根據(jù)我局與越南科技與環(huán)境部簽署的諒解備忘錄，

1、<p>　　編號：CNCA-CCIS-2018</p><p>　　網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產品</p><p><b>　　安全認證實施規(guī)則</b></p><p>　　國家認證認可監(jiān)督管理委員會發(fā)布</p><p><b>　　目 錄</b></p><p>

2、<b>　　1. 適用范圍1</b></p><p><b>　　2. 認證模式1</b></p><p>　　3．認證的基本環(huán)節(jié)1</p><p>　　3.1認證申請及受理1</p><p><b>　　3.2文檔審核1</b></p><p&g

3、t;　　3.3型式試驗委托及實施1</p><p><b>　　3.4工廠檢查1</b></p><p>　　3.5認證結果評價與批準1</p><p>　　3.6獲證后監(jiān)督1</p><p><b>　　4．認證實施1</b></p><p><b>　

4、　4.1認證流程1</b></p><p>　　4.2認證申請及受理2</p><p><b>　　4.3文檔審核4</b></p><p>　　4.4型式試驗委托及實施4</p><p><b>　　4.5工廠檢查4</b></p><p>　　4.6

5、認證結果評價與批準5</p><p>　　4.7獲證后監(jiān)督6</p><p><b>　　5．認證時限7</b></p><p><b>　　6．認證證書7</b></p><p>　　6.1證書的有效性7</p><p>　　6.2認證證書的變更7</p&

6、gt;<p>　　6.3認證證書覆蓋產品的擴展8</p><p>　　6.4認證證書的暫停、注銷和撤銷8</p><p>　　7．認證標志的使用8</p><p>　　7.1認證標志的樣式8</p><p>　　7.2認證標志的使用9</p><p><b>　　7.3加施方式9&l

7、t;/b></p><p><b>　　7.4標志位置9</b></p><p><b>　　附件1：10</b></p><p><b>　　附件2：12</b></p><p><b>　　附件3：13</b></p>&l

8、t;p><b>　　1.適用范圍</b></p><p>　　本規(guī)則依據(jù)《中華人民共和國網(wǎng)絡安全法》《中華人民共和國認證認可條例》制定，規(guī)定了開展網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產品安全認證的基本原則和要求。</p><p>　　本規(guī)則適用的網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產品，應符合《國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、國家認監(jiān)委關于發(fā)布<網(wǎng)絡關鍵設備和網(wǎng)

9、絡安全專用產品目錄（第一批）>的公告》（聯(lián)合公告2017年第1號）中相應的范圍要求描述（詳見附件1）。</p><p>　　安全認證用標準依據(jù)有關主管部門的要求執(zhí)行。</p><p><b>　　2.認證模式</b></p><p>　　型式試驗 + 工廠檢查 + 獲證后監(jiān)督</p><p><b>　　

10、3.認證的基本環(huán)節(jié)</b></p><p>　　3.1認證申請及受理</p><p><b>　　3.2文檔審核</b></p><p>　　3.3型式試驗委托及實施</p><p><b>　　3.4工廠檢查</b></p><p>　　3.5認證結果評價與批準

11、</p><p><b>　　3.6獲證后監(jiān)督</b></p><p><b>　　4.認證實施</b></p><p><b>　　4.1認證流程</b></p><p>　　認證委托人向認證機構申請認證，認證機構在接收到認證委托人的認證申請后，審查申請資料，確認合格后向認證

12、委托人選擇的實驗室安排檢測任務，并通知認證委托人根據(jù)要求抽樣檢測。實驗室依據(jù)相關標準和/或技術規(guī)范進行檢測，并在完成檢測后向認證機構提交檢測報告。認證機構對檢測報告審查合格后，需要時由認證機構組織進行工廠檢查。認證機構對型式試驗、工廠檢查結果進行認證決定，并在認證決定評價合格后向認證委托人頒發(fā)認證證書。認證機構組織對獲證后的產品進行定期的監(jiān)督。</p><p>　　4.2認證申請及受理</p>&l

13、t;p>　　認證委托人向認證機構遞交認證申請，并按要求提交相關資料，認證機構對資料進行初審，確定認證委托人提交資料滿足要求后，受理該申請。</p><p>　　4.2.1認證的單元劃分</p><p>　　按產品型號/版本申請認證，若產品的關鍵件相同的可作為一個單元申請認證，由認證機構根據(jù)認證要求對產品關鍵件做出規(guī)定。</p><p>　　以多于一個型號/版本

14、的產品為同一認證單元申請認證時，認證委托人應提交同一認證單元中型號/版本間的差異說明及相關測試報告。</p><p>　　4.2.2申請資料要求</p><p>　　認證委托人在申請安全認證時，應至少提交以下資料：</p><p><b>　　申請基本信息：</b></p><p><b>　　認證申請書；&l

15、t;/b></p><p><b>　　認證委托人聲明；</b></p><p>　　相關法律地位證明材料（復印件）；</p><p>　　質量體系方面有關的文件。</p><p>　　有關技術指標參數(shù)聲明及支撐材料（依據(jù)附件1“范圍”中的內容）。</p><p><b>　　產品

16、相關說明：</b></p><p>　　中文產品功能說明書和/或使用手冊；</p><p>　　認證標準的適用性說明；</p><p>　　產品研制主要技術人員情況表；</p><p>　　產品測試技術人員情況表；</p><p>　　產品測試使用的主要設備表；</p><p>　　

17、中文銘牌和警告標記；</p><p>　　同一認證單元中型號/版本間的差異說明及相關測試報告（如適用）；</p><p>　　產品密碼檢測合格證書（如適用）。</p><p>　　安全保障要求方面的文檔：</p><p><b>　　配置管理；</b></p><p><b>　　交付與

18、運行；</b></p><p><b>　　開發(fā)；</b></p><p><b>　　指導性文檔；</b></p><p><b>　　測試。</b></p><p>　　安全功能相關說明文件。</p><p>　　認證機構要求的其他資料。

19、</p><p><b>　　4.3文檔審核</b></p><p>　　對認證委托人提交的資料和文檔，根據(jù)相關標準和/或該產品的技術規(guī)范進行審核。</p><p>　　4.4型式試驗委托及實施</p><p>　　4.4.1型式試驗抽樣</p><p>　　4.4.1.1抽樣要求</p&g

20、t;<p>　　由認證機構安排對申請認證的產品按型號/版本進行抽樣，樣品應在生產企業(yè)生產的產品中（包括生產線、倉庫、市場）隨機抽取。一般每種產品抽樣2套，如有特殊需求可增加樣品數(shù)量。</p><p>　　認證委托人將樣品遞送至實驗室，并對樣品負責。</p><p>　　認證委托人應根據(jù)型式試驗的要求，提供相應的說明及輔助設備。</p><p>　　4.

21、4.1.2樣品及相關資料的處置</p><p>　　認證結束后，認證委托人可向實驗室申請取回型式試驗樣品，相關申請資料由認證機構、實驗室妥善處置。</p><p>　　4.4.2型式試驗依據(jù)</p><p>　　按相應產品有關國家標準的要求執(zhí)行。</p><p>　　4.4.3型式試驗報告的提交</p><p>　　型

22、式試驗完成后，實驗室根據(jù)認證機構的要求出具型式試驗報告并提交給認證機構。</p><p><b>　　4.5工廠檢查</b></p><p><b>　　4.5.1審核內容</b></p><p>　　工廠檢查的內容為信息安全保障能力、質量保證能力、產品一致性檢查。</p><p>　　4.5.1.

23、1信息安全保障能力</p><p>　　由認證機構派檢查員對制造商、生產企業(yè)按照附件2（信息安全保障能力基本要求）實施審核（當認證依據(jù)的國家標準涵蓋安全保障能力要求時，則按相應國家標準實施）。</p><p>　　4.5.1.2質量保證能力</p><p>　　由認證機構派檢查員對生產企業(yè)按照附件3（質量保證能力基本要求）及認證機構制定的補充檢查要求進行檢查。<

24、;/p><p>　　4.5.1.3產品一致性</p><p>　　工廠檢查時，應在生產現(xiàn)場對申請認證的產品進行一致性檢查。重點檢查以下內容：</p><p>　　1）認證產品的銘牌、包裝上所標明的及運行時所顯示的產品名稱、型號/版本號與型式試驗報告上所標明的內容是否一致；</p><p>　　2）認證產品所用的軟件、硬件應與型式試驗合格的樣品一致

25、；</p><p>　　3）非認證的產品是否違規(guī)標貼了認證標識。</p><p>　　4.5.2工廠檢查時間</p><p>　　由認證機構根據(jù)認證實施需要安排工廠檢查。人日數(shù)根據(jù)所申請認證產品的單元數(shù)量確定，并適當考慮制造商、生產企業(yè)的規(guī)模及產品的安全級別，一般每個場所為2至6個人日。</p><p>　　4.6認證結果評價與批準</

26、p><p>　　認證機構負責對型式試驗、工廠檢查結果等進行綜合評價，做出認證決定，通過認證決定的，由認證機構對認證委托人頒發(fā)認證證書（每一個認證單元頒發(fā)一張認證證書）。如認證決定過程中發(fā)現(xiàn)不符合認證要求項，允許限期（不超過3個月）整改，如期完成整改后，認證機構采取適當方式對整改結果進行確認，重新執(zhí)行認證決定過程。</p><p><b>　　4.7獲證后監(jiān)督</b><

27、;/p><p>　　4.7.1監(jiān)督的頻次</p><p>　　監(jiān)督頻次一般為一年一次，當有特別規(guī)定時，認證機構可調整監(jiān)督頻次。必要時，認證機構可采取事先不通知的方式進行監(jiān)督。</p><p>　　如果發(fā)生下述情況之一可增加監(jiān)督頻次：</p><p>　　1）獲證產品出現(xiàn)嚴重質量問題時,或者用戶提出投訴并經查實為證書持有者責任時；</p>

28、;<p>　　2）認證機構有足夠理由對獲證產品與規(guī)定的標準要求的符合性提出質疑時；</p><p>　　3）有足夠信息表明制造商、生產企業(yè)因組織機構、生產條件、質量管理體系等發(fā)生變更，從而可能影響產品質量時。</p><p>　　4.7.2監(jiān)督的內容</p><p>　　獲證后監(jiān)督采用工廠檢查的方式進行，主要針對信息安全保障能力、認證產品一致性和質量保

29、證能力進行檢查。必要時可以抽取樣品送實驗室檢測，需要進行抽樣檢測時，按4.4.1.1要求實施抽樣。初次認證申請時的檢測項目都可以作為監(jiān)督時的檢測項目，認證機構可根據(jù)具體情況進行部分或全部項目的檢測。樣品的檢測一般由認證機構指定的檢測實驗室在20個工作日內完成。</p><p>　　4.7.3獲證后監(jiān)督結果的評價</p><p>　　監(jiān)督復查合格后，可以繼續(xù)保持認證證書、使用認證標志。對監(jiān)督

30、復查時發(fā)現(xiàn)的不符合項應在3個月內完成糾正措施。逾期將撤銷認證證書、停止使用認證標志，并對外公告。</p><p><b>　　5.認證時限</b></p><p>　　認證時限是指自申請被正式受理之日起至頒發(fā)認證證書時止所實際發(fā)生的工作日，一般在90個工作日內。整改時間不計算在內。</p><p><b>　　6.認證證書</b

31、></p><p><b>　　6.1證書的有效性</b></p><p>　　證書有效期5年。在有效期內，通過每年對獲證后的產品進行監(jiān)督確保認證證書的有效性。</p><p>　　6.2認證證書的變更</p><p>　　6.2.1變更的申請</p><p>　　獲證后的產品，如果其制造商

32、、生產企業(yè)、證書持有者等發(fā)生變化時，應向認證機構提出變更申請。</p><p>　　6.2.2變更申請的評價與批準</p><p>　　認證機構根據(jù)變更的內容和提供的資料進行文件審核，需要時安排型式試驗和/或工廠檢查，認證評價通過后予以變更證書。</p><p>　　6.2.3證書的有效期</p><p>　　證書在進行變更后，其有效期與原證

33、書一致。</p><p>　　6.3認證證書覆蓋產品的擴展</p><p>　　6.3.1認證證書覆蓋產品擴展申請</p><p>　　認證證書持有者需要增加已經獲得認證產品的認證范圍時，應向認證機構提出擴展申請，并提交擴展產品和原認證產品之間的差異說明。</p><p>　　6.3.2認證證書覆蓋產品擴展的評價與批準</p>

34、<p>　　認證機構應核查擴展產品與原認證產品的一致性，確認原認證結果對擴展產品的有效性，需要時應針對差異做補充型式試驗和/或工廠檢查，并根據(jù)認證證書持有者的要求單獨頒發(fā)認證證書或換發(fā)認證證書。</p><p>　　6.3.3證書的有效期</p><p>　　證書在進行擴展后，其有效期與原證書一致。</p><p>　　6.4認證證書的暫停、注銷和撤銷&l

35、t;/p><p>　　參照《強制性產品認證證書注銷、暫停、撤銷實施規(guī)則》的要求執(zhí)行。在認證證書暫停期間及認證證書注銷和撤銷后，獲證機構不得繼續(xù)使用證書。</p><p><b>　　7.認證標志的使用</b></p><p>　　7.1認證標志的樣式</p><p>　　7.2認證標志的使用</p><p

36、>　　認證標志在使用時可以等比例的放大或縮小。但是，不允許變形或變色。</p><p><b>　　7.3加施方式</b></p><p>　　可以采用統(tǒng)一印制的標準規(guī)格標志、模壓、銘牌印刷、軟件加施等方式。</p><p><b>　　7.4標志位置</b></p><p>　　應在產品本體

37、的銘牌附近加施認證標志。</p><p>　　軟件產品應在其軟件包裝/載體上加施認證標志，如該軟件產品不使用包裝/載體，則應在軟件使用的《許可協(xié)議》中的顯著位置明確該產品已獲認證機構認證。</p><p><b>　　附件1</b></p><p>　　網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產品目錄</p><p><b>

38、;　　附件2</b></p><p>　　信息安全保障能力基本要求</p><p><b>　　附件3</b></p><p>　　質量保證能力基本要求</p><p>　　為保證批量生產的認證產品與型式試驗樣品的一致性，生產企業(yè)應滿足本文件規(guī)定的質量保證能力基本要求。</p><p>

39、;<b>　　1.職責和資源</b></p><p><b>　　1.1職責</b></p><p>　　生產企業(yè)應規(guī)定與質量活動有關的各類人員職責及相互關系，且生產企業(yè)應在組織內指定一名質量負責人，無論該成員在其他方面的職責如何，應具有以下方面的職責和權限：</p><p>　　a）負責建立滿足本文件要求的質量體系，并確

40、保其實施和保持；</p><p>　　b）確保加貼認證標志的產品符合認證標準的要求；</p><p>　　c）建立文件化的程序，確保認證標志的妥善保管和使用；</p><p>　　d）建立文件化的程序，確保不合格品和獲證產品變更后未經認證機構確認，不加貼認證標志。</p><p>　　質量負責人應具有充分的能力勝任本職工作。</p>

41、;<p><b>　　1.2資源</b></p><p>　　生產企業(yè)應配備必須的生產設備和檢測設備以滿足穩(wěn)定生產符合本規(guī)則中規(guī)定的標準要求的產品；應配備相應的人力資源，確保從事對產品質量有影響工作的人員具備必要的能力；建立并保持適宜產品生產、試驗、儲存等必備的環(huán)境。</p><p><b>　　2.認證產品一致性</b></

42、p><p>　　a）生產企業(yè)應對現(xiàn)場的產品與型式試驗樣品的一致性進行控制，以使認證產品持續(xù)符合規(guī)定的要求；</p><p>　　b）生產企業(yè)應建立產品變更控制程序，認證產品的變更在實施前應向認證機構申報并獲得批準后方可執(zhí)行。</p><p>　　3.認證產品外購部件或外包軟件模塊管理</p><p>　　3.1外購部件供應商或軟件模塊的外包商的控

43、制</p><p>　　a）生產企業(yè)應制定外購部件供應商或軟件模塊外包商的選擇、評定和日常管理的程序，以確保供應商提供的部件或軟件外包商提供的軟件模塊滿足要求；</p><p>　　b）生產企業(yè)應保存對供應商或軟件外包商的選擇評價和日常管理記錄。</p><p>　　3.2外購部件或外包軟件模塊的驗證 </p><p>　　a）生產企業(yè)應建立