近期，國家認監(jiān)委發(fā)布了關(guān)于網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認證的實施規(guī)則公告。具體公告如下：

      根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國認證認可條例》《關(guān)于網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認證實施要求的公告》（認監(jiān)委、國家互聯(lián)網(wǎng)信息辦公室2018年第24號公告）有關(guān)要求，我委編制完成了《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認證實施規(guī)則》，現(xiàn)予發(fā)布。

      本規(guī)則自發(fā)布之日起實施。

附件：《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認證實施規(guī)則》（編號：CNCA-CCIS-2018）

                                 認監(jiān)委

2018年6月27日

編號：CNCA-CCIS-2018

安全認證實施規(guī)則

國家認證認可監(jiān)督管理委員會發(fā)布

目 錄

1. 適用范圍.. 1
2. 認證模式.. 1
3．認證的基本環(huán)節(jié).. 1
3.1認證申請及受理.. 1
3.2文檔審核.. 1
3.3型式試驗委托及實施.. 1
3.4工廠檢查.. 1
3.5認證結(jié)果評價與批準(zhǔn).. 1
3.6獲證后監(jiān)督.. 1
4．認證實施.. 1
4.1認證流程.. 1
4.2認證申請及受理.. 2
4.3文檔審核.. 4
4.4型式試驗委托及實施.. 4
4.5工廠檢查.. 4
4.6認證結(jié)果評價與批準(zhǔn).. 5
4.7獲證后監(jiān)督.. 6
5．認證時限.. 7
6．認證證書.. 7
6.1證書的有效性.. 7
6.2認證證書的變更.. 7
6.3認證證書覆蓋產(chǎn)品的擴展.. 8
6.4認證證書的暫停、注銷和撤銷.. 8
7．認證標(biāo)志的使用.. 8
7.1認證標(biāo)志的樣式.. 8
7.2認證標(biāo)志的使用.. 9
7.3加施方式.. 9
7.4標(biāo)志位置.. 9
附件1：.. 10
附件2：.. 12
附件3：.. 13

1.適用范圍

      本規(guī)則依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國認證認可條例》制定，規(guī)定了開展網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認證的基本原則和要求。
      本規(guī)則適用的網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品，應(yīng)符合《國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、國家認監(jiān)委關(guān)于發(fā)布<網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄（第一批）>的公告》（聯(lián)合公告2017年第1號）中相應(yīng)的范圍要求描述（詳見附件1）。
安全認證用標(biāo)準(zhǔn)依據(jù)有關(guān)主管部門的要求執(zhí)行。

2.認證模式

      型式試驗 + 工廠檢查 + 獲證后監(jiān)督

3.認證的基本環(huán)節(jié)

3.1認證申請及受理

3.2文檔審核

3.3型式試驗委托及實施

3.4工廠檢查

3.5認證結(jié)果評價與批準(zhǔn)

3.6獲證后監(jiān)督

4.認證實施

4.1認證流程
      認證委托人向認證機構(gòu)申請認證，認證機構(gòu)在接收到認證委托人的認證申請后，審查申請資料，確認合格后向認證委托人選擇的實驗室安排檢測任務(wù)，并通知認證委托人根據(jù)要求抽樣檢測。實驗室依據(jù)相關(guān)標(biāo)準(zhǔn)和/或技術(shù)規(guī)范進行檢測，并在完成檢測后向認證機構(gòu)提交檢測報告。認證機構(gòu)對檢測報告審查合格后，需要時由認證機構(gòu)組織進行工廠檢查。認證機構(gòu)對型式試驗、工廠檢查結(jié)果進行認證決定，并在認證決定評價合格后向認證委托人頒發(fā)認證證書。認證機構(gòu)組織對獲證后的產(chǎn)品進行定期的監(jiān)督。

4.2認證申請及受理
      認證委托人向認證機構(gòu)遞交認證申請，并按要求提交相關(guān)資料，認證機構(gòu)對資料進行初審，確定認證委托人提交資料滿足要求后，受理該申請。

4.2.1認證的單元劃分
      按產(chǎn)品型號/版本申請認證，若產(chǎn)品的關(guān)鍵件相同的可作為一個單元申請認證，由認證機構(gòu)根據(jù)認證要求對產(chǎn)品關(guān)鍵件做出規(guī)定。
以多于一個型號/版本的產(chǎn)品為同一認證單元申請認證時，認證委托人應(yīng)提交同一認證單元中型號/版本間的差異說明及相關(guān)測試報告。

4.2.2申請資料要求
      認證委托人在申請安全認證時，應(yīng)至少提交以下資料：
1）申請基本信息：
l   認證申請書；
l   認證委托人聲明；
l   相關(guān)法律地位證明材料（復(fù)印件）；
l   質(zhì)量體系方面有關(guān)的文件。
2）有關(guān)技術(shù)指標(biāo)參數(shù)聲明及支撐材料（依據(jù)附件1“范圍”中的內(nèi)容）。
3）產(chǎn)品相關(guān)說明：
l   中文產(chǎn)品功能說明書和/或使用手冊；
l   認證標(biāo)準(zhǔn)的適用性說明；
l   產(chǎn)品研制主要技術(shù)人員情況表；
l   產(chǎn)品測試技術(shù)人員情況表；
l   產(chǎn)品測試使用的主要設(shè)備表；
l   中文銘牌和警告標(biāo)記；
l   同一認證單元中型號/版本間的差異說明及相關(guān)測試報告（如適用）；
l  產(chǎn)品密碼檢測合格證書（如適用）。

4）安全保障要求方面的文檔：
l   配置管理；
l   交付與運行；
l   開發(fā)；
l   指導(dǎo)性文檔；
l   測試。
5）安全功能相關(guān)說明文件。
6）認證機構(gòu)要求的其他資料。

4.3文檔審核
      對認證委托人提交的資料和文檔，根據(jù)相關(guān)標(biāo)準(zhǔn)和/或該產(chǎn)品的技術(shù)規(guī)范進行審核。

4.4型式試驗委托及實施

4.4.1型式試驗抽樣

4.4.1.1抽樣要求
      由認證機構(gòu)安排對申請認證的產(chǎn)品按型號/版本進行抽樣，樣品應(yīng)在生產(chǎn)企業(yè)生產(chǎn)的產(chǎn)品中（包括生產(chǎn)線、倉庫、市場）隨機抽取。一般每種產(chǎn)品抽樣2套，如有特殊需求可增加樣品數(shù)量。
認證委托人將樣品遞送至實驗室，并對樣品負責(zé)。
認證委托人應(yīng)根據(jù)型式試驗的要求，提供相應(yīng)的說明及輔助設(shè)備。

4.4.1.2樣品及相關(guān)資料的處置
      認證結(jié)束后，認證委托人可向?qū)嶒炇疑暾埲』匦褪皆囼灅悠罚嚓P(guān)申請資料由認證機構(gòu)、實驗室妥善處置。

4.4.2型式試驗依據(jù)
      按相應(yīng)產(chǎn)品有關(guān)國家標(biāo)準(zhǔn)的要求執(zhí)行。

4.4.3型式試驗報告的提交
      型式試驗完成后，實驗室根據(jù)認證機構(gòu)的要求出具型式試驗報告并提交給認證機構(gòu)。

4.5工廠檢查

4.5.1審核內(nèi)容
      工廠檢查的內(nèi)容為信息安全保障能力、質(zhì)量保證能力、產(chǎn)品一致性檢查。

4.5.1.1信息安全保障能力
      由認證機構(gòu)派檢查員對制造商、生產(chǎn)企業(yè)按照附件2（信息安全保障能力基本要求）實施審核（當(dāng)認證依據(jù)的國家標(biāo)準(zhǔn)涵蓋安全保障能力要求時，則按相應(yīng)國家標(biāo)準(zhǔn)實施）。

4.5.1.2質(zhì)量保證能力
      由認證機構(gòu)派檢查員對生產(chǎn)企業(yè)按照附件3（質(zhì)量保證能力基本要求）及認證機構(gòu)制定的補充檢查要求進行檢查。

4.5.1.3產(chǎn)品一致性
      工廠檢查時，應(yīng)在生產(chǎn)現(xiàn)場對申請認證的產(chǎn)品進行一致性檢查。重點檢查以下內(nèi)容：
1）認證產(chǎn)品的銘牌、包裝上所標(biāo)明的及運行時所顯示的產(chǎn)品名稱、型號/版本號與型式試驗報告上所標(biāo)明的內(nèi)容是否一致；
2）認證產(chǎn)品所用的軟件、硬件應(yīng)與型式試驗合格的樣品一致；
3）非認證的產(chǎn)品是否違規(guī)標(biāo)貼了認證標(biāo)識。

4.5.2工廠檢查時間
      由認證機構(gòu)根據(jù)認證實施需要安排工廠檢查。人日數(shù)根據(jù)所申請認證產(chǎn)品的單元數(shù)量確定，并適當(dāng)考慮制造商、生產(chǎn)企業(yè)的規(guī)模及產(chǎn)品的安全級別，一般每個場所為2至6個人日。

4.6認證結(jié)果評價與批準(zhǔn)
      認證機構(gòu)負責(zé)對型式試驗、工廠檢查結(jié)果等進行綜合評價，做出認證決定，通過認證決定的，由認證機構(gòu)對認證委托人頒發(fā)認證證書（每一個認證單元頒發(fā)一張認證證書）。如認證決定過程中發(fā)現(xiàn)不符合認證要求項，允許限期（不超過3個月）整改，如期完成整改后，認證機構(gòu)采取適當(dāng)方式對整改結(jié)果進行確認，重新執(zhí)行認證決定過程。

4.7獲證后監(jiān)督
4.7.1監(jiān)督的頻次

      監(jiān)督頻次一般為一年一次，當(dāng)有特別規(guī)定時，認證機構(gòu)可調(diào)整監(jiān)督頻次。必要時，認證機構(gòu)可采取事先不通知的方式進行監(jiān)督。
如果發(fā)生下述情況之一可增加監(jiān)督頻次：
1）獲證產(chǎn)品出現(xiàn)嚴重質(zhì)量問題時,或者用戶提出投訴并經(jīng)查實為證書持有者責(zé)任時；
2）認證機構(gòu)有足夠理由對獲證產(chǎn)品與規(guī)定的標(biāo)準(zhǔn)要求的符合性提出質(zhì)疑時；
3）有足夠信息表明制造商、生產(chǎn)企業(yè)因組織機構(gòu)、生產(chǎn)條件、質(zhì)量管理體系等發(fā)生變更，從而可能影響產(chǎn)品質(zhì)量時。

4.7.2監(jiān)督的內(nèi)容

      獲證后監(jiān)督采用工廠檢查的方式進行，主要針對信息安全保障能力、認證產(chǎn)品一致性和質(zhì)量保證能力進行檢查。必要時可以抽取樣品送實驗室檢測，需要進行抽樣檢測時，按4.4.1.1要求實施抽樣。初次認證申請時的檢測項目都可以作為監(jiān)督時的檢測項目，認證機構(gòu)可根據(jù)具體情況進行部分或全部項目的檢測。樣品的檢測一般由認證機構(gòu)指定的檢測實驗室在20個工作日內(nèi)完成。

4.7.3獲證后監(jiān)督結(jié)果的評價

      監(jiān)督復(fù)查合格后，可以繼續(xù)保持認證證書、使用認證標(biāo)志。對監(jiān)督復(fù)查時發(fā)現(xiàn)的不符合項應(yīng)在3個月內(nèi)完成糾正措施。逾期將撤銷認證證書、停止使用認證標(biāo)志，并對外公告。

5.認證時限

      認證時限是指自申請被正式受理之日起至頒發(fā)認證證書時止所實際發(fā)生的工作日，一般在90個工作日內(nèi)。整改時間不計算在內(nèi)。

6.認證證書

6.1證書的有效性
      證書有效期5年。在有效期內(nèi)，通過每年對獲證后的產(chǎn)品進行監(jiān)督確保認證證書的有效性。

6.2認證證書的變更

6.2.1變更的申請
      獲證后的產(chǎn)品，如果其制造商、生產(chǎn)企業(yè)、證書持有者等發(fā)生變化時，應(yīng)向認證機構(gòu)提出變更申請。

6.2.2變更申請的評價與批準(zhǔn)
      認證機構(gòu)根據(jù)變更的內(nèi)容和提供的資料進行文件審核，需要時安排型式試驗和/或工廠檢查，認證評價通過后予以變更證書。

6.2.3證書的有效期
      證書在進行變更后，其有效期與原證書一致。

6.3認證證書覆蓋產(chǎn)品的擴展

6.3.1認證證書覆蓋產(chǎn)品擴展申請
      認證證書持有者需要增加已經(jīng)獲得認證產(chǎn)品的認證范圍時，應(yīng)向認證機構(gòu)提出擴展申請，并提交擴展產(chǎn)品和原認證產(chǎn)品之間的差異說明。

6.3.2認證證書覆蓋產(chǎn)品擴展的評價與批準(zhǔn)
      認證機構(gòu)應(yīng)核查擴展產(chǎn)品與原認證產(chǎn)品的一致性，確認原認證結(jié)果對擴展產(chǎn)品的有效性，需要時應(yīng)針對差異做補充型式試驗和/或工廠檢查，并根據(jù)認證證書持有者的要求單獨頒發(fā)認證證書或換發(fā)認證證書。

6.3.3證書的有效期
      證書在進行擴展后，其有效期與原證書一致。

6.4認證證書的暫停、注銷和撤銷
      參照《強制性產(chǎn)品認證證書注銷、暫停、撤銷實施規(guī)則》的要求執(zhí)行。在認證證書暫停期間及認證證書注銷和撤銷后，獲證機構(gòu)不得繼續(xù)使用證書。

7.認證標(biāo)志的使用

7.1認證標(biāo)志的樣式

7.2認證標(biāo)志的使用
      認證標(biāo)志在使用時可以等比例的放大或縮小。但是，不允許變形或變色。

7.3加施方式
      可以采用統(tǒng)一印制的標(biāo)準(zhǔn)規(guī)格標(biāo)志、模壓、銘牌印刷、軟件加施等方式。

7.4標(biāo)志位置
      應(yīng)在產(chǎn)品本體的銘牌附近加施認證標(biāo)志。
軟件產(chǎn)品應(yīng)在其軟件包裝/載體上加施認證標(biāo)志，如該軟件產(chǎn)品不使用包裝/載體，則應(yīng)在軟件使用的《許可協(xié)議》中的顯著位置明確該產(chǎn)品已獲認證機構(gòu)認證。

附件1

網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄

	設(shè)備或產(chǎn)品類別	范圍
網(wǎng)絡(luò)關(guān)鍵設(shè)備	1. 路由器	整系統(tǒng)吞吐量（雙向）≥12Tbps 整系統(tǒng)路由表容量≥55萬條
	2. 交換機	整系統(tǒng)吞吐量（雙向）≥30Tbps 整系統(tǒng)包轉(zhuǎn)發(fā)率≥10Gpps
	3. 服務(wù)器（機架式）	CPU數(shù)量≥8個 單CPU內(nèi)核數(shù)≥14個 內(nèi)存容量≥256GB
	4. 可編程邏輯控制器（PLC設(shè)備）	控制器指令執(zhí)行時間≤0.08微秒
網(wǎng)絡(luò)安全專用產(chǎn)品	5. 數(shù)據(jù)備份一體機	備份容量≥20T 備份速度≥60MB/s 備份時間間隔≤1小時
	6. 防火墻（硬件）	整機吞吐量≥80Gbps 最大并發(fā)連接數(shù)≥300萬 每秒新建連接數(shù)≥25萬
	7. WEB應(yīng)用防火墻（WAF）	整機應(yīng)用吞吐量≥6Gbps 最大HTTP并發(fā)連接數(shù)≥200萬
	8. 入侵檢測系統(tǒng)（IDS）	滿檢速率≥15Gbps 最大并發(fā)連接數(shù)≥500萬
	9. 入侵防御系統(tǒng)（IPS）	滿檢速率≥20Gbps 最大并發(fā)連接數(shù)≥500萬
	10. 安全隔離與信息交換產(chǎn)品（網(wǎng)閘）	吞吐量≥1Gbps 系統(tǒng)延時≤5ms
	11. 反垃圾郵件產(chǎn)品	連接處理速率（連接/秒）>100 平均延遲時間<100ms
	12. 網(wǎng)絡(luò)綜合審計系統(tǒng)	抓包速度≥5Gbps 記錄事件能力≥5萬條/秒
	13. 網(wǎng)絡(luò)脆弱性掃描產(chǎn)品	最大并行掃描IP數(shù)量≥60個
	14. 安全數(shù)據(jù)庫系統(tǒng)	TPC-E tpsE（每秒可交易數(shù)量）≥4500個
	15 網(wǎng)站恢復(fù)產(chǎn)品（硬件）	恢復(fù)時間≤2ms 站點的最長路徑≥10級

附件2

信息安全保障能力基本要求

保障類	保障組件
ADV：開發(fā)	ADV_ARC.1 安全架構(gòu)描述
	ADV_FSP.2 安全執(zhí)行功能規(guī)范
	ADV_TDS.1 基礎(chǔ)設(shè)計
AGD：指導(dǎo)性文檔	AGD_OPE.1 操作用戶指南
	AGD_PRE.1 準(zhǔn)備程序
ALC：生命周期支持	ALC_CMC.2   CM系統(tǒng)的使用
	ALC_CMS.2 部分TOE CM覆蓋
	ALC_DEL.1 交付程序

附件3

質(zhì)量保證能力基本要求

      為保證批量生產(chǎn)的認證產(chǎn)品與型式試驗樣品的一致性，生產(chǎn)企業(yè)應(yīng)滿足本文件規(guī)定的質(zhì)量保證能力基本要求。

1.職責(zé)和資源

1.1職責(zé)

      生產(chǎn)企業(yè)應(yīng)規(guī)定與質(zhì)量活動有關(guān)的各類人員職責(zé)及相互關(guān)系，且生產(chǎn)企業(yè)應(yīng)在組織內(nèi)指定一名質(zhì)量負責(zé)人，無論該成員在其他方面的職責(zé)如何，應(yīng)具有以下方面的職責(zé)和權(quán)限：

a）負責(zé)建立滿足本文件要求的質(zhì)量體系，并確保其實施和保持；

b）確保加貼認證標(biāo)志的產(chǎn)品符合認證標(biāo)準(zhǔn)的要求；

c）建立文件化的程序，確保認證標(biāo)志的妥善保管和使用；

d）建立文件化的程序，確保不合格品和獲證產(chǎn)品變更后未經(jīng)認證機構(gòu)確認，不加貼認證標(biāo)志。

      質(zhì)量負責(zé)人應(yīng)具有充分的能力勝任本職工作。

1.2資源

      生產(chǎn)企業(yè)應(yīng)配備必須的生產(chǎn)設(shè)備和檢測設(shè)備以滿足穩(wěn)定生產(chǎn)符合本規(guī)則中規(guī)定的標(biāo)準(zhǔn)要求的產(chǎn)品；應(yīng)配備相應(yīng)的人力資源，確保從事對產(chǎn)品質(zhì)量有影響工作的人員具備必要的能力；建立并保持適宜產(chǎn)品生產(chǎn)、試驗、儲存等必備的環(huán)境。

2.認證產(chǎn)品一致性

a）生產(chǎn)企業(yè)應(yīng)對現(xiàn)場的產(chǎn)品與型式試驗樣品的一致性進行控制，以使認證產(chǎn)品持續(xù)符合規(guī)定的要求；

b）生產(chǎn)企業(yè)應(yīng)建立產(chǎn)品變更控制程序，認證產(chǎn)品的變更在實施前應(yīng)向認證機構(gòu)申報并獲得批準(zhǔn)后方可執(zhí)行。

3.認證產(chǎn)品外購部件或外包軟件模塊管理

3.1外購部件供應(yīng)商或軟件模塊的外包商的控制

a）生產(chǎn)企業(yè)應(yīng)制定外購部件供應(yīng)商或軟件模塊外包商的選擇、評定和日常管理的程序，以確保供應(yīng)商提供的部件或軟件外包商提供的軟件模塊滿足要求；

b）生產(chǎn)企業(yè)應(yīng)保存對供應(yīng)商或軟件外包商的選擇評價和日常管理記錄。

3.2外購部件或外包軟件模塊的驗證

a）生產(chǎn)企業(yè)應(yīng)建立并保持對供應(yīng)商提供的部件或軟件外包商提供的軟件模塊的驗證程序及定期確認程序，以確保部件或軟件模塊滿足認證所規(guī)定的要求；

b）生產(chǎn)企業(yè)應(yīng)保存部件或外包軟件模塊，或者它們的驗證記錄、確認記錄及供應(yīng)商或軟件外包商提供的合格證明及有關(guān)數(shù)據(jù)等。