智能卡COS產(chǎn)品強(qiáng)制性認(rèn)證實(shí)施規(guī)則

     編者按：4月27日，中國國家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)發(fā)布了編號為CNCA-11C-079:2009的《信息安全產(chǎn)品強(qiáng)制性認(rèn)證實(shí)施規(guī)則——智能卡COS產(chǎn)品》文件，詳細(xì)說明了智能卡COS強(qiáng)制性認(rèn)證的范圍、模式、申請受理程序等等，為了讀者更加詳細(xì)全面了解有關(guān)規(guī)則，本期特將該規(guī)則刊載如下，供讀者參考，該規(guī)則從2009年5月1日起正式實(shí)施。

    1．適用范圍 

    智能卡芯片操作系統(tǒng)(COS-Chip Operating System)是指在智能卡芯片中存儲和運(yùn)行的、以保護(hù)存儲在非易失性存儲器中的應(yīng)用數(shù)據(jù)或程序的機(jī)密性和完整性、控制智能卡芯片與外界信息交換為目的的嵌入式軟件。

    適用的產(chǎn)品范圍為：遵循GB/T 16649：2006（idt ISO/IEC 7816）標(biāo)準(zhǔn)指令集的

    （1）采用接觸或/和非接觸工作方式的智能卡COS；（2）其它集成或內(nèi)置了的COS（如 USBKey等）。擬用于涉密信息系統(tǒng)的上述產(chǎn)品，按照國家有關(guān)保密規(guī)定和標(biāo)準(zhǔn)執(zhí)行，不適用本規(guī)則。

    2．認(rèn)證模式

    型式試驗(yàn) + 初始工廠檢查 + 獲證后監(jiān)督

    3．認(rèn)證的基本環(huán)節(jié)

    3.1認(rèn)證申請及受理
    3.2型式試驗(yàn)委托及實(shí)施
    3.3初始工廠檢查
    3.4認(rèn)證結(jié)果評價(jià)與批準(zhǔn)
    3.5獲證后監(jiān)督

    4．認(rèn)證實(shí)施

    4.1認(rèn)證程序

    申請方可選擇集中受理或分段受理兩種方式中任意一種進(jìn)行認(rèn)證證書申請，兩種方式下獲得的證書是等效的。

    4.1.1集中受理流程

    申請方向指定的認(rèn)證機(jī)構(gòu)申請認(rèn)證，認(rèn)證機(jī)構(gòu)對申請產(chǎn)品進(jìn)行單元?jiǎng)澐植彶樯暾堎Y料，確認(rèn)合格后向?qū)嶒?yàn)室（由申請方自主從指定實(shí)驗(yàn)室名單中選?。┌才艡z測任務(wù)。實(shí)驗(yàn)室依據(jù)相關(guān)產(chǎn)品強(qiáng)制性認(rèn)證實(shí)施規(guī)則進(jìn)行檢測，并在完成檢測后向認(rèn)證機(jī)構(gòu)提交完整的檢測報(bào)告。認(rèn)證機(jī)構(gòu)對檢測報(bào)告審查合格后，由認(rèn)證機(jī)構(gòu)進(jìn)行初始工廠檢查。認(rèn)證機(jī)構(gòu)對型式試驗(yàn)、初始工廠檢查結(jié)果進(jìn)行綜合評價(jià)，評價(jià)合格后向申請方頒發(fā)認(rèn)證證書。認(rèn)證機(jī)構(gòu)組織對獲證后的產(chǎn)品進(jìn)行定期的監(jiān)督。

    4.1.2分段受理流程

    申請方自主從指定實(shí)驗(yàn)室名單中選取實(shí)驗(yàn)室，并向?qū)嶒?yàn)室提交相關(guān)申請材料。實(shí)驗(yàn)室對申請產(chǎn)品進(jìn)行單元?jiǎng)澐郑瑢彶椴⒋_認(rèn)所需資料合格后，依據(jù)認(rèn)證實(shí)施規(guī)則進(jìn)行檢測，檢測通過后向認(rèn)證機(jī)構(gòu)提交檢測報(bào)告。檢測報(bào)告經(jīng)認(rèn)證機(jī)構(gòu)確認(rèn)合格后，申請方向認(rèn)證機(jī)構(gòu)提交認(rèn)證所需資料。認(rèn)證機(jī)構(gòu)審查并確認(rèn)所需資料合格后，由認(rèn)證機(jī)構(gòu)進(jìn)行初始工廠檢查。認(rèn)證機(jī)構(gòu)對型式試驗(yàn)、初始工廠檢查結(jié)果進(jìn)行綜合評價(jià)，評價(jià)合格后向申請方頒發(fā)認(rèn)證證書。認(rèn)證機(jī)構(gòu)組織對獲證后的產(chǎn)品進(jìn)行定期的監(jiān)督。

    4.2認(rèn)證申請及受理

    4.2.1認(rèn)證的單元?jiǎng)澐?

    按產(chǎn)品型號/版本申請認(rèn)證，若產(chǎn)品的信息安全關(guān)鍵件實(shí)現(xiàn)方式相同的可作為一個(gè)單元申請認(rèn)證。

    以多于一個(gè)型號/版本的產(chǎn)品為同一認(rèn)證單元申請認(rèn)證時(shí)，申請方應(yīng)提交同一認(rèn)證單元中型號/版本間的差異說明及相關(guān)自測報(bào)告。

    4.2.2申請時(shí)需提交的文件資料

    申請方在申請產(chǎn)品認(rèn)證時(shí)，提交的文件資料應(yīng)至少包含以下內(nèi)容：

    1.申請方情況：

    1）基本情況介紹；
    2）相關(guān)資質(zhì)證明材料（復(fù)印件）；
    3）質(zhì)量體系方面有關(guān)的文件；
    4）申請方聲明。

    2.產(chǎn)品相關(guān)說明：

    1）中文產(chǎn)品功能說明書和/或使用手冊；
    2）認(rèn)證標(biāo)準(zhǔn)的適用性說明；
    3）產(chǎn)品研制主要技術(shù)人員情況表；
    4）產(chǎn)品測試技術(shù)人員情況表；
    5）產(chǎn)品測試使用的主要設(shè)備表（如適用）；
    6）中文銘牌和警告標(biāo)記（如適用）；
    7）同一認(rèn)證單元中型號/版本間的差異說明及相關(guān)自測報(bào)告（如適用）；
    8）產(chǎn)品密碼檢測證書。

    3.申請認(rèn)證產(chǎn)品的安全保證要求說明，包括以下方面：

    1）安全目標(biāo)；
    2）功能規(guī)范；
    3）高層設(shè)計(jì)；
    4）低層設(shè)計(jì)；
    5）對應(yīng)性分析；
    6）安全策略模型；
    7）指導(dǎo)性文檔；
    8）脆弱性分析；
    9）開發(fā)者的測試報(bào)告；
    10）開發(fā)者的測試分析；
    11）開發(fā)安全；
    12）開發(fā)工具和技術(shù)；
    13）生命周期定義；
    14）交付和運(yùn)行；
    15）配置管理文檔；
    16）實(shí)現(xiàn)表示。

    4.3型式試驗(yàn)委托及實(shí)施

    4.3.1型式試驗(yàn)的送樣

    4.3.1.1型式試驗(yàn)送樣的原則

    認(rèn)證單元中只有一個(gè)型號/版本的，送該型號/版本的樣品。以多于一個(gè)型號/版本的產(chǎn)品作為同一認(rèn)證單元申請認(rèn)證時(shí)，應(yīng)從中選取典型的型號/版本作為送樣產(chǎn)品。

    4.3.1.2送樣要求和數(shù)量

    型式試驗(yàn)的樣品由申請方負(fù)責(zé)選送，并對選送樣品負(fù)責(zé)。一般每種產(chǎn)品送樣 40套。

    4.3.1.3型式試驗(yàn)樣品及相關(guān)資料的處置

    認(rèn)證結(jié)束后，申請方可向?qū)嶒?yàn)室申請取回型式試驗(yàn)樣品，相關(guān)申請資料由認(rèn)證機(jī)構(gòu)、實(shí)驗(yàn)室妥善處置。

    4.3.2測評標(biāo)準(zhǔn)和項(xiàng)目

    測評依據(jù)的標(biāo)準(zhǔn)為：

    GB/T 20276《信息安全技術(shù) 智能卡嵌入式軟件安全技術(shù)要求（EAL4增強(qiáng)級）》（基于GB/T 18336《信息技術(shù) 安全技術(shù) 信息安全技術(shù)評估準(zhǔn)則》的通用要求）。

    測評項(xiàng)目見附件 2、附件 3。

    4.3.3型式試驗(yàn)報(bào)告的提交

    型式試驗(yàn)完成后，實(shí)驗(yàn)室出具型式試驗(yàn)報(bào)告并提交給認(rèn)證機(jī)構(gòu)。

    4.4初始工廠檢查

    4.4.1檢查內(nèi)容

    初始工廠檢查的內(nèi)容為信息安全保證能力、質(zhì)量保證能力和產(chǎn)品一致性檢查。

    4.4.1.1信息安全保證能力檢查

    由認(rèn)證機(jī)構(gòu)派檢查員對工廠按照《智能卡 COS強(qiáng)制性認(rèn)證安全保證評估項(xiàng)目》（見附件 3）進(jìn)行信息安全保證能力檢查。

    4.4.1.2質(zhì)量保證能力檢查

    由認(rèn)證機(jī)構(gòu)派檢查員對工廠按照《質(zhì)量保證能力基本要求》（附件5）及認(rèn)證機(jī)構(gòu)制定的補(bǔ)充檢查要求（適用時(shí)）進(jìn)行檢查。

    4.4.1.3產(chǎn)品一致性檢查

    初始工廠檢查時(shí)，應(yīng)在生產(chǎn)現(xiàn)場對申請認(rèn)證的產(chǎn)品進(jìn)行一致性檢查。 

    重點(diǎn)核實(shí)以下內(nèi)容：

    1）認(rèn)證產(chǎn)品的銘牌、包裝上所標(biāo)明的及運(yùn)行時(shí)所顯示的產(chǎn)品名稱、型號/版本號與型式試驗(yàn)報(bào)告上所標(biāo)明的內(nèi)容是否一致；
    2）非認(rèn)證的產(chǎn)品是否違規(guī)標(biāo)貼了認(rèn)證標(biāo)識。

    4.4.2初始工廠檢查時(shí)間

    一般情況下，認(rèn)證機(jī)構(gòu)對 4.2.2中的資料進(jìn)行審查并在型式試驗(yàn)完成后，再進(jìn)行初始工廠檢查。特殊情況時(shí)，型式試驗(yàn)和初始工廠檢查也可以同時(shí)進(jìn)行。

    初始工廠檢查時(shí)間根據(jù)所申請認(rèn)證產(chǎn)品的單元數(shù)量確定，并適當(dāng)考慮生產(chǎn)廠的規(guī)模，一般每個(gè)生產(chǎn)廠為 4至 6個(gè)人日。

    4.5認(rèn)證結(jié)果評價(jià)與批準(zhǔn)

    4.5.1認(rèn)證結(jié)果評價(jià)與批準(zhǔn)

    認(rèn)證機(jī)構(gòu)負(fù)責(zé)對型式試驗(yàn)、初始工廠檢查結(jié)果進(jìn)行綜合評價(jià)，評價(jià)合格的，由認(rèn)證機(jī)構(gòu)對申請方頒發(fā)認(rèn)證證書（每一個(gè)認(rèn)證單元頒發(fā)一個(gè)認(rèn)證證書）。如認(rèn)證決定過程中發(fā)現(xiàn)不符合認(rèn)證要求項(xiàng)，允許限期（不超過 3個(gè)月）整改，如期完成整改后，認(rèn)證機(jī)構(gòu)采取適當(dāng)方式對整改結(jié)果進(jìn)行確認(rèn)，重新執(zhí)行認(rèn)證決定過程。

    4.5.2認(rèn)證時(shí)限

    認(rèn)證時(shí)限是指自申請被正式受理之日起至頒發(fā)認(rèn)證證書時(shí)止所實(shí)際發(fā)生的工作日，其中包括型式試驗(yàn)時(shí)間、初始工廠檢查及提交報(bào)告時(shí)間、認(rèn)證結(jié)論評定和批準(zhǔn)時(shí)間以及證書制作時(shí)間。

    型式試驗(yàn)時(shí)間一般不超過 120個(gè)工作日（因檢測項(xiàng)目不合格，進(jìn)行整改和復(fù)試的時(shí)間不計(jì)算在內(nèi)，整改時(shí)間一般不超過 6個(gè)月）。一般在型式試驗(yàn)報(bào)告提交后 30個(gè)工作日內(nèi)安排初始工廠檢查。初始工廠檢查時(shí)間根據(jù)所認(rèn)證產(chǎn)品的單元數(shù)量確定，并適當(dāng)考慮生產(chǎn)廠的生產(chǎn)規(guī)模，一般為 4至 6個(gè)人日。初始工廠檢查后提交報(bào)告時(shí)間一般為 5個(gè)工作日，以檢查員完成現(xiàn)場檢查，收到并確認(rèn)工廠遞交的不合格糾正措施報(bào)告之日起計(jì)算。

    認(rèn)證結(jié)論評定、批準(zhǔn)時(shí)間以及證書制作時(shí)間共計(jì)不超過 5個(gè)工作日。

    4.6獲證后監(jiān)督

    4.6.1監(jiān)督的頻次

    4.6.1.1從獲證后第12個(gè)月起進(jìn)行第一次獲證后監(jiān)督，此后每 12個(gè)月進(jìn)行一次獲證后監(jiān)督。必要情況下，認(rèn)證機(jī)構(gòu)可采取事先不通知的方式對生產(chǎn)廠實(shí)施監(jiān)督。

    4.6.1.2若發(fā)生下述情況之一可增加監(jiān)督頻次：

    1）獲證產(chǎn)品出現(xiàn)嚴(yán)重質(zhì)量問題時(shí),或者用戶提出投訴并經(jīng)查實(shí)為證書持有者責(zé)任時(shí)；
    2）認(rèn)證機(jī)構(gòu)有足夠理由對獲證產(chǎn)品與本規(guī)則中規(guī)定的標(biāo)準(zhǔn)要求的符合性提出質(zhì)疑時(shí)；
    3）有足夠信息表明工廠因組織機(jī)構(gòu)、生產(chǎn)條件、質(zhì)量管理體系等發(fā)生變更，從而可能影響產(chǎn)品質(zhì)量時(shí)。 

    4.6.2監(jiān)督的內(nèi)容

    獲證后監(jiān)督的方式采用信息安全保證能力與質(zhì)量保證能力的復(fù)查和認(rèn)證產(chǎn)品一致性檢查。必要時(shí)可以抽取樣品送實(shí)驗(yàn)室檢測，需要進(jìn)行抽樣檢測時(shí)，抽樣檢測的樣品應(yīng)在工廠生產(chǎn)的產(chǎn)品中（包括生產(chǎn)線、倉庫、市場）隨機(jī)抽取。產(chǎn)品抽樣檢測的數(shù)量為 30套。本認(rèn)證實(shí)施規(guī)則中涉及的檢測項(xiàng)均可作為監(jiān)督檢測項(xiàng)目，認(rèn)證機(jī)構(gòu)可要求針對不同產(chǎn)品的不同情況進(jìn)行部分或全部項(xiàng)目的檢測。對抽取樣品的檢測由認(rèn)證機(jī)構(gòu)指定的實(shí)驗(yàn)室在 30個(gè)工作日內(nèi)完成。 

    認(rèn)證機(jī)構(gòu)根據(jù)《智能卡COS強(qiáng)制性認(rèn)證安全保證評估項(xiàng)目》（見附件3）、《質(zhì)量保證能力基本要求》（見附件 5）對工廠進(jìn)行監(jiān)督復(fù)查?！顿|(zhì)量保證能力基本要求》規(guī)定的第1、2條是每次監(jiān)督復(fù)查的必查項(xiàng)目，其他項(xiàng)目可以選查。每四年內(nèi)至少覆蓋附件 3、附件 5中所包括的全部項(xiàng)目。另外，應(yīng)對產(chǎn)品的變更情況進(jìn)行核查。

    工廠監(jiān)督檢查時(shí)間根據(jù)獲證產(chǎn)品的單元數(shù)量確定，并適當(dāng)考慮工廠的生產(chǎn)規(guī)模，一般為 2至 4個(gè)人日。

    4.6.3獲證后監(jiān)督結(jié)果的評價(jià) 

    監(jiān)督復(fù)查合格后，可以繼續(xù)保持認(rèn)證證書、使用認(rèn)證標(biāo)志。對監(jiān)督復(fù)查時(shí)發(fā)現(xiàn)的不符合項(xiàng)應(yīng)在 3個(gè)月內(nèi)完成糾正措施。逾期將撤銷認(rèn)證證書、停止使用認(rèn)證標(biāo)志，并對外公告。

    5．認(rèn)證證書

    5.1認(rèn)證證書的保持

    5.1.1證書的有效性

    本規(guī)則覆蓋產(chǎn)品的認(rèn)證證書不規(guī)定截止日期。證書的有效性依賴認(rèn)證機(jī)構(gòu)定期的監(jiān)督獲得保持。

    5.1.2認(rèn)證產(chǎn)品的變更

    5.1.2.1變更的申請

    獲證后的產(chǎn)品，如果其產(chǎn)品的信息安全關(guān)鍵件未發(fā)生變化而型號/版本發(fā)生變化，或生產(chǎn)廠、證書持有者等發(fā)生變化時(shí)，應(yīng)向認(rèn)證機(jī)構(gòu)提出變更申請。 

    由信息安全關(guān)鍵件的變化引起型號/版本變化時(shí)，應(yīng)重新申請認(rèn)證。

    5.1.2.2變更申請的評價(jià)與批準(zhǔn)

    認(rèn)證機(jī)構(gòu)根據(jù)變更的內(nèi)容和提供的資料進(jìn)行評價(jià)，確定已獲證產(chǎn)品的變化屬于以下何種情況，并根據(jù)具體情況采取相應(yīng)措施。

    1）由產(chǎn)品非信息安全關(guān)鍵件變化引起型號/版本變化，且不需補(bǔ)充型式試驗(yàn)和/或工廠檢查時(shí)，經(jīng)審核后予以變更；

    2）由產(chǎn)品非信息安全關(guān)鍵件變化引起型號/版本變化，且需補(bǔ)充型式試驗(yàn)和/或工廠檢查時(shí)，應(yīng)在完成型式試驗(yàn)和/或工廠檢查并經(jīng)認(rèn)證評價(jià)合格后方予以變更；

    3）發(fā)生其它變化時(shí)，如生產(chǎn)廠、證書持有者等，經(jīng)審核后予以變更。

    5.2認(rèn)證證書覆蓋產(chǎn)品的擴(kuò)展

    5.2.1認(rèn)證證書覆蓋產(chǎn)品擴(kuò)展的申請

    認(rèn)證證書持有者需要增加已經(jīng)獲得認(rèn)證產(chǎn)品的認(rèn)證范圍時(shí)，應(yīng)向認(rèn)證機(jī)構(gòu)提出擴(kuò)展申請。

    5.2.2認(rèn)證證書覆蓋產(chǎn)品擴(kuò)展的評價(jià)與批準(zhǔn)

    認(rèn)證機(jī)構(gòu)應(yīng)核查擴(kuò)展產(chǎn)品與原認(rèn)證產(chǎn)品的一致性,確認(rèn)原認(rèn)證結(jié)果對擴(kuò)展產(chǎn)品的有效性，需要時(shí)應(yīng)針對差異做補(bǔ)充型式試驗(yàn)和/或工廠檢查，并根據(jù)認(rèn)證證書持有者的要求單獨(dú)頒發(fā)認(rèn)證證書或換發(fā)認(rèn)證證書。

    5.3認(rèn)證證書的暫停、注銷和撤消

    按《強(qiáng)制性產(chǎn)品認(rèn)證證書注銷、暫停和撤銷實(shí)施規(guī)則》的要求執(zhí)行。在認(rèn)證證書暫停期間及認(rèn)證證書注銷和撤銷后，企業(yè)不得繼續(xù)使用證書。

    6．強(qiáng)制性產(chǎn)品認(rèn)證標(biāo)志的使用

    證書持有者必須遵守《強(qiáng)制性產(chǎn)品認(rèn)證標(biāo)志管理辦法》的規(guī)定。

    6.1準(zhǔn)許使用的標(biāo)志樣式

    6.2變形認(rèn)證標(biāo)志的使用

    本規(guī)則覆蓋的產(chǎn)品不允許使用任何形式的變形認(rèn)證標(biāo)志。

    6.3加施方式

    可以采用國家統(tǒng)一印制的標(biāo)準(zhǔn)規(guī)格標(biāo)志、模壓或銘牌印刷三種方式中的任何一種。

    采用模壓或銘牌印刷時(shí)，其使用方案應(yīng)報(bào)國家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)批準(zhǔn)的強(qiáng)制性產(chǎn)品認(rèn)證標(biāo)志發(fā)放與管理機(jī)構(gòu)核準(zhǔn)。

    6.4標(biāo)志位置

    軟件產(chǎn)品應(yīng)在其軟件包裝/載體上加施認(rèn)證標(biāo)志，如該軟件產(chǎn)品不使用包裝/載體，則應(yīng)在軟件使用的《許可協(xié)議》中的顯著位置明確該產(chǎn)品已獲中國強(qiáng)制性產(chǎn)品認(rèn)證（CCC認(rèn)證）。

    7．收費(fèi)

    收費(fèi)由認(rèn)證機(jī)構(gòu)、實(shí)驗(yàn)室按國家有關(guān)規(guī)定統(tǒng)一收取。 

    附件1：