1、编号:ISCCC-IR-001:2011IT 产品信息安全认证实施规则通用规则2011-07-01 发布 2011-07-01 实施中国信息安全认证中心发布目 录1适用范围 .12认证模式 .13认证的基本环节 .13.1 认证申请及受理.13.2 文档审核.13.3 型式试验委托及实施.13.4 初始工厂检查(如适用).13.5 认证结果评价与批准.13.6 获证后监督.14认证实施 .14.1 认证流程.14.2 认证申请及受理.14.3 文档审核.24.4 型式试验委托及实施.34.5 初始工厂检查 (如适用) .34.6 认证结果评价与批准.44.7 获证后监督.45认证时限 .56认
2、证证书 .56.1 认证证书的保持.56.2 认证证书的变更.66.3 认证证书覆盖产品的扩展.66.4 认证证书的暂停、注销和撤销.67 认证标志的使用 .67.1 认证标志的样式.67.2 认证标志的使用.77.3 加施方式.77.4 标志位置.78 收费 .7附件 1: .8附件 2: .1011适用范围本规则适用于中国信息安全认证中心(ISCCC)针对信息技术产品开展的信息安全认证,对已有特定实施规则的产品应遵循相应实施规则。2认证模式型式试验 + 初始工厂检查(如适用)+ 获证后监督3认证的基本环节3.1 认证申请及受理3.2 文档审核3.3 型式试验委托及实施3.4 初始工厂检查(
3、如适用)3.5 认证结果评价与批准3.6 获证后监督4认证实施4.1 认证流程申请方向认证机构申请认证,认证机构在接收到申请方的认证申请后,审查申请资料,确认合格后向申请方选择的实验室安排检测任务,并通知申请方根据要求送样。实验室依据相关标准和/ 或技术规范进行检测,并在完成检测后向认证机构提交检测报告。认证机构对检测报告审查合格后,需要时由认证机构组织进行初始工厂检查。认证机构对型式试验、初始工厂检查结果(如适用)进行综合评价,并在认证决定评价合格后向申请方颁发认证证书。认证机构组织对获证后的产品进行定期的监督。4.2 认证申请及受理申请方向认证机构递交认证申请,并按要求提交相关资料,认证机
4、构对资料进行初审,确定申请方提交资料满足要求后,受理该申请。4.2.1 认证的单元划分原则上按产品型号/版本申请认证。24.2.2 申请资料要求申请方在申请产品认证时,应至少提交以下资料:1) 申请基本信息: 认证申请书; 申请方声明; 相关法律地位证明材料(复印件) ; 质量体系方面有关的文件。2) 产品相关说明: 中文产品功能说明书和/或使用手册; 认证标准的适应性说明; 产品研制主要技术人员情况表; 产品测试技术人员情况表; 产品测试使用的主要设备表(如适用) ; 中文铭牌和警告标记(如适用) ; 产品密码检测合格证书(如适用) 。3) 安全保证要求方面的文档: 配置管理; 交付与运行;
5、 开发; 指导性文档; 测试; 脆弱性评定。4) 安全目标(如适用) 。4.3 文档审核对申请方提交的资料和文档,根据相关标准和/或该产品的技术规范进行审核。34.4 型式试验委托及实施4.4.1 型式试验送样4.4.1.1 送样原则送申请认证的型号/版本的样品。申请方如果有特殊要求,需要提供相应的说明及辅助设备。4.4.1.2 送样要求和数量用于检测的样品由申请方负责按上述要求选送,并对选送样品负责。一般每种产品送样 2 套,如果特殊需求可以增加送样数量。4.4.1.3 样品及相关资料的处置认证结束后,申请方可向实验室申请取回型式试验样品,相关申请资料由认证机构、实验室妥善处置。4.4.2
6、检测依据GB/T 18336-2008信息技术 安全技术 信息技术安全性评估准则 、相关的标准和/或技术规范、检测规范。4.4.3 检测报告的提交检测完成后,检测实验室根据认证机构的要求出具检测报告并提交给认证机构。4.5 初始工厂检查 (如适用)4.5.1 检查内容初始工厂检查的内容为信息安全保证能力、质量保证能力和产品一致性检查。4.5.1.1 信息安全保证能力检查由认证机构派检查员对工厂按照附件 2(信息安全保证能力评估项目)进行信息安全保证能力检查。4.5.1.2 质量保证能力检查由认证机构派检查员对工厂按照附件 1(质量保证能力基本要求)及4认证机构制定的补充检查要求(适用时)进行检
7、查。4.5.1.3 产品一致性检查初始工厂检查时,应在生产现场对申请认证的产品进行一致性检查。重点核实以下内容:1)认证产品的铭牌、包装上所标明的及运行时所显示的产品名称、型号/ 版本号与型式试验报告上所标明的内容是否一致;2)认证产品所用的软件、硬件应与型式试验合格的样品一致;3)非认证的产品是否违规标贴了认证标识。4.5.2 初始工厂检查时间一般情况下,认证机构对 4.2.2 中的资料进行审查并在型式试验完成后,再进行初始工厂检查。特殊情况时,型式试验和初始工厂检查也可以同时进行。初始工厂检查时间根据所申请认证产品的单元数量确定,并适当考虑生产厂的规模及产品的安全级别,一般每个生产厂为 2
8、 至 6 个人日。4.6 认证结果评价与批准认证机构负责对型式试验结果等进行综合评价,评价合格的,由认证机构对申请方颁发认证证书(每一个认证单元颁发一个认证证书) 。如认证决定过程中发现不符合认证要求项,允许限期(不超过 3 个月)整改,如期完成整改后,认证机构采取适当方式对整改结果进行确认,重新执行认证决定过程。4.7 获证后监督4.7.1 监督的频次从获证后每 12 个月进行一次获证后监督。必要时,认证机构可采取事先不通知的方式进行必要的监督。如果发生下述情况之一可增加监督频次:1)获证产品出现严重质量问题时,或者用户提出投诉并经查实为证书5持有者责任时;2)认证机构有足够理由对获证产品与
9、规定的标准要求的符合性提出质疑时;3)有足够信息表明工厂因组织机构、生产条件、质量管理体系等发生变更,从而可能影响产品质量时。4.7.2 监督的内容获证后监督采用工厂检查的方式进行,主要针对信息安全保证能力、认证产品一致性和质量保证能力进行检查。必要时可以抽取样品送实验室检测,需要进行抽样检测时,抽样检测的样品应在工厂生产的产品中(包括生产线、仓库、市场)随机抽取。产品抽样检测的数量为 2 套,如需要可以根据实际情况增加抽样的数量。初次认证申请时的检测项目都可以作为监督时的检测项目,认证机构可根据具体情况进行部分或全部项目的检测。样品的检测一般由认证机构指定的检测实验室在 20 个工作日内完成
10、。4.7.3 获证后监督结果的评价监督复查合格后,可以继续保持认证证书、使用认证标志。对监督复查时发现的不符合项应在 3 个月内完成纠正措施。逾期将撤销认证证书、停止使用认证标志,并对外公告。5认证时限认证时限是指自申请被正式受理之日起至颁发认证证书时止所实际发生的工作日,一般在 90 个工作日内,最长不超过 150 个工作日。整改时间不计算在内。6认证证书6.1 认证证书的保持6.1.1 证书的有效性证书有效期为 3 年。在有效期内,通过每年对获证后的产品进行监督6确保认证证书的有效性。6.2 认证证书的变更6.2.1 变更的申请获证后的产品,如果其生产厂、证书持有者等发生变化时,应向认证机
11、构提出变更申请。6.2.2 变更申请的评价与批准认证机构根据变更的内容和提供的资料进行审核后予以变更。6.2.3 证书的有效期证书在进行变更后,其有效期与原证书一致。6.3 认证证书覆盖产品的扩展6.3.1 认证证书覆盖产品扩展申请认证证书持有者需要增加已经获得认证产品的认证范围时,应向认证机构提出扩展申请,并提交扩展产品和原认证产品之间的差异说明。6.3.2 认证证书覆盖产品扩展的评价与批准认证机构应核查扩展产品与原认证产品的一致性,确认原认证结果对扩展产品的有效性,需要时应针对差异做补充检测,并根据认证证书持有者的要求单独颁发认证证书或换发认证证书。6.3.3 证书的有效期证书在进行扩展后
12、,其有效期与原证书一致。6.4 认证证书的暂停、注销和撤销按认证机构的认证暂停、注销和撤销的相关规定执行。7 认证标志的使用7.1 认证标志的样式77.2 认证标志的使用认证标志在使用时可以等比例的放大或缩小。但是,不允许变形或变色。7.3 加施方式采用认证机构印制的标准规格标志。7.4 标志位置应在产品本体的铭牌附近加施认证标志。软件产品应在其软件包装/载体上加施认证标志,如该软件产品不使用包装/ 载体,则应在软件使用的许可协议 中的显著位置明确该产品已获认证机构认证。8 收费收费由认证机构依据国家有关规定统一收取。8附件 1:质量保证能力基本要求为保证批量生产的认证产品与型式试验样品的一致
13、性,工厂应满足本文件规定的质量保证能力基本要求。1.职责和资源1.1 职责工厂应规定与质量活动有关的各类人员职责及相互关系,且工厂应在组织内指定一名质量负责人,无论该成员在其他方面的职责如何,应具有以下方面的职责和权限:a)负责建立满足本文件要求的质量体系,并确保其实施和保持;b)确保加贴认证标志的产品符合认证标准的要求;c)建立文件化的程序,确保认证标志的妥善保管和使用;d)建立文件化的程序,确保不合格品和获证产品变更后未经认证机构确认,不加贴认证标志。质量负责人应具有充分的能力胜任本职工作。1.2 资源工厂应配备必须的生产设备和检测设备以满足稳定生产符合本规则中规定的标准要求的产品;应配备相应的人力资源,确保从事对产品质量有影响工作的人员具备必要的能力;建立并保持适宜产品生产、试验、储存等必备的环境。2.认证产品一致性a)工厂应对现场的产品与型式试验样品的一致性进行控制,以使认证产品持续符合规定的要求;b)工厂应建立产品变更控制程序,认证产品的变更在实施前应向认证机构申报并获得批准后方可执行。
