IT 产品信息安全认证实施规则工控产品

2020-04-07 发布 2020-04-07 实施
中国网络安全审查技术与认证中心发布
 
目  录
1．适用范围 1
2．认证模式 1
3．认证的基本环节 1
3.1 认证申请及受理 1
3.2 文档审核 1
3.3 型式试验委托及实施 1
3.4 认证结果评价与批准 1
3.5 获证后监督 1
4．认证实施 1
4.1 认证流程 1
4.2 认证申请及受理 1
4.3 文档审核 2
4.4 型式试验委托及实施 2
4.5 认证结果评价与批准 3
4.6 获证后监督 4
5．认证时限 5
6．认证证书 5
6.1 认证证书的保持 5
6.2 认证证书的变更 5
6.3 认证证书覆盖产品的扩展 6
6.4 认证证书的暂停、注销和撤销 6
6.5 获证产品名录的发布 6
7. 认证标志的使用 6
7.1 认证标志的样式 6
7.2 认证标志的使用 7
7.3 加施位置 7
附件：质量保证能力基本要求 8
 
1．适用范围
本规则适用于中国网络安全审查技术与认证中心（CCRC）针对工控产品开展的信息安全认证。
工控产品包括工控安全专用产品和工控设备或系统产品。
其中工控安全专用产品包括但不限于工业控制系统专用防火墙、工业控制网络安全隔离与信息交换系统、工业控制系统网络审计产品、工业控制系统网络监测产品、工业控制系统漏洞检测产品、工业控制系统入侵检测产品、工业控制系统安全管理平台等。
工控设备或系统产品包括但不限于工控 RTU、PLC、DCS、SCADA 等。
2．认证模式
型式试验 + 获证后监督
3．认证的基本环节
3.1 认证申请及受理
3.2 文档审核
3.3 型式试验委托及实施
3.4 认证结果评价与批准
3.5 获证后监督
4．认证实施
4.1 认证流程
申请方向认证机构申请认证，认证机构在接收到申请方的认证申请后，审核申请资料，确认符合要求后向申请方选择的实验室安排检测任务，并通知申请方按照要求送样。实验室依据相关标准和/或技术规范进行检测，并在完成检测后向认证机构提交型式试验报告。认证机构对型式试验、文件审核等内容进行综合评价，并在认证决定评价合格后向申请方颁发认证证书。认证机构组织对获证后的产品进行定期的监督。
4.2 认证申请及受理
 
申请方向认证机构递交认证申请，并按要求提交相关资料，认证机构对资料进行初审，确定申请方提交资料满足要求后，受理该申请。
4.2.1 认证的单元划分
原则上按产品名称、型号/版本申请认证。
4.2.2 申请资料要求
申请方在申请产品认证时，应至少提交以下资料：
1） 申请基本信息：
 认证申请书；
 申请方声明；
 相关法律地位证明材料（复印件）。
2） 产品相关说明：
 中文产品功能说明书和/或使用手册；
 产品研制主要技术人员情况表；
 产品测试技术人员情况表；
 产品测试使用的主要设备表（如适用）；
 中文铭牌和警告标记（如适用）；
 产品密码检测合格证书（如适用）。
3） 安全保障要求方面的文档：
 生命周期支持；
 开发；
 指导性文档；
 测试。
4.3 文档审核
对申请方提交的资料和文档，根据相关标准和/或该产品的技术规范进行审核。
4.4 型式试验委托及实施
 
4.4.1 型式试验送样
4.4.1.1 送样原则
按照认证单元划分的原则，确定需要申请的认证单元进行送样。委托人负责提供用于型式试验的产品样品。
申请方如有特殊要求，需要提供相应的说明及辅助设备。
4.4.1.2 送样要求和数量
用于检测的样品由申请方负责按上述要求选送。一般每种产品送样 2
套，如有特殊需求可以增加送样数量。
4.4.1.3 样品及相关资料的处置
认证结束后，申请方可向认证机构申请取回型式试验样品，相关申请资料由认证机构、实验室妥善处置。
4.4.2 检测依据
相关产品对应的国家标准，或 GB/T 18336 《信息技术 安全技术 信息技术安全评估准则》及技术规范等。
具体产品依据标准列表详见：CCRC-SL-046《IT 产品信息安全认证依据标准 工控产品》。
4.4.3 检测报告的提交
检测完成后，实验室根据认证机构的要求出具型式试验报告并提交给认证机构。
4.5 认证结果评价与批准
认证机构负责对型式试验结果等进行综合评价，评价合格的，由认证机构对申请方颁发认证证书（每一个认证单元颁发一个认证证书）。如认证决定过程中发现不符合认证要求项，允许限期（不超过 3  个月）整改，如期完成整改后，认证机构对整改结果进行确认，通过后重新执行认证决定过程。对限期内整改未通过的，不予颁发认证证书，并以书面形式向申请方明示原因。
 

4.6 获证后监督
4.6.1 监督的频次
从获证后每 12 个月进行一次获证后监督。必要时，认证机构可采取事先不通知的方式进行监督。
如果发生下述情况之一可增加监督频次：
1）认证机构有足够理由对产品与规定的标准要求的符合性提出质疑时；
2）有足够信息表明工厂因组织机构、生产条件、质量管理体系等发生变更，从而可能影响产品质量时。
4.6.2 监督的内容
获证后监督采用工厂检查的方式进行，主要针对信息安全保障能力、认证产品一致性和质量保证能力进行检查。
4.6.2.1 信息安全保障能力检查
由认证机构派检查员对制造商、生产企业按照产品信息安全保障要求进行信息安全保障能力检查。安全保障要求包括配置管理、交付与运行、开发安全等。
4.6.2.2 质量保证能力检查
由认证机构派检查员对工厂按照附件（质量保证能力基本要求）及认证机构制定的补充检查要求（适用时）进行检查。
4.6.2.3 产品一致性检查
工厂检查时，应在生产现场对申请认证的产品进行一致性检查。重点核实以下内容：
1）认证产品的铭牌、包装上所标明的及运行时所显示的产品名称、型号/版本号与型式试验报告上所标明的内容是否一致；
2）认证产品所用的软件、硬件应与型式试验合格的样品所用的一致；
 
3）非认证的产品是否违规标贴了认证标识。
必要时可以抽取样品送实验室检测，需要进行抽样检测时，抽样检测的样品应在工厂生产的产品中（包括生产线、仓库、市场）随机抽取。产品抽样检测的数量为 2  套，如需要可以根据实际情况增加抽样的数量。初次认证申请时的检测项目都可以作为监督时的检测项目，认证机构可根据具体情况进行部分或全部项目的检测。
4.6.3 获证后监督结果的评价
监督复查合格后，可以继续保持认证证书、使用认证标志。对监督复查时发现的不符合项应在 3  个月内完成纠正措施。逾期将撤销认证证书、停止使用认证标志，并对外公告。
5．认证时限
认证时限是指自申请被正式受理之日起至颁发认证证书时止所实际发生的工作日，一般在 45-60 个工作日内。整改时间不计算在内。
6．认证证书
6.1 认证证书的保持
6.1.1 证书的有效性
证书有效期为 3  年。在有效期内，通过每年对获证后的产品进行监督确保认证证书的有效性。
6.2 认证证书的变更
6.2.1 变更的申请
获证后的产品，如果其生产厂、证书持有者等发生变化时，应向认证机构提出变更申请。
6.2.2 变更申请的评价与批准
认证机构根据变更的内容和提供的资料进行审核后予以变更。
6.2.3 证书的有效期
证书在进行变更后，其有效期与原证书一致。
 
6.3 认证证书覆盖产品的扩展
6.3.1 认证证书覆盖产品扩展申请
认证证书持有者需要增加已经获得认证产品的认证范围时，应向认证机构提出扩展申请，并提交扩展产品和原认证产品之间的差异说明。
6.3.2 认证证书覆盖产品扩展的评价与批准
认证机构应核查扩展产品与原认证产品的一致性，确认原认证结果对扩展产品的有效性，需要时应针对差异做补充检测，并根据认证证书持有者的要求单独颁发认证证书或换发认证证书。
6.3.3 证书的有效期
证书在进行扩展后，其有效期与原证书一致。
6.4 认证证书的暂停、注销和撤销
认证证书的认证暂停、注销和撤销按照《产品认证授予、保持、更新、扩大、缩小、暂停、恢复、注销、撤销程序》规定执行。
6.5 获证产品名录的发布
认证机构按相关规定对外公布获证产品的信息，包括：
 产品名称、型号、版本；
 认证委托人名称、地址；
 认证依据的标准、规范；
 发证日期及证书状态。
7. 认证标志的使用
7.1 认证标志的样式
 
 

示例 1 工控产品认证标志
7.2 认证标志的使用

认证标志在使用时可以等比例的放大或缩小。但是不允许变形或变色。
7.3 加施位置
应在产品本体的铭牌附近加施认证标志。
软件产品应在其软件包装/载体上加施认证标志，如该软件产品不使用包装/载体，则应在软件使用的《许可协议》中的显著位置明确该产品已获认证机构认证。
 
附件：质量保证能力基本要求

为保证批量生产的认证产品与型式试验样品的一致性，工厂应满足本文件规定的质量保证能力基本要求。
1.职责和资源
1.1 职责
工厂应规定与质量活动有关的各类人员职责及相互关系，且工厂应在组织内指定一名质量负责人，无论该成员在其他方面的职责如何，应具有以下方面的职责和权限：
a）负责建立满足本文件要求的质量体系，并确保其实施和保持；
b）确保加贴认证标志的产品符合认证标准的要求；
c）建立文件化的程序，确保认证标志的妥善保管和使用；
d）建立文件化的程序，确保不合格品和获证产品变更后未经认证机构确认，不加贴认证标志。
质量负责人应具有充分的能力胜任本职工作。
1.2 资源
工厂应配备必须的生产设备和检测设备以满足稳定生产符合本规则中规定的标准要求的产品；应配备相应的人力资源，确保从事对产品质量有影响工作的人员具备必要的能力；建立并保持适宜产品生产、试验、储存等必备的环境。
2.认证产品一致性
a）工厂应对现场的产品与型式试验样品的一致性进行控制，以使认证产品持续符合规定的要求；
b）工厂应建立产品变更控制程序，认证产品的变更在实施前应向认证机构申报并获得批准后方可执行。
3.认证产品外购部件或外包软件模块管理
 
3.1 外购部件供应商或软件模块的外包商的控制
a）工厂应制定外购部件供应商或软件模块外包商的选择、评定和日常管理的程序，以确保供应商提供的部件或软件外包商提供的软件模块满足要求；
b）工厂应保存对供应商或软件外包商的选择评价和日常管理记录。
3.2 外购部件或外包软件模块的验证
a）工厂应建立并保持对供应商提供的部件或软件外包商提供的软件模块的验证程序及定期确认程序，以确保部件或软件模块满足认证所规定的要求；
b）工厂应保存部件或外包软件模块，或者它们的验证记录、确认记录及供应商或软件外包商提供的合格证明及有关数据等。