当前位置:文档之家 › 网络关键设备和网络安全专用产品安全认证实施规则(编号:CNCA-CCIS-2018)

网络关键设备和网络安全专用产品安全认证实施规则(编号:CNCA-CCIS-2018)

  • 格式:doc
  • 大小:223.41 KB
  • 文档页数:18

下载文档原格式

  / 18

合集下载

安全路由器强制认证实施规则.doc

安全路由器强制认证实施规则.doc

文件编码:ISCCC-SV-003:2014信息系统安全集成服务资质认证实施规则2014-07-03发布2014-08-01实施中国信息安全认证中心发布目录1.适用范围 (3)2.规范性引用文件 (3)3.术语与定义 (3)3.1.信息系统集成 (3)3.2.信息系统安全集成服务 (3)4.安全集成资质认证要求 (3)4.1.总则 (3)4.2.资信要求 (3)4.2.1.三级资信要求 (3)4.2.1.1.法律地位要求 (3)4.2.1.2.财务资信要求 (4)4.2.1.3.办公场所要求 (4)4.2.1.4.人员素质要求 (4)4.2.1.5.人员资质要求 (4)4.2.1.6.业绩要求 (4)4.2.1.7.服务管理要求 (4)4.2.2.二级资信要求 (4)4.2.2.1.法律地位要求 (4)4.2.2.2.财务资信要求 (4)4.2.2.3.办公场所要求 (4)4.2.2.4.人员素质要求 (5)4.2.2.5.人员资质要求 (5)4.2.2.6.业绩要求 (5)4.2.2.7.服务管理要求 (5)4.2.3.一级资信要求 (5)4.2.3.1.申请条件 (5)4.2.3.2.法律地位要求 (5)4.2.3.3.财务资信要求 (5)4.2.3.4.办公场所要求 (5)4.2.3.5.人员素质要求 (5)4.2.3.6.人员资质要求 (6)4.2.3.7.业绩要求 (6)4.2.3.8.服务管理要求 (6)4.3.能力要求 (6)4.3.1.总则 (6)4.3.2.三级能力要求 (6)4.3.2.1.集成准备阶段 (6)4.3.2.2.方案设计阶段 (7)4.3.2.3.建设实施阶段 (7)4.3.2.4.安全保障阶段 (7)4.3.3.二级能力要求 (7)4.3.3.1.集成准备阶段 (7)4.3.3.2.方案设计阶段 (7)4.3.3.3.建设实施阶段 (8)4.3.3.4.安全保障阶段 (8)4.3.4.一级能力要求 (8)4.3.4.1.集成准备阶段 (8)4.3.4.2.方案设计阶段 (8)4.3.4.3.建设实施阶段 (8)4.3.4.4.安全保障阶段 (9)5.安全集成资质认证程序 (9)5.1.申请 (9)5.2.文档审核 (9)5.3.现场审核 (9)5.4.认证决定 (10)5.5.证后监督 (10)5.5.1.证后监督频次和方式 (10)5.5.2.证后监督内容 (10)5.5.3.证后监督结论 (10)5.5.4.信息通报 (10)5.6.认证周期 (11)5.7.认证证书管理 (11)5.7.1.证书有效期 (11)5.7.2.暂停认证证书 (11)5.7.3.撤销认证证书 (11)5.7.4.注销认证证书 (11)5.7.5.证书变更 (11)6.参考文献 (12)1.适用范围信息系统安全集成服务资质认证是依据国家认证认可法律法规、相关技术标准和规范,对信息系统安全集成服务提供者的资质进行评价的合格评定活动。

网络关键设备和网络安全专用产品安全认证实施规则(编号:CNCA-CCIS-2018)

网络关键设备和网络安全专用产品安全认证实施规则(编号:CNCA-CCIS-2018)

编号:CNCA-CCIS-2018网络关键设备和网络安全专用产品安全认证实施规则国家认证认可监督管理委员会发布目录1. 适用范围 (4)2. 认证模式 (4)3.认证的基本环节 (4)3.1认证申请及受理 (4)3.2文档审核 (4)3.3型式试验委托及实施 (4)3.4工厂检查 (4)3.5认证结果评价与批准 (4)3.6获证后监督 (4)4.认证实施 (4)4.1认证流程 (4)4.2认证申请及受理 (5)4.3文档审核 (7)4.4型式试验委托及实施 (7)4.5工厂检查 (8)4.6认证结果评价与批准 (9)4.7获证后监督 (9)5.认证时限 (10)6.认证证书 (11)6.1证书的有效性 (11)6.2认证证书的变更 (11)6.3认证证书覆盖产品的扩展 (11)6.4认证证书的暂停、注销和撤销 (12)7.认证标志的使用 (12)7.1认证标志的样式 (12)7.2认证标志的使用 (12)7.3加施方式 (12)7.4标志位置 (13)附件1: (14)附件2: (16)附件3: (17)1.适用范围本规则依据《中华人民共和国网络安全法》《中华人民共和国认证认可条例》制定,规定了开展网络关键设备和网络安全专用产品安全认证的基本原则和要求。

本规则适用的网络关键设备和网络安全专用产品,应符合《国家互联网信息办公室、工业和信息化部、公安部、国家认监委关于发布<网络关键设备和网络安全专用产品目录(第一批)>的公告》(联合公告2017年第1号)中相应的范围要求描述(详见附件1)。

安全认证用标准依据有关主管部门的要求执行。

2.认证模式型式试验+ 工厂检查+ 获证后监督3.认证的基本环节3.1认证申请及受理3.2文档审核3.3型式试验委托及实施3.4工厂检查3.5认证结果评价与批准3.6获证后监督4.认证实施4.1认证流程— 4 —认证委托人向认证机构申请认证,认证机构在接收到认证委托人的认证申请后,审查申请资料,确认合格后向认证委托人选择的实验室安排检测任务,并通知认证委托人根据要求抽样检测。

网络关键设备和网络安全专用产品认证申请书(编号:CCRC-QOT-0356-B-1 )

网络关键设备和网络安全专用产品认证申请书(编号:CCRC-QOT-0356-B-1 )

申请编号:网络关键设备和网络安全专用产品安全认证申请书产品名称:型号:若产品为纯软件此处为:“/”版本号:申请级别:申请方名称(盖章):申请日期:中国网络安全审查技术与认证中心制目录申请须知 (1)1.申请方 (2)2.制造商 (2)3.生产厂 (2)4.申请认证的产品信息 (3)5.检测实验室的选择 (3)6.申请认证需要提交的资料 (3)申请方声明 (5)附件1 (7)附件2 (8)附件3 (9)附件4 (10)附件5 (11)附件6 (12)申请须知1、本申请书适用于网络关键设备和网络安全专用产品安全认证。

2、我中心及相关检测实验室不承担由于产品设计缺陷导致的型式试验样品损坏(非人为物理损坏)的责任。

3、产品获得认证证书仅表明产品符合特定标准的要求。

4、申请方应对产品中所涉及的知识产权/专利负责,我中心不承担此类鉴别责任。

5、申请方在填写申请书的时候,不能对申请书现有文字进行任何修改。

6、申请方提交纸版资料1份,电子版1份。

1.申请方申请方名称(中文):申请方名称(英文):注册地址(中文):省市区(县)注册地址(英文):法人代表:联系人:电话(含区号):手机:传真: E-mail:邮编:组织机构代码(统一社会信用代码):组织性质:□ 01政府机关□ 02事业单位□ 03社会团体□ 04企业组织□ 0401有限责任公司□ 0402股份有限公司□ 0403股份合作制企业□ 0404全民所有制企业□0405集体所有制企业□ 0406合伙企业□ 0407个人独资企业□ 05其他组织组织注册资金:万元(币种:)组织员工人数:与该产品相关人数:进口商(境外企业填写):申请方属性:□生产开发者□产品用户□第三方2.制造商(若与申请方不同,则填写该项)制造商名称(中文):制造商名称(英文):地址(中文):省市区(县)地址(英文):联系人:电话(含区号):手机:传真: E-mail:邮编:3.生产厂(若与申请方不同,则填写该项)生产厂名称(中文):生产厂名称(英文):地址(中文):省市区(县)地址(英文):联系人:电话(含区号):手机:传真: E-mail:邮编:4.申请认证的产品信息产品名称(中文):产品名称(英文):型号:版本号:申请认证级别:使用商标:设计开发依据的标准:其他需要说明的情况:如:防火墙如需测试高性能或IPV6在此处说明;如无其他说明此项填写“无”。

网络安全技术标准与认证

网络安全技术标准与认证

网络安全技术标准与认证网络安全已经成为当前社会发展中的重要议题之一,随着互联网的快速发展和普及,各类网络攻击和安全威胁也日益增多。

为了提高网络安全水平、保障网络信息安全,各国纷纷制定了相应的网络安全技术标准和认证机制。

本文将介绍网络安全技术标准与认证的概念、作用以及国际上主流的网络安全技术标准与认证体系。

一、概念和作用网络安全技术标准是指对网络安全相关技术的规范、方法和要求进行系统性的总结和归纳,以便于网络安全工作者在实践中遵循和应用。

网络安全技术认证是指对企业或个人的网络安全技术水平进行评估和认证,以便于用户在选择合作伙伴时有一个可靠的参考。

网络安全技术标准和认证的作用主要有以下几个方面:1. 提供统一的技术规范:网络安全技术标准的制定可以提供统一的技术规范,使得网络安全技术工作者在实践中有一个共同的基础。

这有助于确保网络系统在设计、部署和维护过程中能够满足一定的安全性要求。

2. 保障网络信息安全:网络安全技术标准和认证的实施能够提高网络系统和网络设备的安全性,减少网络攻击和安全威胁的发生。

这有助于保护网络用户的隐私和敏感信息,维护网络的稳定运行。

3. 提升网络安全技术水平:网络安全技术认证能够评估和认证企业或个人的安全技术能力,这有利于提升网络安全从业人员的专业水平,促进网络安全行业的发展和成熟。

4. 促进国际间的技术交流与合作:各国制定和实施网络安全技术标准和认证,可以为国际间的技术交流和合作提供一个共同的基础。

这有助于促进各国之间在网络安全领域的合作与共享,增强国际间的网络安全能力。

二、国际网络安全技术标准与认证体系目前,国际上有许多知名的网络安全技术标准和认证体系,其中包括ISO 27000系列标准、CC认证、CMMI认证等。

ISO 27000系列标准是目前国际上最为广泛应用的网络安全技术标准体系。

这个标准系列主要包括ISO 27001信息安全管理体系和ISO 27002信息安全管理实施指南,它们提供了一套完整的信息安全管理框架和最佳实践,被广泛应用于各类组织和企业。

网络关键设备和网络安全专用产品目录(第一批)

网络关键设备和网络安全专用产品目录(第一批)
8.入侵检测系统(IDS)
满检速率≥15Gbps
最大并发连接数≥500万
9.入侵防御系统(IPS)
满检速率≥20Gbps
最大并发连接数≥500万
10.安全隔离与信息交换产品(网闸)
吞吐量≥1Gbps
系统延时≤5ms
11.反垃圾邮件产品
连接处理速率(连接/秒)>100
平均延迟时间<100ms
12.网络综合审计系统
网络关键设备和网络安全专用产品目录(第一批)
设备或产品类别
范围
网络关键设备
1.路由器
整系统吞吐量(双向)≥12Tbps
整系统路由表容量≥55万条
2.交换机
整系统吞吐量(双向)≥30Tbps
整系统包转发率≥10Gpps
3.服务器(机架式)
CPU数量≥8个
单CPU内核数≥14个
内存容量≥256GB
4.可编程逻辑控制器(PLC设备)
抓包速度≥5Gbps
记录事件能力≥5万条/秒
13.网络脆弱性扫描产品
最大并行扫描IP数量≥60个
14.安全数据库系统
TPC-E tpsE(每秒可交易数量)≥4500个
15.网站恢复产品级
控制器指令执行时间≤0.08微秒
网络安全
专用产品
5.数据备份一体机
备份容量≥20T
备份速度≥60MB/s
备份时间间隔≤1小时
6.防火墙(硬件)
整机吞吐量≥80Gbps
最大并发连接数≥300万
每秒新建连接数≥25万
7.WEB应用防火墙(WAF)
整机应用吞吐量≥6Gbps
最大HTTP并发连接数≥200万

网络安全产品认证

网络安全产品认证

网络安全产品认证
网络安全产品认证是指通过一系列测试和评估,对网络安全产品的安全性能和功能进行验证和认可的过程。

这些认证通常由独立的第三方机构进行,旨在保证网络安全产品的可靠性和高质量。

网络安全产品认证的主要目的是为用户提供准确、可靠的信息,帮助用户选择适合自己需求的网络安全产品。

通过认证,用户可以更有信心地使用网络安全产品,降低系统遭受网络攻击、数据泄露等风险的可能性。

网络安全产品认证通常包括以下几个方面的测试和评估:
1. 安全性能测试:对网络安全产品的各个安全功能进行测试,包括防火墙、入侵检测系统、恶意代码检测等。

通过模拟真实的攻击场景,评估产品的抵御能力和响应速度。

2. 关键功能验证:验证网络安全产品的关键功能是否符合规范和标准要求。

例如,是否支持数据加密、访问控制、身份认证等。

3. 兼容性测试:测试网络安全产品与其他软件和硬件的兼容性,确保其能够正常运行并有效保护用户的系统和数据。

4. 综合评估:对网络安全产品进行全面的评估,包括性能、功能、易用性等方面的考量。

评估结果将作为用户选择网络安全产品的重要参考依据。

网络安全产品认证不仅有利于用户选择合适的产品,也对网络安全行业的发展起到推动作用。

认证过程的严格性和独立性,可以促使网络安全产品提升品质和竞争力,推动行业技术水平的提高。

在选择网络安全产品时,用户应该关注产品是否获得了可信的认证,并结合自身需求和实际情况进行评估。

同时,随着技术的不断发展和威胁的不断变化,网络安全产品也需要不断进行更新和改进,以应对新的安全挑战。

《网络关键设备和网络安全专用产品安全认证实施规则》公布

26 / 2018.07
urrent Affairs
网际时政
C
《网络关键设备和网络安全专用产品安全认证实施规则》公布
络安全工作在建章立制、防护体系、安全防护、态势感知等方面取得的丰硕成果。

同时举办“互联网+”智慧能源、网络安全自主可控技术、关键信息
安全测评中心总工程师王军等出席并致辞,中国工程院院士倪光南等5位专家作主题演讲。

近日,国家认监委发布《网络关键设备和网络安全专用产品安全认证实施规则》,并于发布之日起实施。

《规则》要求,目录内产品生产企业选择安全认证方式的,应向经确认的认证机构提出安全认证申请,认证机构依据《网络关键设备和网络安全专用产品安全认证实施规则》(由已获得经确认的认证机构颁发的产品认证证书且在有效期内的,相关生产企业可直接向该机构申请换发安全认证证书。

认证机构将认证结果(含本公告发布之前已经本机构安全认证合格、且在有效期内的设备与产品)依照相关规定报国家认证认可监督管理委员会。

发布方式按照2017年第1《工业和信息化蓝皮书(2017-2018)》。

发布会上,国家工业信息安
全发展研究中心主任尹丽波以“共享数字经济发展生态体系正加速完善。

四、合作升级:数字丝绸之路成为“一带一路”合作新方向,我信息技术企业国际化发展迎来新契机。

五、安全加强:全球工业信息安全风险呈现增势,我国工业信息安全保障体。

网络关键设备和网络安全专用产品安全认证简述

根据国家认监委和国家网信办于 2018 年 5 月 30 日发布的《关于网络关键设备和网络安全专用产品安 全认证实施要求的公告》( 2018 年第 24 号,以下简称 “24 号公告”) ,安全认证相关检测工作由信息产业信 息安全测评中心、国家保密科技测评中心、公安部计算 机信息系统 安 全 产 品 质 量 监 督 检 验 中 心、国 家 密 码 管 理局商用密 码 检 测 中 心、中 国 信 息 安 全 测 评 中 心 信 息
全认证体系建立的情况,介绍了认证模式、采用标准及认证实施的现状,阐述了该项认证制度在我国网络安全保障体系中的重
要作用。
关键词: 网络安全; 产品认证; Hale Waihona Puke 全认证中图分类号: TP309
文献标识码: A
DOI: 10. 19358 / j. issn. 2096-5133. 2019. 03. 004
2017 年 6 月 1 日,国家网信办、工业和信息化部、公 安部、国家认监委联合发布了《关于发布 < 网络关键设 备和网络安全专用产品目录( 第一批) > 的公告》( 2017 年第 1 号,以下简称“1 号公告”) ,路由器、交换机等 4 类 网络关键设备,以及数据备份一体机、防火墙( 硬件) 等 11 类网络安全专用产品列入目录。1 号公告目录中对网
网络关键设备和网络安全专用产品安全认证简述*
刘思蓉,申永波,崔 颖
( 中国网络安全审查技术与认证中心,北京 100020)
摘 要: 网络关键设备和网络安全专用产品安全认证是依据《中华人民共和国网络安全法》,为提升国家网络安全保障能力而实
施的一项认证制度。本文从认证体系的产品目录、实施机构、实施要求等方面系统梳理了网络关键设备和网络安全专用产品安
0 引言 网络关键设备和网络安全专用产品安全认证是我

安全路由器产品强制性认证实施规则

编号:CNCA-11C-078:2009信息安全产品强制性认证实施规则安全路由器产品2009-04-27发布 2009-05-01实施 中国国家认证认可监督管理委员会发布目 录1.适用范围 (1)2.认证模式 (1)3.认证的基本环节 (1)3.1认证申请及受理 (1)3.2型式试验委托及实施 (1)3.3初始工厂检查 (1)3.4认证结果评价与批准 (1)3.5获证后监督 (1)4.认证实施 (1)4.1认证程序 (1)4.2认证申请及受理 (2)4.3型式试验委托及实施 (3)4.4初始工厂检查 (4)4.5认证结果评价与批准 (5)4.6获证后监督 (5)5.认证证书 (7)5.1认证证书的保持 (7)5.2认证证书覆盖产品的扩展 (7)5.3认证证书的暂停、注销和撤消 (8)6.强制性产品认证标志的使用 (8)6.1准许使用的标志样式 (8)6.2变形认证标志的使用 (8)6.3加施方式 (8)6.4标志位置 (8)7.收费 (9)附件1: (10)附件2: (11)附件3: (13)附件4: (14)附件5: (15)1.适用范围本规则所指的安全路由器是指为保障所传输数据完整性、机密性、可用性,应用于重要信息系统的,具备IKE密钥协商能力,端口IPSec硬件线速加密能力的路由器。

本规则适用的产品范围为:具备IKE密钥协商能力,端口IPSec硬件线速加密能力的,集成了IPSec/SSL,以及防火墙、入侵检测、安全审计等一种或多种安全模块的路由器,仅接入公用电信网的路由器除外。

拟用于涉密信息系统的上述产品,按照国家有关保密规定和标准执行,不适用本规则。

2.认证模式型式试验 + 初始工厂检查 + 获证后监督3.认证的基本环节3.1认证申请及受理3.2型式试验委托及实施3.3初始工厂检查3.4认证结果评价与批准3.5获证后监督4.认证实施4.1认证程序申请方可选择集中受理或分段受理两种方式中任意一种进行认证证书申请,两种方式下获得的证书是等效的。

第二版医疗器械网络安全指导原则内容2021


21
94
网络安全描述文档调整
• 将网络安全描述文档更名为自研软件网络安全研究报告 • 内容参照第二版软件指导原则,分为基本信息、实现过程、漏洞评估、结论四
部分,并基于软件安全性级别区别要求 • 补充数据架构、网络安全能力、网络安全补丁、需求规范、网络安全事件应急
响应、远程维护、漏洞评估等要求 • 强化可追溯性分析要求 • 将现成软件要求调至现成软件网络安全研究资料 • 增加结论,体现企业主体责任
• 基本考量
– 计划与准备、探测与报告、评估与决策、应急响应实施、总结与改进 – 根据严重程度、紧迫程度、广泛程度等因素进行分类分级管理 – 建立网络安全事件应急响应团队,根据工作职能形成管理、规划、监测、响
应、实施、分析等工作小组,必要时成立专家小组
器审中心版权所有,未经许可不得使用
13
86
漏洞扫描
– 现成软件 – 医疗数据出境 – 远程维护 – 遗留设备
• 医疗器械网络安全研究资料 • 注册申报资料补充说明 • 编写单位 • 参考文献
器审中心版权所有,未经许可不得使用
3
76
两版主要差异
• 内容更为全面
– 网络安全事件应急响应 – 网络安全可追溯分析 – 远程维护 – 医疗数据出境 – 遗留设备 – 漏洞评估 – 重大网络安全更新判定原则
11
84
网络安全可追溯分析
• 定位
– 软件可追溯性分析的重要组成部分
• 基本考量
– 追溯网络安全需求、网络安全设计、源代码、网络安全测试、网络安全风险 管理的关系
– 不再要求追溯网络安全能力
器审中心版权所有,未经许可不得使用
12
85
网络安全事件应急响应
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

编号:CNCA-CCIS-2018网络关键设备和网络安全专用产品安全认证实施规则国家认证认可监督管理委员会发布目录1. 适用范围 (4)2. 认证模式 (4)3.认证的基本环节 (4)3.1认证申请及受理 (4)3.2文档审核 (4)3.3型式试验委托及实施 (4)3.4工厂检查 (4)3.5认证结果评价与批准 (4)3.6获证后监督 (4)4.认证实施 (4)4.1认证流程 (4)4.2认证申请及受理 (5)4.3文档审核 (7)4.4型式试验委托及实施 (7)4.5工厂检查 (8)4.6认证结果评价与批准 (9)4.7获证后监督 (9)5.认证时限 (10)6.认证证书 (11)6.1证书的有效性 (11)6.2认证证书的变更 (11)6.3认证证书覆盖产品的扩展 (11)6.4认证证书的暂停、注销和撤销 (12)7.认证标志的使用 (12)7.1认证标志的样式 (12)7.2认证标志的使用 (12)7.3加施方式 (12)7.4标志位置 (13)附件1: (14)附件2: (16)附件3: (17)1.适用范围本规则依据《中华人民共和国网络安全法》《中华人民共和国认证认可条例》制定,规定了开展网络关键设备和网络安全专用产品安全认证的基本原则和要求。

本规则适用的网络关键设备和网络安全专用产品,应符合《国家互联网信息办公室、工业和信息化部、公安部、国家认监委关于发布<网络关键设备和网络安全专用产品目录(第一批)>的公告》(联合公告2017年第1号)中相应的范围要求描述(详见附件1)。

安全认证用标准依据有关主管部门的要求执行。

2.认证模式型式试验+ 工厂检查+ 获证后监督3.认证的基本环节3.1认证申请及受理3.2文档审核3.3型式试验委托及实施3.4工厂检查3.5认证结果评价与批准3.6获证后监督4.认证实施4.1认证流程— 4 —认证委托人向认证机构申请认证,认证机构在接收到认证委托人的认证申请后,审查申请资料,确认合格后向认证委托人选择的实验室安排检测任务,并通知认证委托人根据要求抽样检测。

实验室依据相关标准和/或技术规范进行检测,并在完成检测后向认证机构提交检测报告。

认证机构对检测报告审查合格后,需要时由认证机构组织进行工厂检查。

认证机构对型式试验、工厂检查结果进行认证决定,并在认证决定评价合格后向认证委托人颁发认证证书。

认证机构组织对获证后的产品进行定期的监督。

4.2认证申请及受理认证委托人向认证机构递交认证申请,并按要求提交相关资料,认证机构对资料进行初审,确定认证委托人提交资料满足要求后,受理该申请。

4.2.1认证的单元划分按产品型号/版本申请认证,若产品的关键件相同的可作为一个单元申请认证,由认证机构根据认证要求对产品关键件做出规定。

以多于一个型号/版本的产品为同一认证单元申请认证时,认证委托人应提交同一认证单元中型号/版本间的差异说明及相关测试报告。

4.2.2申请资料要求— 5 —认证委托人在申请安全认证时,应至少提交以下资料:1)申请基本信息:●认证申请书;●认证委托人声明;●相关法律地位证明材料(复印件);●质量体系方面有关的文件。

2)有关技术指标参数声明及支撑材料(依据附件1“范围”中的内容)。

3)产品相关说明:●中文产品功能说明书和/或使用手册;●认证标准的适用性说明;●产品研制主要技术人员情况表;●产品测试技术人员情况表;●产品测试使用的主要设备表;●中文铭牌和警告标记;●同一认证单元中型号/版本间的差异说明及相关测试报告(如适用);●产品密码检测合格证书(如适用)。

4)安全保障要求方面的文档:●配置管理;●交付与运行;— 6 —●开发;●指导性文档;●测试。

5)安全功能相关说明文件。

6)认证机构要求的其他资料。

4.3文档审核对认证委托人提交的资料和文档,根据相关标准和/或该产品的技术规范进行审核。

4.4型式试验委托及实施4.4.1型式试验抽样4.4.1.1抽样要求由认证机构安排对申请认证的产品按型号/版本进行抽样,样品应在生产企业生产的产品中(包括生产线、仓库、市场)随机抽取。

一般每种产品抽样2套,如有特殊需求可增加样品数量。

认证委托人将样品递送至实验室,并对样品负责。

认证委托人应根据型式试验的要求,提供相应的说明及辅助设备。

4.4.1.2样品及相关资料的处置认证结束后,认证委托人可向实验室申请取回型式试验样品,相关申请资料由认证机构、实验室妥善处置。

— 7 —4.4.2型式试验依据按相应产品有关国家标准的要求执行。

4.4.3型式试验报告的提交型式试验完成后,实验室根据认证机构的要求出具型式试验报告并提交给认证机构。

4.5工厂检查4.5.1审核内容工厂检查的内容为信息安全保障能力、质量保证能力、产品一致性检查。

4.5.1.1信息安全保障能力由认证机构派检查员对制造商、生产企业按照附件2(信息安全保障能力基本要求)实施审核(当认证依据的国家标准涵盖安全保障能力要求时,则按相应国家标准实施)。

4.5.1.2质量保证能力由认证机构派检查员对生产企业按照附件3(质量保证能力基本要求)及认证机构制定的补充检查要求进行检查。

4.5.1.3产品一致性工厂检查时,应在生产现场对申请认证的产品进行一致性检查。

重点检查以下内容:1)认证产品的铭牌、包装上所标明的及运行时所显示的产品名称、型号/版本号与型式试验报告上所标明的内容是否一致;— 8 —2)认证产品所用的软件、硬件应与型式试验合格的样品一致;3)非认证的产品是否违规标贴了认证标识。

4.5.2工厂检查时间由认证机构根据认证实施需要安排工厂检查。

人日数根据所申请认证产品的单元数量确定,并适当考虑制造商、生产企业的规模及产品的安全级别,一般每个场所为2至6个人日。

4.6认证结果评价与批准认证机构负责对型式试验、工厂检查结果等进行综合评价,做出认证决定,通过认证决定的,由认证机构对认证委托人颁发认证证书(每一个认证单元颁发一张认证证书)。

如认证决定过程中发现不符合认证要求项,允许限期(不超过3个月)整改,如期完成整改后,认证机构采取适当方式对整改结果进行确认,重新执行认证决定过程。

4.7获证后监督4.7.1监督的频次监督频次一般为一年一次,当有特别规定时,认证机构可调整监督频次。

必要时,认证机构可采取事先不通知的方式进行监督。

如果发生下述情况之一可增加监督频次:1)获证产品出现严重质量问题时,或者用户提出投诉并经查— 9 —实为证书持有者责任时;2)认证机构有足够理由对获证产品与规定的标准要求的符合性提出质疑时;3)有足够信息表明制造商、生产企业因组织机构、生产条件、质量管理体系等发生变更,从而可能影响产品质量时。

4.7.2监督的内容获证后监督采用工厂检查的方式进行,主要针对信息安全保障能力、认证产品一致性和质量保证能力进行检查。

必要时可以抽取样品送实验室检测,需要进行抽样检测时,按4.4.1.1要求实施抽样。

初次认证申请时的检测项目都可以作为监督时的检测项目,认证机构可根据具体情况进行部分或全部项目的检测。

样品的检测一般由认证机构指定的检测实验室在20个工作日内完成。

4.7.3获证后监督结果的评价监督复查合格后,可以继续保持认证证书、使用认证标志。

对监督复查时发现的不符合项应在3个月内完成纠正措施。

逾期将撤销认证证书、停止使用认证标志,并对外公告。

5.认证时限认证时限是指自申请被正式受理之日起至颁发认证证书时止所实际发生的工作日,一般在90个工作日内。

整改时间不计算在内。

— 10 —6.认证证书6.1证书的有效性证书有效期5年。

在有效期内,通过每年对获证后的产品进行监督确保认证证书的有效性。

6.2认证证书的变更6.2.1变更的申请获证后的产品,如果其制造商、生产企业、证书持有者等发生变化时,应向认证机构提出变更申请。

6.2.2变更申请的评价与批准认证机构根据变更的内容和提供的资料进行文件审核,需要时安排型式试验和/或工厂检查,认证评价通过后予以变更证书。

6.2.3证书的有效期证书在进行变更后,其有效期与原证书一致。

6.3认证证书覆盖产品的扩展6.3.1认证证书覆盖产品扩展申请认证证书持有者需要增加已经获得认证产品的认证范围时,应向认证机构提出扩展申请,并提交扩展产品和原认证产品之间的差异说明。

6.3.2认证证书覆盖产品扩展的评价与批准认证机构应核查扩展产品与原认证产品的一致性,确认原认证结果对扩展产品的有效性,需要时应针对差异做补充型式试验和/或工厂检查,并根据认证证书持有者的要求单独颁发认证证书或换发认证证书。

6.3.3证书的有效期证书在进行扩展后,其有效期与原证书一致。

6.4认证证书的暂停、注销和撤销参照《强制性产品认证证书注销、暂停、撤销实施规则》的要求执行。

在认证证书暂停期间及认证证书注销和撤销后,获证机构不得继续使用证书。

7.认证标志的使用7.1认证标志的样式7.2认证标志的使用认证标志在使用时可以等比例的放大或缩小。

但是,不允许变形或变色。

7.3加施方式可以采用统一印制的标准规格标志、模压、铭牌印刷、软件加施等方式。

7.4标志位置应在产品本体的铭牌附近加施认证标志。

软件产品应在其软件包装/载体上加施认证标志,如该软件产品不使用包装/载体,则应在软件使用的《许可协议》中的显著位置明确该产品已获认证机构认证。

附件1网络关键设备和网络安全专用产品目录附件2信息安全保障能力基本要求附件3质量保证能力基本要求为保证批量生产的认证产品与型式试验样品的一致性,生产企业应满足本文件规定的质量保证能力基本要求。

1.职责和资源1.1职责生产企业应规定与质量活动有关的各类人员职责及相互关系,且生产企业应在组织内指定一名质量负责人,无论该成员在其他方面的职责如何,应具有以下方面的职责和权限:a)负责建立满足本文件要求的质量体系,并确保其实施和保持;b)确保加贴认证标志的产品符合认证标准的要求;c)建立文件化的程序,确保认证标志的妥善保管和使用;d)建立文件化的程序,确保不合格品和获证产品变更后未经认证机构确认,不加贴认证标志。

质量负责人应具有充分的能力胜任本职工作。

1.2资源生产企业应配备必须的生产设备和检测设备以满足稳定生产符合本规则中规定的标准要求的产品;应配备相应的人力资源,确保从事对产品质量有影响工作的人员具备必要的能力;建立并保持适宜产品生产、试验、储存等必备的环境。

2.认证产品一致性a)生产企业应对现场的产品与型式试验样品的一致性进行控制,以使认证产品持续符合规定的要求;b)生产企业应建立产品变更控制程序,认证产品的变更在实施前应向认证机构申报并获得批准后方可执行。

3.认证产品外购部件或外包软件模块管理3.1外购部件供应商或软件模块的外包商的控制a)生产企业应制定外购部件供应商或软件模块外包商的选择、评定和日常管理的程序,以确保供应商提供的部件或软件外包商提供的软件模块满足要求;b)生产企业应保存对供应商或软件外包商的选择评价和日常管理记录。