信息安全产品测评认证管理办法
2015-01-23 10:38  

第一部分 总则

1.1 为规范国家信息安全测评认证活动,根据《中华人民共和国标准化法》、《中华人民共和国产品质量法》、《中华人民共和 国产品质量认证管理条例》和国家有关信息安全的法律、法规、行政规章制订本办法。

1.2 本办法经中国国家信息安全测评认证管理委员会审查,并经国务院产品质量监督行政主管部门批准。

1.3 本办法为信息产品安全测评认证的基本依据,从事信息产品安全测评认证的机构和人员须遵守本办法的规定。

1.4 本办法规定了用户申请信息产品安全测评认证的基本要求和通用程序,申请认证的用户应遵守本办法的相应规定。

第二部分 认证类型

2.1 根据认证对象和认证要素的不同,本办法将认证分为4种类型,即产品型式认证、产品认证、信息系统安全认证、信息安全服务认证。

2.2 产品型式认证

2.2.1 产品型式认证属于产品质量认证的一种,其特点是仅包括质量认证基本要素中的“型式试验”和“监督检验”两个要。

2.2.2 产品型式认证的基本要求是:对认证申请者送达的样品进行型式试验(测试评估),若符合标准要求,即予认证。获取证书后,认证中心再从市场和/或工厂(车间)抽样,对其进行核查试验即监督检验,若检验合格即维持认证,否则取消认证。

2.3 产品认证

2.3.1 产品认证属于典型完整的产品质量认证,其特点是包括了质量认证的全部基本要素,即包括了“型式试验”、“质量体系检查”、“监督检验”和“监督检查”。

2.3.2 产品认证的基本要求是:对认证申请者送达的样品进行型式试验(测试评估),同时对申请者的质量体系(即质量保证能力)进行检查、评审。这两方面都符合有关标准要求,则予以认证。获取证书后,认证中心再从市场和/或工厂(车间)抽样进行核查试验,即监督检验,同时对其质量体系进行监督性复查,若两方面都合格,即维持认证,否则取消认证。

2.4 信息系统安全认证

2.4.1 信息系统安全认证属于产品质量认证的综合型式,包括了构成信息系统的物理网络及其有关产品的质量(安全)认证和信息系统的运行过程、信息系统提供的服务以及这种过程与服务中的管理、保证能力(相当于信息系统本身的质量体系)的安全认证。

2.4.2 信息系统安全认证的基本要求是:对认证申请者的信息系统设计方案和安全设计方案进行静态评估,对构成信息系统的物理网络及其有关产品进行认证(由产品生产商另行申请)、对信息系统的运行和服务进行实际测试评估,对信息系统的管理和保障体系进行评估验证。上述四方面若均符合有关标准和规范要求,则予以认证。获得证书后,对上述四方面进行监督检验、监督检查,若监督检验、检查合格,则维持认证,否则取消认证。

2.5 信息安全服务认证

2.5.1 信息安全服务认证属于产品质量认证的特殊形式,其对象是向社会提供信息安全服务的企事业机构,其实质是对这些机构的能力与资源进行认证。信息安全服务的内容包括信息安全产品的研制,生产和/或信息安全产品经营、信息安全技术和管理咨询培训、信息安全系统(网络)集成以及其他信息安全的中介性服务。

2.5.2 信息安全服务认证的基本要求是:对认证申请者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,对其质量体系进行评审,若符合有关标准、规范,则予以认证,获取证书后,对上述各方面进行监督性核查、验证,核查、验证合格,即维持认证,否则取消认证。

2.6 中国国家信息安全测评认证中心开展四类认证活动,其有关细节,在认证中心和认证管理委员会的有关程序文件及规范指南中详细规定。

第三部分 认证依据

3.1 信息产品安全测评认证活动严格依据有关标准进行。

3.2 依据的标准为:国家标准、有关行业标准和认证管理委员会确认的国际标准和其他补充技术要求。

第四部分 认证通用程序

4.1 上述四种类型认证的通用程序为:申请认证——产品形式试验——质量体系评定——颁发证书——证后监督(现场抽样检验和质量体系现场检查。每年至少一次。)——复评(三年一次)

4.2 证书的有效期为三年。

4.3 本办法中的四种类型认证,由于其对象与要素均不相同,其具体程序环节、内容及其表述称谓,与4.1通用程序有相应的增减和变通。

4.4 不同类型认证的具体程序,在中国国家信息安全测评认证中心相应的程序文件中规定。

第五部分 证书、标志及其使用用

5.1 本办法仅规定不同类型的认证证书的名称、标志图形及其使用条件。对获取认证后的证书标志管理办法,由中国国家信息安全测评认证中心在相应的程序文件中规定。

5.2 产品型式认证。获得产品型式认证的产品,由认证中心颁发“中国国家信息安全产品型式认证证书”,其认证标志图形为:在标志通用图形下方(方圆接合处)标注英文单词“型式”TYPE的缩写TYP。

5.3 产品认证。获得产品认证的产品,由认证中心颁发“中国国家信息安全产品认证证书”,其认证标志为:在标志通用图形的下方(方圆接合处),标注英文单词“产品”PRODUCT的缩写PRD。

5.4 信息系统安全认证。获得信息系统安全认证的系统,由认证中心颁发“中国国家信息安全信息系统安全认证证书”,其认证标志为:在标志通用图形的下方(方圆接合处),标注英文单词“系统”SYSTEM的缩写SYS。

5.5 信息安全服务认证。获得信息安全服务认证的企事业机构,由认证中心颁发“中国国家信息安全服务认证证书”,其认证标志为:在标志通用图形的下方(方圆接合处),标注英文单词“服务”SERVICE的缩写SRV。

5.6 获取产品型式认证的产品,按中国国家信息安全测评认证中心“认证证书和认证标志管理办法”使用证书,但不能在该产品外表、合格证、说明书、包装以及其他媒体上使用认证图形标志。

5.7 获得产品认证、信息系统安全认证和信息安全服务认证的产品、系统和有关机构,按照中国国家信息安全测评认证中心“认证证书和认证标志管理办法”使用认证证书和标志图形。

第六部分 附则

6.1 信息产品安全测评认证的收费,按国家有关规定收取。

6.2 本办法自国务院产品质量监督行政主管部门批准之日起实施。

6.3 本办法由中国国家信息安全测评认证管理委员会负责解释。

6.4 本办法由中国国家信息安全测评认证管理委员会修订并报国务院产品质量监督行政管理部门审批。

关闭窗口