bobty综合体育二、产品说明:
1) 中文产品功能手册和/或用户手册;
2) 认证标准的适用性说明;
bobty综合体育2 3)产品开发的主要技术人员;
4)产品检测技术人员信息表;
5) 用于产品测试的主要设备表(如适用);
bobty综合体育6)中文铭牌和警示标志(如适用);
7) 同一认证单元中型号/版本差异说明及相关自检报告(如适用);
8) 产品密码检验证书(仅适用于三级认证)。
bobty综合体育3. 申请的认证等级对应的安全保障要求说明,包括以下内容:
1)配置管理;
2)交付和运营;
3)发展;
4) 指导文件;
5) 生命周期支持;
6) 测试;
7) 漏洞评估。
4.3 型式试验委托与实施
4.3.1 型式试验送样
4.3.1.1 型式试验送样原则
如果认证单元中只有一个型号/版本,将发送该型号/版本的样品。以多个型号/版本为同一认证单元申请认证时,应选择典型型号/版本作为样品产品。申请三级产品送样时,应同时提供该产品的联动设备及相关说明文件。
4.3.1.2 送样要求及数量
型式试验的样品由申请人按上述要求选定,并对选定的样品负责。一般每件产品寄送2套样品。
3 4.3.1.3 型式试验样品及相关资料的处置
认证后,申请人可向实验室申请取回型式试验样品,相关申请材料由认证机构和实验室妥善处理。
4.3.2 评价标准及项目
评价标准为:
GB/T 20281《信息安全技术防火墙技术要求和测试评价方法》(基于GB/T 18336《信息技术安全技术信息安全技术评价标准》的一般要求)。评价项目见附件2和附件3。
4.3.3 型式试验报告的提交
型式试验完成后,实验室出具型式试验报告并提交给认证机构。
4.4 初始工厂检查
4.4.1 检查内容
初始工厂检查的内容是信息安全保证能力、质量保证能力和产品一致性检查。
4.4.1.1 信息安全保障能力检查
认证机构应根据《防火墙产品强制性认证安全保障评估项目》(见附件3),派出检查员对工厂的信息安全保障能力进行检查。
4.4.1.2 质量保证能力检查
认证机构将根据《质量保证能力基本要求》(附件5)和认证机构制定的补充检验要求(如适用)派出检验人员对工厂进行检验。
4.4.1.3 产品一致性检查
初次工厂检查时,应在生产现场对申请认证的产品进行符合性检查。重点验证以下内容:
1) 获证产品铭牌和包装上标注的和操作时显示的产品名称、型号/版本号是否与型式试验报告所示内容一致;
2)非认证产品是否违规标注认证标志。
4 4.4.2 初始工厂检查时间 一般情况下,认证机构应审核4.2.2 中的信息,并在型式试验完成后进行初始工厂检查。在特殊情况下,也可以同时进行型式试验和初始工厂检查。初始工厂检查时间根据获证产品的单位数量确定强制认证产品,并适当考虑生产工厂的规模和产品的安全等级。一般每个生产车间2到4人天。
4.5 认证结果的评价和批准
4.5.1 认证结果的评价和批准
认证机构负责对型式试验和初始工厂检查的结果进行综合评价。评估合格的,认证机构向申请人颁发认证证书(每个认证单元一个认证证书)。在认证决定过程中发现不符合认证要求的,允许限期(不超过3个月)整改。整改按期完成后强制认证产品,认证机构将采取适当措施确认整改结果,重新执行认证决策流程。
4.5.2 认证时限
认证时限是指从正式受理申请之日起至颁发认证证书之日起的实际工作日,包括型式试验时间、初始工厂检查和报告提交时间、认证结论评估和批准时间,和证书制作时间。型式试验时间一般不超过30个工作日(因试验项目不合格,不包括整改和复查时间,整改时间一般不超过3个月)。初次出厂检验一般安排在型式试验报告提交后30个工作日内。初始出厂检验时间根据获证产品的单位数量确定,并适当考虑工厂的生产规模和产品的安全水平,一般为2-4人日。初次工厂检查后的报告提交时间一般为5个工作日,从检查员完成现场检查并收到并确认工厂提交的不合格整改报告之日起计算。认证结论的评审、批准时间和证书制作时间合计不超过5个工作日。从检查员完成现场检查并收到并确认工厂提交的不合格整改报告之日起计算。认证结论的评审、批准时间和证书制作时间合计不超过5个工作日。从检查员完成现场检查并收到并确认工厂提交的不合格整改报告之日起计算。认证结论的评审、批准时间和证书制作时间合计不超过5个工作日。
4.6 认证后监督
5 4.6.1 监督频率
4.6.1.1 首次认证后监督自认证后第 12 个月起进行,此后每 12 个月进行一次。如有必要,认证机构可以在不事先通知的情况下对生产工厂进行监督。
4.6.1.2 出现下列情形之一的,可增加监督频次:
1)获证产品存在严重质量问题,或用户提出投诉,经查证由持证人负责的;
2)当认证机构有充分理由质疑获证产品是否符合本规则规定的标准要求时;
3)当有足够的信息表明工厂因组织结构、生产条件、质量管理体系等原因发生变化,可能影响产品质量时。
4.6.2 监管内容
认证后监督的方式采用信息安全保障能力、质量保障能力审查和获证产品一致性检查。必要时可抽取样品送实验室进行检测。需要抽样检测时,抽样检测的样品应从工厂生产的产品(包括生产线、仓库、市场)中随机抽取。产品抽样检验数量为2套。本认证实施细则所涉及的检测项目可作为监督检测项目强制认证产品,认证机构可根据不同产品的不同情况要求对部分或全部项目进行检测。抽取样品的检测由认证机构指定的实验室在20个工作日内完成。认证机构按照《防火墙产品强制性认证安全保障评估项目》(见附件3)和《质量保障能力基本要求》(见附件5)对工厂进行监督审查。《质量保证能力基本要求》中第一条、第二条为每次监督审查的必修项目,其他项目可选择检查。每四年至少涵盖附件 3 和附件 5 中的所有项目。此外,应检查产品更改。工厂监督检查时间根据获证产品的单位数量确定,
6 4.6.3 认证后监督结果评价
监督复查合格后,可以继续保持认证证书,使用认证标志。对于监督评审中发现的不符合项,应在 3 个月内完成纠正措施。逾期未发证书的,撤销证书,停止使用证明标志,并向社会公告。
5. 认证
5.1 证书的维护
5.1.1 证书的有效性
本规则涵盖的产品的认证证书不指定有效期。证书的有效性通过认证机构的定期监控来维持。
5.1.2 认证产品变更
5.1.2.1 变更申请
对于获证产品,如果产品的关键信息安全部件未发生变化,但型号/版本发生变化,或者制造商、证书持有者等发生变化,应向认证机构提出变更申请。因信息安全密钥变更导致型号/版本变更时,应重新申请认证。
5.1.2.2 变更请求的评估和批准
认证机构对变更的内容和提供的信息进行评估,确定获证产品变更属于下列哪一种情况强制认证产品,并根据具体情况采取相应措施。
1) 当产品的非信息安全关键部件发生变更导致型号/版本变更强制认证产品,不需要补充型式试验和/或工厂检查时,应在审核后进行变更;
2) 当产品的非信息安全关键部件发生变更导致型号/版本变更,需要补充型式试验和/或出厂检验时,应在型式试验和/或或出厂检验合格,认证评价合格;
3)当发生其他变化时,如制造商、持证人等,经审核后予以变更。
5.2 证书涵盖产品的扩展
5.2.1 认证证书所涵盖产品的延期申请
7 持证人需要扩大获证产品的认证范围时,应向认证机构申请延期。
5.2.2 认证证书所涵盖产品扩展的评价与批准 认证机构应检查扩展产品与原获证产品的一致性,确认扩展产品原认证结果的有效性,并进行补充型式试验和/ 或根据证书持有者的要求对差异进行工厂测试 检查,并单独签发证书或更新证书。
5.3 认证证书的暂停、注销和撤销
根据《取消、暂停和撤销强制性产品认证实施细则》的要求。在认证证书暂停使用期间以及认证证书被注销和吊销后,企业不得继续使用该证书。
六、强制性产品认证标志的使用
持证人必须遵守《强制性产品认证标志管理办法》的规定。
6.1 允许的标志样式
6.2 变形认证标志的使用
本规则涵盖的产品不得使用任何形式的变形认证标志。
6.3 申请方法
国家统一印制的标准规格标志、模压或铭牌印制三种方式中的任一种均可。采用冲压、铭牌印刷的,其使用方案应当报经国家认监委批准的强制性产品认证标志颁发管理机构批准。
6.4 标志位置
认证标志应贴在产品本体铭牌附近。软件产品不使用的,应当在其软件包/载体上加贴认证标志。
8 包装/载体,应在软件使用许可协议的显着位置明确注明该产品已获得中国强制性产品认证(CCC认证)。
7. 收费
bobty综合体育费用由认证机构和实验室按照国家有关规定统一收取。