1、目前市场上有三种信息安全产品认证:
网络关键设备及网络安全专用产品安全认证
《中国国家信息安全产品认证》
IT产品信息安全认证书
其中,在产品功能和性能符合条件的情况下,《网络关键设备与网络安全专用产品安全认证》和《中国国家信息安全产品认证证书》两个证书可以同时认证同一产品。
证书样本。
中国国家信息安全产品认证证书、网络关键设备及网络安全专用产品安全认证书为强制性认证证书,IT产品信息安全认证书为自愿性认证书,审核发证机构均为中国网络安全审核技术及认证中心(CCRC)。
2、适用对象。
根据《中华人民共和国产品质量法》、《中华人民共和国标准化法》、《中华人民共和国进出口商品检验法》、《中华人民共和国认证认可条例》、《强制性产品认证管理条例》和《关于建立国家信息安全产品认证认可体系的通知》,决定对部分信息安全产品实施强制性认证,并发布首批信息安全产品强制性认证目录》。
所有列入强制性认证目录的信息安全产品,未取得《中国国家信息安全产品认证》,不得出厂、销售、进口或用于其他经营活动。
目录包括8大类13种产品。
根据《中华人民共和国网络安全法》,网络信息办会同工业和信息化部、公安部、认监委等部门制定了《网络关键设备和网络安全专用产品目录(首批)》,并于2017年6月9日起实施。目录中产品和产品的性能要求如下。符合相应功能和性能特点的,可以申请网络关键设备和网络安全专用产品安全认证证书,也可以同时申请中国国家信息安全产品认证证书:
未列入上述两个目录的产品,如果需要按照认证规则进行产品安全认证,可以申请IT产品信息安全认证,主要分为以下几类:
3、申报流程。
证书的申请周期约为30-45个工作日,主要分为以下几个阶段。
认证申请和受理。
向CCRC提交认证申请和所需的其他材料。
包含密码技术的产品应当向国家密码管理局指定的检测实验室提交密码技术检测申请。
收到申请材料后,CCRC对其进行审核,并进行单元划分。
委托和实施型式试验。
申请人根据指定实验室的业务范围,从指定实验室名单中自主选择检测实验室。
测试实验室完成测试后,将型式测试报告提交给CCRC。
申请人收到支付通知后,向中国信息安全认证中心支付认证费。
工厂检查。
信息安全保证能力、质量保证能力、产品一致性检验。
目录中的产品检验方式为现场,目录外的产品检验方式为非现场。
获得证书后监督。
强制性证书的有效期为5年,自愿性证书的有效期为3年,从获得证书后的第12个月开始获得证书后的监督,然后每12个月进行一次获得证书后的监督。如有必要,可采取事先不通知的方式对生产厂进行监督。必要时可以增加监督频率。
根据申报产品的不同分类,整个申报周期略有差异,整个申报周期约为60个工作日。
需提交的材料。
申请人、制造商和制造商的营业执照复印件。
产品密码检测证书(如适用)
商业密码产品/技术使用声明(如适用)
主要产品开发人员名单。
主要产品测试人员名单。
主要检测设备清单。
中文使用说明书、功能说明书、产品设计方案。
相关文件(配置管理、交付运行、开发指导文件、测试)的安全保障要求。
关键件清单及说明。
关于质量体系的文件。
关键技术指标和参数要求。
安全功能相关说明文件。
关键技术指标和参数证明材料(自测报告或第三方检测机构出具的检测报告并加盖公章,至少包括检测环境、检测工具和配置、检测结果描述)
1.三类产品认证的申请人有哪些规定和限制?
答:产品的生产者、制造商和进口商可以作为申请人。
2.问:申请人可以委托他人申请认证吗?
答:是的。受委托人委托他人申请认证时,受委托人应向CCRC提交认证委托书。
3.问:同一认证单元的多种型号产品如何送样进行型式试验?
答:每个型号都需要送样检测。不同类型的产品有不同的送样数量。具体数量可以参考实施规则。
4.问:什么是工厂检查?
答:工厂检验遵循中国强制性产品认证的理念,是指对认证产品进行最终组装、/或测试并施加认证标志的场所。信息安全产品的工厂包括开发场所。
5.问:申报费用构成?
答:主要分为认证费、检测费和咨询服务费。
6.问:各部分费用是多少?
答:根据产品类别的不同,成本略有差异。认证费0.8-1.3万,检测费4-8万,咨询服务费5万左右。
7.问:可以加急吗?
答:在产品功能性能合格的前提下,在特殊情况下,部分类别的申报可以加快。