关于修订网络关键设备和网络安全专用产品安全认证实施规则的...
认证网 (2023/9/4 9:18:41) 浏览:89 评论:0
根据《中华人民共和国网络安全法》《中华人民共和国认证认可条例》有关规定,按照《关于调整〈网络关键设备和网络安全专用产品目录〉的公告》(国家网信办、工业和信息化部、公安部、国家认监委2023年第2号公告)要求,国家认监委修订完善了《网络关键设备和网络安全专用产品安全认证实施规则》(见附件,以下称新版规则)。现将有关事项公告如下:
一、新版规则自发布之日起实施。《关于发布网络关键设备和网络安全专用产品安全认证实施规则的公告》(国家认监委2018年第28号公告)同时废止。
二、此前已经颁发的有效安全认证证书可继续使用,证书转换工作采取到期换证、产品变更、标准换版等自然过渡的方式完成。
附件:
网络关键设备和网络安全专用产品安全认证实施规则(CNCA-CCIS-2023)
国家认监委
2023年8月8日
网络关键设备和网络安全专用产品
安全认证实施规则
目 录
1 适用范围1
2 认证依据标准1
3 认证模式1
4 认证单元划分1
5 认证实施程序2
5.1 认证委托2
5.2 型式试验2
5.3 认证结果评价与批准2
5.4 获证后监督3
5.5 认证时限4
6 认证证书4
6.1 认证证书的保持4
6.2 认证证书的变更4
6.3 认证证书覆盖产品的扩展4
6.4 认证证书的暂停、注销和撤销5
7 认证标志5
7.1 认证标志的样式5
7.2认证标志的使用5
7.3 加施方式5
7.4 标志位置6
8 认证实施细则6
9 认证责任6
1 适用范围
本规则依据《中华人民共和国网络安全法》《中华人民共和国认证认可条例》制定,规定了《网络关键设备和网络安全专用产品目录》中的产品实施认证的基本原则和要求。
本规则适用于国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会等部门发布的网络关键设备和网络安全专用产品。
认证机构应当依据本规则要求编制认证实施细则,并配套本规则共同实施。
2 认证依据标准
网络关键设备认证依据的标准为GB 40050,网络安全专用产品认证依据的标准为GB 42250。
上述标准原则上应当执行最新版本,当需要使用标准的其他版本时,按有关主管部门发布的文件要求执行。
3 认证模式
型式试验 + 获证后监督
4 认证单元划分
原则上,按产品型号/版本划分认证单元。同一认证单元内有多个型号/版本的产品时,需要认证委托人提交型号/版本间的差异说明。
5 认证实施程序
5.1 认证委托
认证机构应当明确认证委托资料要求,至少包括认证委托人信息、产品功能说明书和/或使用手册、安全保障能力文件、同一认证单元中型号/版本的差异说明(适用时)等。
认证委托人应当按认证机构要求提出认证委托,认证机构在对认证委托审核后及时反馈是否受理。
5.2 型式试验
认证机构应当根据认证委托确定型式试验方案,包括型式试验的全部样品要求和数量、检测标准项目、实验室信息等,并告知认证委托人。
认证委托人应当按照型式试验方案向实验室提供型式试验样品。
实验室应当对型式试验全过程作出完整记录,并妥善管理、保存、保密相关文件,确保检测结果可追溯。型式试验结束后,实验室应当及时向认证机构和认证委托人出具型式试验报告。
5.3 认证结果评价与批准
认证机构对型式试验和相关文件信息进行综合评价,作出认证决定。对符合认证要求的,颁发认证证书并允许使用认证标志;对暂不符合认证要求的,允许认证委托人限期整改,对整改后仍然不符合认证要求的,认证机构不予批准认证委托,认证终止。
5.4 获证后监督
5.4.1 生产企业分类管理
认证机构应当根据诚信守法状况、所生产产品质量状况等与质量相关的信息进行综合评价,对生产企业进行分类,从而对不同类别生产企业所生产的产品在获证后监督等方面实施差异化管理,以实现控制认证风险、提高认证活动的质量和效率、确保获证产品持续符合认证要求的目标。
5.4.2 监督的频次
认证机构应当对获证产品、生产者和生产企业进行持续监督,并在生产企业分类管理的基础上合理确定监督频次,具体要求应当在实施细则中予以明确。
5.4.3 监督的实施
获证后监督的内容为安全质量持续符合能力评价或产品检测。安全质量持续符合能力评价的内容包括产品一致性、认证标志管理等。认证机构应当在实施细则中对评价内容及评价方式予以明确。
5.4.4 获证后监督结果的评价
认证机构对获证后监督结论和相关文件信息进行综合评价,作出认证决定。对符合认证要求的,可继续保持认证证书、使用认证标志;不符合的,允许认证委托人限期整改,对整改后仍然不符合认证要求的,认证机构应当根据相应情形作出暂停或者撤销认证证书的处理,停止使用认证标志,并予以公布。
5.5 认证时限
认证机构应当对认证各环节的时限作出明确规定,并确保相关工作按时限要求完成。认证委托人须对认证活动予以积极配合。一般情况下,自受理认证委托起60天内向认证委托人出具认证证书。
6 认证证书
6.1 认证证书的保持
认证证书的有效期为5年。在有效期内,通过认证机构的获证后监督,保持认证证书的有效性。认证证书有效期届满、需要延续使用的,认证委托人应当在有效期届满前90天内提出认证委托。认证有效期内最后一次获证后监督结果合格的,认证机构应当在接到认证委托后直接换发新证书。
6.2 认证证书的变更
获证产品、生产者、生产企业等发生变化,或认证要求发生变更时,认证委托人应当向认证机构提出变更委托。
认证机构根据变更的内容,对委托文件进行评价,作出认证决定。
6.3 认证证书覆盖产品的扩展
认证委托人需要扩展已经获得的认证证书覆盖的产品范围时,应当向认证机构提出扩展委托,并提供扩展产品和获证产品之间的差异说明。
认证机构根据扩展的内容,对委托文件进行评价,确认原认证结果对扩展产品的有效性,作出认证决定。
6.4 认证证书的暂停、注销和撤销
认证证书的暂停、注销和撤销依据有关规定执行。在认证证书暂停期间及认证证书注销和撤销后,获证机构不得继续使用证书。
7 认证标志
7.1 认证标志的样式
7.2认证标志的使用
认证标志在使用时可以等比例的放大或缩小,不允许变形。
7.3 加施方式
可以采用统一印制的标准规格标志,或模压、铭牌印刷、软件加施等方式。
7.4 标志位置
硬件产品应当在本体的铭牌附近加施认证标志。
软件产品应当在其软件包装/载体上加施认证标志,如该软件产品不使用包装/载体,则应当在软件使用的许可协议中的显著位置明确该产品已经获得认证。
8 认证实施细则
认证机构应当依据本规则有关要求,细化认证实施程序,制定科学、合理、可操作的认证实施细则,并对外公布实施。
9 认证责任
认证机构应当对其作出的认证结论负责。
实验室应当对其检测结果和检测报告负责。
认证委托人应当对其所提交的认证委托文件及样品的真实性、合法性负责。
原标题:《关于修订网络关键设备和网络安全专用产品安全认证实施规则的公告》
一、新版规则自发布之日起实施。《关于发布网络关键设备和网络安全专用产品安全认证实施规则的公告》(国家认监委2018年第28号公告)同时废止。
二、此前已经颁发的有效安全认证证书可继续使用,证书转换工作采取到期换证、产品变更、标准换版等自然过渡的方式完成。
附件:
网络关键设备和网络安全专用产品安全认证实施规则(CNCA-CCIS-2023)
国家认监委
2023年8月8日
网络关键设备和网络安全专用产品
安全认证实施规则
目 录
1 适用范围1
2 认证依据标准1
3 认证模式1
4 认证单元划分1
5 认证实施程序2
5.1 认证委托2
5.2 型式试验2
5.3 认证结果评价与批准2
5.4 获证后监督3
5.5 认证时限4
6 认证证书4
6.1 认证证书的保持4
6.2 认证证书的变更4
6.3 认证证书覆盖产品的扩展4
6.4 认证证书的暂停、注销和撤销5
7 认证标志5
7.1 认证标志的样式5
7.2认证标志的使用5
7.3 加施方式5
7.4 标志位置6
8 认证实施细则6
9 认证责任6
1 适用范围
本规则依据《中华人民共和国网络安全法》《中华人民共和国认证认可条例》制定,规定了《网络关键设备和网络安全专用产品目录》中的产品实施认证的基本原则和要求。
本规则适用于国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会等部门发布的网络关键设备和网络安全专用产品。
认证机构应当依据本规则要求编制认证实施细则,并配套本规则共同实施。
2 认证依据标准
网络关键设备认证依据的标准为GB 40050,网络安全专用产品认证依据的标准为GB 42250。
上述标准原则上应当执行最新版本,当需要使用标准的其他版本时,按有关主管部门发布的文件要求执行。
3 认证模式
型式试验 + 获证后监督
4 认证单元划分
原则上,按产品型号/版本划分认证单元。同一认证单元内有多个型号/版本的产品时,需要认证委托人提交型号/版本间的差异说明。
5 认证实施程序
5.1 认证委托
认证机构应当明确认证委托资料要求,至少包括认证委托人信息、产品功能说明书和/或使用手册、安全保障能力文件、同一认证单元中型号/版本的差异说明(适用时)等。
认证委托人应当按认证机构要求提出认证委托,认证机构在对认证委托审核后及时反馈是否受理。
5.2 型式试验
认证机构应当根据认证委托确定型式试验方案,包括型式试验的全部样品要求和数量、检测标准项目、实验室信息等,并告知认证委托人。
认证委托人应当按照型式试验方案向实验室提供型式试验样品。
实验室应当对型式试验全过程作出完整记录,并妥善管理、保存、保密相关文件,确保检测结果可追溯。型式试验结束后,实验室应当及时向认证机构和认证委托人出具型式试验报告。
5.3 认证结果评价与批准
认证机构对型式试验和相关文件信息进行综合评价,作出认证决定。对符合认证要求的,颁发认证证书并允许使用认证标志;对暂不符合认证要求的,允许认证委托人限期整改,对整改后仍然不符合认证要求的,认证机构不予批准认证委托,认证终止。
5.4 获证后监督
5.4.1 生产企业分类管理
认证机构应当根据诚信守法状况、所生产产品质量状况等与质量相关的信息进行综合评价,对生产企业进行分类,从而对不同类别生产企业所生产的产品在获证后监督等方面实施差异化管理,以实现控制认证风险、提高认证活动的质量和效率、确保获证产品持续符合认证要求的目标。
5.4.2 监督的频次
认证机构应当对获证产品、生产者和生产企业进行持续监督,并在生产企业分类管理的基础上合理确定监督频次,具体要求应当在实施细则中予以明确。
5.4.3 监督的实施
获证后监督的内容为安全质量持续符合能力评价或产品检测。安全质量持续符合能力评价的内容包括产品一致性、认证标志管理等。认证机构应当在实施细则中对评价内容及评价方式予以明确。
5.4.4 获证后监督结果的评价
认证机构对获证后监督结论和相关文件信息进行综合评价,作出认证决定。对符合认证要求的,可继续保持认证证书、使用认证标志;不符合的,允许认证委托人限期整改,对整改后仍然不符合认证要求的,认证机构应当根据相应情形作出暂停或者撤销认证证书的处理,停止使用认证标志,并予以公布。
5.5 认证时限
认证机构应当对认证各环节的时限作出明确规定,并确保相关工作按时限要求完成。认证委托人须对认证活动予以积极配合。一般情况下,自受理认证委托起60天内向认证委托人出具认证证书。
6 认证证书
6.1 认证证书的保持
认证证书的有效期为5年。在有效期内,通过认证机构的获证后监督,保持认证证书的有效性。认证证书有效期届满、需要延续使用的,认证委托人应当在有效期届满前90天内提出认证委托。认证有效期内最后一次获证后监督结果合格的,认证机构应当在接到认证委托后直接换发新证书。
6.2 认证证书的变更
获证产品、生产者、生产企业等发生变化,或认证要求发生变更时,认证委托人应当向认证机构提出变更委托。
认证机构根据变更的内容,对委托文件进行评价,作出认证决定。
6.3 认证证书覆盖产品的扩展
认证委托人需要扩展已经获得的认证证书覆盖的产品范围时,应当向认证机构提出扩展委托,并提供扩展产品和获证产品之间的差异说明。
认证机构根据扩展的内容,对委托文件进行评价,确认原认证结果对扩展产品的有效性,作出认证决定。
6.4 认证证书的暂停、注销和撤销
认证证书的暂停、注销和撤销依据有关规定执行。在认证证书暂停期间及认证证书注销和撤销后,获证机构不得继续使用证书。
7 认证标志
7.1 认证标志的样式
7.2认证标志的使用
认证标志在使用时可以等比例的放大或缩小,不允许变形。
7.3 加施方式
可以采用统一印制的标准规格标志,或模压、铭牌印刷、软件加施等方式。
7.4 标志位置
硬件产品应当在本体的铭牌附近加施认证标志。
软件产品应当在其软件包装/载体上加施认证标志,如该软件产品不使用包装/载体,则应当在软件使用的许可协议中的显著位置明确该产品已经获得认证。
8 认证实施细则
认证机构应当依据本规则有关要求,细化认证实施程序,制定科学、合理、可操作的认证实施细则,并对外公布实施。
9 认证责任
认证机构应当对其作出的认证结论负责。
实验室应当对其检测结果和检测报告负责。
认证委托人应当对其所提交的认证委托文件及样品的真实性、合法性负责。
原标题:《关于修订网络关键设备和网络安全专用产品安全认证实施规则的公告》
检测认证热线:18768485300 & QQ在线服务:
相关内容:
- 暂无内容!
