《Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements (JC-STAR) Scheme Document (JSS-01)》是日本信息处理推进机构(IPA) 于 2024 年 8 月 22 日制定、2025 年 7 月 29 日修订的JC-STAR(日本网络安全技术评估要求标签计划)基础性体系文件,明确该计划的核心框架:以 “通过自我声明或第三方评估,让 IoT 产品具备安全标识,方便用户识别安全措施” 为目的,界定四大核心参与方(申请人、评估机构、认证机构、发标机构等)的职责,规范两类认证路径(自我声明获 STAR-1/2 标签、第三方评估 + 认证获 STAR-3/4 标签),同时明确标签有效期延长、费用承担规则(申请人承担认证 / 评估费、评估机构承担自身审批费)、监管与撤销机制(IPA 可开展标签有效性监管,违规可撤销标签),并配套文档体系、保密义务、标签版权等杂项条款,是所有 JC-STAR 认证活动的纲领性文件。
一、文档基础与总则(Chapter 1 General Provisions)
文档定位与立法依据
- 制定时间:2024 年 8 月 22 日(Jo-So-Ki No.431 of 2024),2025 年 7 月 29 日首次修订(Jo-Kei-Ki No.113 of 2025),初版 2024 年 8 月 23 日生效,修订版 2025 年 8 月 4 日生效。
- 立法依据:《信息处理促进法》(1970 年第 90 号法律)第 47 条第 1 款第 5 项,该条款授权 IPA 对信息处理系统开展技术层面的安全与可靠性评估。
计划目的(Purpose of this Scheme)依据日本经济产业省 2024 年 8 月《IoT 产品安全合规评估计划政策》,通过两种方式让 IoT 产品供应商落实安全功能:
- 方式 2:第三方评估机构开展合规评估 + 认证机构认证;最终通过 “合规标签” 让用户识别 IoT 产品已具备适当安全措施。
核心原则(Principles of this Scheme)
- 自我声明场景:供应商需按 “合规标准、评估流程、评估指南” 自行开展合规评估,对结果负责;
- 第三方评估场景:评估机构与认证机构需基于高技术能力,公平、无歧视地开展评估与认证,不受商业利益影响。
关键术语定义(Definition of Terms)文档明确 12 项核心术语,以下为高频关键术语:
| |
|---|
| 可连互联网 / 内部网、用 IP 协议传数据,且用户难通过安装软件自行添加安全措施的设备 |
| 供应商销售 / 用户采购的单元,含 “单 IoT 设备” 或 “IoT 设备 + 强制关联服务” |
| Self-declaration of conformance | 供应商自行按合规标准评估后,声明产品符合所选等级安全要求的书面表述 |
| 两类标签:发标机构授予的 “自我声明合规标签”、认证机构授予的 “第三方评估合规标签” |
| 为确认标签有效性,对已获标签 IoT 产品开展的安全与漏洞影响检查 |
二、体系结构(Chapter 2 Structure of Scheme)
1.相关文档体系JC-STAR 认证需配套 4 类文档,构成完整合规体系:
| | |
|---|
| Labeling Scheme based on JC-STAR (JSS-01) | |
| | |
| JSM-02(安全合规评估 / 认证及标签获取要求) | |
| | |
2.五大参与方及核心职责
| | |
|---|
| 按 JSM-02 申请标签(自我声明 / 第三方评估路径) | |
| 评估机构(Evaluation Facility) | | 需经认可机构按 JIS Q 17025 认证 + IPA 审批 |
| IPA 内设,基于评估报告认证,授予 STAR-3/4 标签 | 需符合 JIS Q 17065 标准,确保认证公正性 |
| IPA 内设,基于自我声明授予 STAR-1/2 标签 | 需在合理时间内完成标签发放,按 JSM-01 操作 |
| 按 JIS Q 17025/ISO/IEC 17025 认可评估机构 | |
三、标签获取流程(Chapter 3 认证与标签流程)
路径 1:自我声明获取标签(STAR-1/2)
- 申请:申请人按 JSM-02 向发标机构提交申请材料;
- 审核与授标:发标机构按 JSM-01 审核材料,通过后授予 STAR-1 或 STAR-2 标签。
路径 2:第三方评估 + 认证获取标签(STAR-3/4)
- 申请:申请人按 JSM-02 向认证机构提交申请,认证机构发《申请受理通知》;
- 评估:评估机构按所选等级安全要求开展评估,出具《合规评估报告》并提交认证机构;
- 认证与授标:认证机构基于报告认证,通过后授予 STAR-3 或 STAR-4 标签。
标签维护规则
- 有效期延长:已获标签的 IoT 产品(registrant)可按 JSM-02 申请延长,认证机构 / 发标机构按 JSM-01 审核;
- 后续产品维护:仅适用于 “符合 JSM-02 规定条件的后续版本产品”,不符合则需重新申请标签。
四、费用规则(Chapter 3 费用条款)
申请人承担的费用
- 支付方式:与评估机构的费用由双方协商;向认证机构 / 发标机构的费用按 JSM-02 规定执行。
评估机构承担的费用
五、权利与义务(Chapter 4 Rights and Obligations)
已获标签的 registrant(申请人)需遵守以下规则:
权利
1. 供应带标签的 IoT 产品;2. 按 JSM-02 规则使用标签;义务
1. 遵守 JSM-02 中申请人的责任要求;2. 配合 IPA 开展标签监管。
六、标签监管与撤销(Chapter 5 Surveillance or Revocation)
监管机制
- 监管依据:按 JSM-01 开展,目的是确保标签有效性与产品安全。
撤销条件
- 触发场景:基于监管结果发现产品不符合安全要求、标签违规使用(如滥用、误导宣传);
- 执行主体:认证机构或发标机构,按 JSM-01 流程执行撤销。
七、杂项条款(Chapter 6 Miscellaneous Provisions)
保密义务
评估机构、认证机构、发标机构需保护评估 / 认证过程中的机密信息,防止未授权泄露(具体流程按 JSM-01)。禁止事项
参与方及人员不得:1. 获取影响评估 / 认证公正性的利益(合法报酬除外);2. 开发待评估的 IoT 产品;3. 向申请人提供咨询服务(文档整合、意见沟通除外)。标签版权
标签版权归 IPA 所有,registrant 仅可按 JSM-02 规则复制、使用(如等比例缩放)。申诉处理
认证机构 / 发标机构按 JSM-01 处理申诉、投诉、争议;评估机构需自行制定相关处理流程。
服务热线
13352909249
信息提交成功