【英语版】国际标准 ISO/IEC 20243-2:2018 EN 信息技术-开放可信技术提供商TM标准（O-TTPS）-减轻恶意污染和伪造产品-第2部分：O-TTPS和ISO/IEC 20243-1:2018的评估程序 Information technology - Open Trusted Technology ProviderTM Standard (O-TTPS) - Mitigating maliciously tainted and counterfeit products - P.pdf

ISO/IEC20243-2:2018标准主要关注的是如何减少恶意污染和伪造产品的风险，这些产品可能会对组织的安全和运营产生负面影响。该标准提供了评估程序，用于确定一个技术提供商是否符合O-TTPS标准，以及其产品的可信度。以下是对该标准的详细解释：

ISO/IEC20243-2:2018标准定义了评估程序，这些程序旨在确保技术提供商符合O-TTPS标准的要求。评估程序通常包括以下几个步骤：

1.评估计划的制定：评估计划应包括评估目标、评估范围、评估方法、评估时间表和评估人员等要素。

2.风险评估：评估过程中应进行风险评估，以确定潜在的恶意威胁和可能影响产品可信度的因素。

3.产品审计：审计过程应包括对产品源代码、测试环境、开发过程和供应链的详细审查。这旨在确保产品的可信度和完整性。

4.证据收集和分析：在审计过程中，收集和分析有关产品可信度的证据至关重要。这可能包括源代码审查、测试结果、供应链信息等。

5.风险评估的复查：在评估过程中，可能需要定期或不定期地复查风险评估结果，以确保评估的准确性和完整性。

6.结论和建议：基于证据的分析和风险评估的结果，得出结论并提出建议，以确定技术提供商是否符合O-TTPS标准的要求。

ISO/IEC20243-2:2018标准还强调了与利益相关方进行充分沟通和透明度的重要性，以确保组织了解评估过程和结果，并采取适当的措施来应对潜在的风险。

以上就是ISO/IEC20243-2:2018标准中对评估程序的详细解释。这个标准为技术提供商提供了明确的指导，以确保其产品在开放可信技术提供商（O-TTPS）框架下符合安全和可信的标准。