件型号需单独申请添加。
• 流程：提交《产品型号添加通知（Form2-11）》（仅标签有效期内可申请），2 周内补全材料；IPA 更新官网后，申请人需核对；型号不可删除，删除需撤回原标签并重新申请。

六、核心表单汇总（Appended Table）