JC-STAR-1检查表重大更新!新旧版本核心差异拆解,申报少走90%弯路

admin 2026-07-13 04:32:54 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: JC-STAR-1检查表于2026年6月29日发布重大更新,核心改动包括表单架构拆分内部审核与公开版两套独立汇总表、判定规则全面收紧(NA豁免需硬性前置条件并提交双重佐证)、证据填报标准化(强制区分文档与实机测试类并配套固定模板)、合规条款补充落地细则以及新增多项企业书面合规义务。企业需立即切换新版检查表,逐条核对NA豁免条件,按新版标准化要求整理佐证材料,并内外材料分开管理以提升申报通过率。 综合评分: 87 文章分类: IoT安全,安全建设,技术标准,解决方案,数据安全


cover_image

JC-STAR-1 检查表重大更新!新旧版本核心差异拆解,申报少走 90% 弯路

原创

GTG-Hardy GTG-Hardy

GTG网络安全实验室

2026年7月10日 09:41 广东

在小说阅读器读本章

去阅读

不少做对日 IoT 的研发、合规同事近期都踩了同一个坑:拿着旧版 JC-STAR★1 检查表做完自评估,提交申报直接被 IPA 退回。

很多人以为只是细微调整,实则 2026.06.29 最新修订版在表单架构、判定规则、证据规范、条款细则上全部收紧,大量填报红线新增,今天纯从合规内容拆解新旧全部实质性改动,看完直接切换新版自查,避免反复补料耽误产品上市。

表单架构升级:

新增独立公示专用工作表

旧版痛点

整套表格仅一套汇总页面,内部测试原始数据、涉密设计参数、对外公示内容全部混在一起。企业交付客户、官网公示时需要手动删减脱敏内容,极易出现涉密信息外泄、公示格式不统一被驳回。

新版核心改动

1.拆分两套独立汇总表:内部审核表 + 公开版评估表

  • 内部表:完整留存所有测试记录、豁免论证、全套佐证材料,仅用于 IPA 官方审核;
  • 公开版:自动屏蔽企业涉密研发信息,固定统一官方格式,可直接对外交付,无需人工二次整理删减。

2.16 项分项评估页统一标准化表头,固定 7 大必填模块,杜绝漏填评估方式、豁免前提等关键信息。

判定规则全面收紧

NA豁免不再能随便勾选

这是本次更新影响最大的审核红线,也是绝大多数企业旧材料返工的核心原因。

  1. NA(不适用)设置硬性前置门槛

旧版仅简单标注可豁免场景,无强制举证要求,企业可随意勾选 NA;新版每条条款明文写明满足豁免才能选 NA,不达标一律禁止勾选。即便勾选 NA,必须同步提交两份佐证:产品无对应功能设计依据、配套风险替代防护方案,缺少任意一项判定无效。举个例子:S1.1-04 暴力破解防护条款,旧表可直接豁免,新版必须提供硬件资源受限 / 无网络登录模块的书面设计文件才能勾选 NA。

2.强制区分两种评估方式,举证标准分开

旧版无文档评审、实机测试区分,文字描述就能凑材料;新版每条明确评估类型,标准不可混用:

  • 仅文档评审:只能依靠规格书、内部制度作为依据;
  • 仅实机测试:必须配套日志、截图、样机检测报告,单纯文字描述不予认可;部分条款要求文档 + 实机双重核验,缺一类直接判定不合规。

3.内置自动合规校验逻辑

旧版汇总页无联动校验,存在不合规项、空白栏也不会提示;新版只要出现 N(不合规)、证据栏空白,「適合確認」自动显示 NO,该套评估表无法用于标签申请,提前暴露缺陷,减少来回沟通周期。

证据填报标准化,举证要求大幅细化

旧版仅要求填写证据文件名,无页码、章节、原文标注,审核人员溯源困难,补料频次极高。新版划定统一填报规范,企业填写单元格统一底色区分,证据强制分两类归档:

  1. 文档类:产品规格、内部安全制度、官网政策;

  2. 实机测试类:测试报告、截图、运行日志、样机实拍;

    同时明确 CC 等第三方认证、研发阶段测试记录均可复用作为佐证。

    不同判定结果配套固定填写模板:

    ✅判定合格:标注文档编号、页码 / 链接、对应原文内容

    ❌判定不适用:写明无对应功能依据 + 风险替代管控措施

    🧪实机测试项:完整简述测试流程与通过结论

合规条款补充大量落地细则与互认规则

对于电芯电池类产品,TISI允许在以下条件全部一致的情况下,多个型号共用同一张证书:

  • 进口商相同
  • 生产工厂相同
  • 电芯形状相同
  • 正负极材料相同

但有两个关键限制需要警惕:

第一,证书必须由泰国当地代理人持证。持证人不同,不能共用。

第二,如果进口商发生变更,即使工厂和产品型号完全不变,也必须重新安排验厂。这意味着时间和费用都要重新投入。

此外,验厂报告归属于工厂本身,可以授权给任一品牌使用——这一点对多品牌运营的企业比较友好。

新增多项企业书面合规义务

新版在 5 个核心条款新增硬性书面材料要求,旧版无强制规定:

  1. S1.1-05 漏洞披露政策:未上市研发产品可提交公示计划(上线时间、发布渠道、完整政策)临时作为证据;
  2. S1.1-09 安全更新管理:企业必须形成漏洞分级、补丁优先级、PSIRT 响应组织书面制度;
  3. S1.1-16 产品全生命周期管理:强制留存 5 类对外公示资料证据 —— 安全使用指引、更新通知机制、风险免责、产品支持周期、报废数据清除方案。

企业落地实操建议

  1. 旧版检查表已停止受理,申报必须使用 2026.06.29 修订版本;
  2. 提前将佐证材料按文档 / 实机两类分类,标注对应章节页码,大幅缩短审核补料时间;
  3. 逐条核对 NA 豁免前置条件,无充分设计佐证不要随意勾选,优先完成产品整改;
  4. 内外材料分开管理,对外客户、渠道资质仅使用「公开版评估表」,保护研发涉密测试数据。

整体来看,本次修订没有提高 16 项安全基准门槛,没有新增安全管控条目,核心是统一全行业审核尺度,规范评估、举证、公示全流程,减少材料驳回。

对日 IoT 厂商尽快切换最新检查表开展自评估,按新版标准化要求整理佐证材料,才能大幅提升 JC-STAR 标签一次申报通过率。

广测电磁:全球数字安全合规优选伙伴

别让合规只停留在“拿证”。

面对欧盟 CRA网络弹性法案、AI法案及 GDPR/CCPA/数据法案等严苛监管,凭借CNAS(L18872)+A2LA(6947.01)双资质及前360/深信服核心网络安全专家团队,为您提供真正的“实战级”防护。

🏆 为什么GTG能为您降本避险?

  • 拒绝模板:不只给报告,我们提供定制化漏洞修复方案,确保产品真安全。
  • 极致省心:代写核心文档,免除繁琐填表,让合规效率提升70%。
  • 全域覆盖:从消费电子到汽车、工控、医疗,一站式解决全球隐私与数据安全难题。

您的全球合规通行证,从这里开始。

[👉 立即咨询 CRA / AI法案 / 隐私合规]

更多相关内容

欢迎关注视频号“GTG网络安全实验室”


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:GTG网络安全实验室 GTG-Hardy GTG-Hardy《JC-STAR-1 检查表重大更新!新旧版本核心差异拆解,申报少走 90% 弯路》

涉我资讯专刊-第49期 网络安全文章

涉我资讯专刊-第49期

文章总结: 本期涉我资讯专刊汇总了网络安全领域多条动态,包括网安动态7条、暗网论坛1条、勒索动态2条、开源政经6条及x平台5条。内容涵盖威胁情报、安全运营等主题
评论:0   参与:  0