不少做对日 IoT 的研发、合规同事近期都踩了同一个坑:拿着旧版 JC-STAR★1 检查表做完自评估,提交申报直接被 IPA 退回。
很多人以为只是细微调整,实则 2026.06.29 最新修订版在表单架构、判定规则、证据规范、条款细则上全部收紧,大量填报红线新增,今天纯从合规内容拆解新旧全部实质性改动,看完直接切换新版自查,避免反复补料耽误产品上市。
一
表单架构升级:
新增独立公示专用工作表
旧版痛点
整套表格仅一套汇总页面,内部测试原始数据、涉密设计参数、对外公示内容全部混在一起。企业交付客户、官网公示时需要手动删减脱敏内容,极易出现涉密信息外泄、公示格式不统一被驳回。
新版核心改动
1.拆分两套独立汇总表:内部审核表 + 公开版评估表
内部表:完整留存所有测试记录、豁免论证、全套佐证材料,仅用于 IPA 官方审核;
公开版:自动屏蔽企业涉密研发信息,固定统一官方格式,可直接对外交付,无需人工二次整理删减。
2.16 项分项评估页统一标准化表头,固定 7 大必填模块,杜绝漏填评估方式、豁免前提等关键信息。
二
判定规则全面收紧
NA豁免不再能随便勾选
这是本次更新影响最大的审核红线,也是绝大多数企业旧材料返工的核心原因。
NA(不适用)设置硬性前置门槛
旧版仅简单标注可豁免场景,无强制举证要求,企业可随意勾选 NA;新版每条条款明文写明满足豁免才能选 NA,不达标一律禁止勾选。即便勾选 NA,必须同步提交两份佐证:产品无对应功能设计依据、配套风险替代防护方案,缺少任意一项判定无效。举个例子:S1.1-04 暴力破解防护条款,旧表可直接豁免,新版必须提供硬件资源受限 / 无网络登录模块的书面设计文件才能勾选 NA。
2.强制区分两种评估方式,举证标准分开
旧版无文档评审、实机测试区分,文字描述就能凑材料;新版每条明确评估类型,标准不可混用:
仅文档评审:只能依靠规格书、内部制度作为依据;
仅实机测试:必须配套日志、截图、样机检测报告,单纯文字描述不予认可;部分条款要求文档 + 实机双重核验,缺一类直接判定不合规。
3.内置自动合规校验逻辑
旧版汇总页无联动校验,存在不合规项、空白栏也不会提示;新版只要出现 N(不合规)、证据栏空白,「適合確認」自动显示 NO,该套评估表无法用于标签申请,提前暴露缺陷,减少来回沟通周期。
三
证据填报标准化,举证要求大幅细化
旧版仅要求填写证据文件名,无页码、章节、原文标注,审核人员溯源困难,补料频次极高。新版划定统一填报规范,企业填写单元格统一底色区分,证据强制分两类归档:
文档类:产品规格、内部安全制度、官网政策;
实机测试类:测试报告、截图、运行日志、样机实拍;
同时明确 CC 等第三方认证、研发阶段测试记录均可复用作为佐证。
不同判定结果配套固定填写模板:
✅判定合格:标注文档编号、页码 / 链接、对应原文内容
❌判定不适用:写明无对应功能依据 + 风险替代管控措施
🧪实机测试项:完整简述测试流程与通过结论
四
合规条款补充大量落地细则与互认规则
对于电芯电池类产品,TISI允许在以下条件全部一致的情况下,多个型号共用同一张证书:
进口商相同
生产工厂相同
电芯形状相同
正负极材料相同
但有两个关键限制需要警惕:
第一,证书必须由泰国当地代理人持证。持证人不同,不能共用。
第二,如果进口商发生变更,即使工厂和产品型号完全不变,也必须重新安排验厂。这意味着时间和费用都要重新投入。
此外,验厂报告归属于工厂本身,可以授权给任一品牌使用——这一点对多品牌运营的企业比较友好。
五
新增多项企业书面合规义务
新版在 5 个核心条款新增硬性书面材料要求,旧版无强制规定:
S1.1-05 漏洞披露政策:未上市研发产品可提交公示计划(上线时间、发布渠道、完整政策)临时作为证据;
S1.1-09 安全更新管理:企业必须形成漏洞分级、补丁优先级、PSIRT 响应组织书面制度;
S1.1-16 产品全生命周期管理:强制留存 5 类对外公示资料证据 —— 安全使用指引、更新通知机制、风险免责、产品支持周期、报废数据清除方案。
六
企业落地实操建议
旧版检查表已停止受理,申报必须使用 2026.06.29 修订版本;
提前将佐证材料按文档 / 实机两类分类,标注对应章节页码,大幅缩短审核补料时间;
逐条核对 NA 豁免前置条件,无充分设计佐证不要随意勾选,优先完成产品整改;
内外材料分开管理,对外客户、渠道资质仅使用「公开版评估表」,保护研发涉密测试数据。
整体来看,本次修订没有提高 16 项安全基准门槛,没有新增安全管控条目,核心是统一全行业审核尺度,规范评估、举证、公示全流程,减少材料驳回。
对日 IoT 厂商尽快切换最新检查表开展自评估,按新版标准化要求整理佐证材料,才能大幅提升 JC-STAR 标签一次申报通过率。
广测电磁:全球数字安全合规优选伙伴
别让合规只停留在“拿证”。
面对欧盟 CRA网络弹性法案、AI法案及 GDPR/CCPA/数据法案等严苛监管,凭借CNAS(L18872)+A2LA(6947.01)双资质及前360/深信服核心网络安全专家团队,为您提供真正的“实战级”防护。
🏆 为什么GTG能为您降本避险?
拒绝模板:不只给报告,我们提供定制化漏洞修复方案,确保产品真安全。
极致省心:代写核心文档,免除繁琐填表,让合规效率提升70%。
全域覆盖:从消费电子到汽车、工控、医疗,一站式解决全球隐私与数据安全难题。
您的全球合规通行证,从这里开始。
[👉 立即咨询 CRA / AI法案 / 隐私合规]
更多相关内容
欢迎关注视频号“GTG网络安全实验室”
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……




还没有评论,来说两句吧...