路径: 主页 > MISC > 第37页 > CNCA CCIS-2018 | 标准编号 | CNCA CCIS-2018 (CNCA-CCIS-2018) | | 中文名称 | 网络关键设备和网络安全专用产品 安全认证实施规则 | | 英文名称 | (Implementation rules for security certification of critical network equipment and network security products) | | 行业 | 强制性产品认证实施规则 | | 中标分类 | CNC | | 字数估计 | 20,246 | | 发布日期 | 2018-06-27 | | 实施日期 | 2018-06-27 | | 标准依据 | 国家认证认可监督管理委员会公告2018年第28号 | | 发布机构 | 中国国家认证认可监督管理委员会 | CNCA CCIS-2018
(Implementation rules for security certification of critical network equipment and network security products)
编号:CNCA-CCIS-2018
网络关键设备和网络安全专用产品
安全认证实施规则
国家认证认可监督管理委员会发布
目 录
1.适用范围...4
2.认证模式...4
3.认证的基本环节...4
3.1 认证申请及受理...4
3.2 文档审核...4
3.3 型式试验委托及实施...4
3.4 工厂检查...4
3.5 认证结果评价与批准...4
3.6 获证后监督...4
4.认证实施...4
4.1 认证流程...4
4.2 认证申请及受理...5
4.3 文档审核...7
4.4 型式试验委托及实施...7
4.5 工厂检查...8
4.6 认证结果评价与批准...9
4.7 获证后监督...9
5.认证时限...10
6.认证证书...11
6.1 证书的有效性...11
6.2 认证证书的变更...11
6.3 认证证书覆盖产品的扩展...11
6.4 认证证书的暂停、注销和撤销...12
7.认证标志的使用...12
7.1 认证标志的样式...12
7.2 认证标志的使用...12
7.3 加施方式...12
7.4 标志位置...13
附件 1:...14
附件 2:...16
附件 3:...17
1.适用范围
本规则依据《中华人民共和国网络安全法》《中华人民共和
国认证认可条例》制定,规定了开展网络关键设备和网络安全专
用产品安全认证的基本原则和要求。
本规则适用的网络关键设备和网络安全专用产品,应符合
《国家互联网信息办公室、工业和信息化部、公安部、国家认
监委关于发布< 网络关键设备和网络安全专用产品目录(第一
批) >的公告》(联合公告 2017 年第 1 号)中相应的范围要求
描述(详见附件 1)。
安全认证用标准依据有关主管部门的要求执行。
2.认证模式
型式试验 + 工厂检查 + 获证后监督
3.认证的基本环节
3.1 认证申请及受理
3.2 文档审核
3.3 型式试验委托及实施
3.4 工厂检查
3.5 认证结果评价与批准
3.6 获证后监督
4.认证实施
4.1 认证流程
认证委托人向认证机构申请认证,认证机构在接收到认证委
托人的认证申请后,审查申请资料,确认合格后向认证委托人选
择的实验室安排检测任务,并通知认证委托人根据要求抽样检
测。实验室依据相关标准和/或技术规范进行检测,并在完成检
测后向认证机构提交检测报告。认证机构对检测报告审查合格
后,需要时由认证机构组织进行工厂检查。认证机构对型式试验、
工厂检查结果进行认证决定,并在认证决定评价合格后向认证委
托人颁发认证证书。认证机构组织对获证后的产品进行定期的监督。
4.2 认证申请及受理
认证委托人向认证机构递交认证申请,并按要求提交相关资
料,认证机构对资料进行初审,确定认证委托人提交资料满足要
求后,受理该申请。
4.2.1 认证的单元划分
按产品型号/版本申请认证,若产品的关键件相同的可作为
一个单元申请认证,由认证机构根据认证要求对产品关键件做出规定。
以多于一个型号/版本的产品为同一认证单元申请认证时,
认证委托人应提交同一认证单元中型号/版本间的差异说明及相关测试报告。
4.2.2 申请资料要求
认证委托人在申请安全认证时,应至少提交以下资料:
1) 申请基本信息:
认证申请书;
认证委托人声明;
相关法律地位证明材料(复印件);
质量体系方面有关的文件。
2) 有关技术指标参数声明及支撑材料(依据附件 1“范围”中的内容)。
3) 产品相关说明:
中文产品功能说明书和/或使用手册;
认证标准的适用性说明;
产品研制主要技术人员情况表;
产品测试技术人员情况表;
产品测试使用的主要设备表;
中文铭牌和警告标记;
同一认证单元中型号/版本间的差异说明及相关测试报告(如适用);
产品密码检测合格证书(如适用)。
4) 安全保障要求方面的文档:
配置管理;
交付与运行;
开发;
指导性文档;
测试。
5) 安全功能相关说明文件。
6) 认证机构要求的其他资料。
4.3 文档审核
对认证委托人提交的资料和文档,根据相关标准和/或该产品的技术规范进行审核。
4.4 型式试验委托及实施
4.4.1 型式试验抽样
4.4.1.1 抽样要求
由认证机构安排对申请认证的产品按型号/版本进行抽样,
样品应在生产企业生产的产品中(包括生产线、仓库、市场)随
机抽取。一般每种产品抽样 2 套,如有特殊需求可增加样品数量。
认证委托人将样品递送至实验室,并对样品负责。
认证委托人应根据型式试验的要求,提供相应的说明及辅助设备。
4.4.1.2 样品及相关资料的处置
认证结束后,认证委托人可向实验室申请取回型式试验样
品,相关申请资料由认证机构、实验室妥善处置。
4.4.2 型式试验依据
按相应产品有关国家标准的要求执行。
4.4.3 型式试验报告的提交
型式试验完成后,实验室根据认证机构的要求出具型式试验
报告并提交给认证机构。
4.5 工厂检查
4.5.1 审核内容
工厂检查的内容为信息安全保障能力、质量保证能力、产品一致性检查。
4.5.1.1 信息安全保障能力
由认证机构派检查员对制造商、生产企业按照附件 2(信息
安全保障能力基本要求)实施审核(当认证依据的国家标准涵盖
安全保障能力要求时,则按相应国家标准实施)。
4.5.1.2 质量保证能力
由认证机构派检查员对生产企业按照附件 3(质量保证能力
基本要求)及认证机构制定的补充检查要求进行检查。
4.5.1.3 产品一致性
工厂检查时,应在生产现场对申请认证的产品进行一致性检查。重点检查以下内容:
1)认证产品的铭牌、包装上所标明的及运行时所显示的产
品名称、型号/版本号与型式试验报告上所标明的内容是否一致;
2)认证产品所用的软件、硬件应与型式试验合格的样品一致;
3)非认证的产品是否违规标贴了认证标识。
4.5.2 工厂检查时间
由认证机构根据认证实施需要安排工厂检查。人日数根据所
申请认证产品的单元数量确定,并适当考虑制造商、生产企业的
规模及产品的安全级别,一般每个场所为 2 至 6 个人日。
4.6 认证结果评价与批准
认证机构负责对型式试验、工厂检查结果等进行综合评价,
做出认证决定,通过认证决定的,由认证机构对认证委托人颁发
认证证书(每一个认证单元颁发一张认证证书)。如认证决定过
程中发现不符合认证要求项,允许限期(不超过 3 个月)整改,
如期完成整改后,认证机构采取适当方式对整改结果进行确认,
重新执行认证决定过程。
4.7 获证后监督
4.7.1 监督的频次
监督频次一般为一年一次,当有特别规定时,认证机构可调
整监督频次。必要时,认证机构可采取事先不通知的方式进行监督。
如果发生下述情况之一可增加监督频次:
1)获证产品出现严重质量问题时,或者用户提出投诉并经查实为证书持有者责任时;
2)认证机构有足够理由对获证产品与规定的标准要求的符合性提出质疑时;
3)有足够信息表明制造商、生产企业因组织机构、生产条
件、质量管理体系等发生变更,从而可能影响产品质量时。
4.7.2 监督的内容
获证后监督采用工厂检查的方式进行,主要针对信息安全保
障能力、认证产品一致性和质量保证能力进行检查。必要时可以
抽取样品送实验室检测,需要进行抽样检测时,按 4.4.1.1 要求
实施抽样。初次认证申请时的检测项目都可以作为监督时的检测
项目,认证机构可根据具体情况进行部分或全部项目的检测。样
品的检测一般由认证机构指定的检测实验室在 20 个工作日内完成。
4.7.3 获证后监督结果的评价
监督复查合格后,可以继续保持认证证书、使用认证标志。
对监督复查时发现的不符合项应在 3 个月内完成纠正措施。
逾期将撤销认证证书、停止使用认证标志,并对外公告。
5.认证时限
认证时限是指自申请被正式受理之日起至颁发认证证书时
止所实际发生的工作日,一般在 90 个工作日内。整改时间不计算在内。
6.认证证书
6.1 证书的有效性
证书有效期 5 年。在有效期内,通过每年对获证后的产品
进行监督确保认证证书的有效性。
6.2 认证证书的变更
6.2.1 变更的申请
获证后的产品,如果其制造商、生产企业、证书持有者等发
生变化时,应向认证机构提出变更申请。
6.2.2 变更申请的评价与批准
认证机构根据变更的内容和提供的资料进行文件审核,需要
时安排型式试验和/或工厂检查,认证评价通过后予以变更证书。
6.2.3 证书的有效期
证书在进行变更后,其有效期与原证书一致。
6.3 认证证书覆盖产品的扩展
6.3.1 认证证书覆盖产品扩展申请
认证证书持有者需要增加已经获得认证产品的认证范围时,
应向认证机构提出扩展申请,并提交扩展产品和原认证产品之间
的差异说明。
6.3.2 认证证书覆盖产品扩展的评价与批准
认证机构应核查扩展产品与原认证产品的一致性,确认原认
证结果对扩展产品的有效性,需要时应针对差异做补充型式......
英文网页English: CNCA CCIS-2018相关标准:
|