IT产品信息安全认证-可龙服务

IT产品信息安全认证

[参考官网：中国网络安全审查技与认证中心 http://www.isccc.gov.cn]

(1)工控产品

1．适用范围

本规则适用于中国网络安全审查技术与认证中心（CCRC）针对工控产品开展的信息安全认证。工控产品包括工控安全专用产品和工控设备或系统产品。其中工控安全专用产品包括但不限于工业控制系统专用防火墙、工业控制网络安全隔离与信息交换系统、工业控制系统网络审计产品、工业控制系统网络监测产品、工业控制系统漏洞检测产品、工业控制系统入侵检测产品、工业控制系统安全管理平台等。工控设备或系统产品包括但不限于工控 RTU、PLC、DCS、SCADA 等。

2．认证模式

型式试验 + 获证后监督

3．认证的基本环节

3.1 认证申请及受理

3.2 文档审核

3.3 型式试验委托及实施

3.4 认证结果评价与批准

3.5 获证后监督

4．认证实施

4.1 认证流程

申请方向认证机构申请认证，认证机构在接收到申请方的认证申请后，审核申请资料，确认符合要求后向申请方选择的实验室安排检测任务，并通知申请方按照要求送样。实验室依据相关标准和/或技术规范进行检测，并在完成检测后向认证机构提交型式试验报告。认证机构对型式试验、文件审核等内容进行综合评价，并在认证决定评价合格后向申请方颁发认证证书。认证机构组织对获证后的产品进行定期的监督。

4.2 认证申请及受理申请方向认证机构递交认证申请，并按要求提交相关资料，认证机构对资料进行初审，确定申请方提交资料满足要求后，受理该申请。

5．认证时限

认证时限是指自申请被正式受理之日起至颁发认证证书时止所实际发生的工作日，一般在 45-60 个工作日内。整改时间不计算在内。

6．认证证书

6.1 认证证书的保持

6.1.1 证书的有效性

证书有效期为 3 年。在有效期内，通过每年对获证后的产品进行监督确保认证证书的有效性。

6.2 认证证书的变更

6.2.1 变更的申请

获证后的产品，如果其生产厂、证书持有者等发生变化时，应向认证机构提出变更申请。

6.2.2 变更申请的评价与批准

认证机构根据变更的内容和提供的资料进行审核后予以变更。

6.2.3 证书的有效期

证书在进行变更后，其有效期与原证书一致。

6.3 认证证书覆盖产品的扩展

6.3.1 认证证书覆盖产品扩展申请

认证证书持有者需要增加已经获得认证产品的认证范围时，应向认证机构提出扩展申请，并提交扩展产品和原认证产品之间的差异说明。

6.3.2 认证证书覆盖产品扩展的评价与批准

认证机构应核查扩展产品与原认证产品的一致性，确认原认证结果对扩展产品的有效性，需要时应针对差异做补充检测，并根据认证证书持有者的要求单独颁发认证证书或换发认证证书。

6.3.3 证书的有效期

证书在进行扩展后，其有效期与原证书一致。

6.4 认证证书的暂停、注销和撤销

认证证书的认证暂停、注销和撤销按照《产品认证授予、保持、更新、

扩大、缩小、暂停、恢复、注销、撤销程序》规定执行。

6.5 获证产品名录的发布

认证机构按相关规定对外公布获证产品的信息，包括：

l 产品名称、型号、版本；

l 认证委托人名称、地址；

l 认证依据的标准、规范；

l 发证日期及证书状态。

7. 认证标志的使用

7.1 认证标志的样式

7.2 认证标志的使用

认证标志在使用时可以等比例的放大或缩小。但是不允许变形或变色。

7.3 加施位置

应在产品本体的铭牌附近加施认证标志。软件产品应在其软件包装/载体上加施认证标志，如该软件产品不使用包装/载体，则应在软件使用的《许可协议》中的显著位置明确该产品已获认证机构认证。

（备注：因标准条件内容较多，不此作详细列举；如企业需要，可登录官方网站查询或以邮件方式向我司索取。）

(2)物联网终端产品

1．适用范围

本规则适用于中国网络安全审查技术与认证中心（CCRC）针对物联网终端产品开展的信息安全认证。物联网终端是物联网中连接传感网络层和传输网络层，实现采集数据及向网络层发送数据的设备。包括但不限于一般物联网感知终端、物联网感知层网关、智能家居、智能可穿戴、智能出行设备、智能安防设备、智能交通设备等。

2．认证模式

型式试验 + 获证后监督

3．认证的基本环节

3.1 认证申请及受理

3.2 文档审核

3.3 型式试验委托及实施

3.4 认证结果评价与批准

3.5 获证后监督

4．认证实施

4.1 认证流程

申请方向认证机构申请认证，认证机构在接收到申请方的认证申请后，审核申请资料，确认符合要求后向申请方选择的实验室安排检测任务，并通知申请方按照要求送样。实验室依据相关标准和/或技术规范进行检测，并在完成检测后向认证机构提交检测报告。认证机构对型式试验、文件审核进行综合评价，并在认证决定评价合格后向申请方颁发认证证书。认证机构组织对获证后的产品进行定期的监督。

4.2 认证申请及受理

申请方向认证机构递交认证申请，并按要求提交相关资料，认证机构对资料进行初审，确定申请方提交资料满足要求后，受理该申请。

5．认证时限

认证时限是指自申请被正式受理之日起至颁发认证证书时止所实际发生的工作日，一般在 45-60 个工作日内。整改时间不计算在内。

6．认证证书

6.1 认证证书的保持

6.1.1 证书的有效性

证书有效期为 3 年。在有效期内，通过每年对获证后的产品进行监督确保认证证书的有效性。

6.2 认证证书的变更

6.2.1 变更的申请

获证后的产品，如果其生产厂、证书持有者等发生变化时，应向认证机构提出变更申请。

6.2.2 变更申请的评价与批准

认证机构根据变更的内容和提供的资料进行审核后予以变更。

6.2.3 证书的有效期

证书在进行变更后，其有效期与原证书一致。

6.3 认证证书覆盖产品的扩展

6.3.1 认证证书覆盖产品扩展申请

认证证书持有者需要增加已经获得认证产品的认证范围时，应向认证机构提出扩展申请，并提交扩展产品和原认证产品之间的差异说明。

6.3.2 认证证书覆盖产品扩展的评价与批准

6.3.3 证书的有效期

证书在进行扩展后，其有效期与原证书一致。

6.4 认证证书的暂停、注销和撤销

认证证书的认证暂停、注销和撤销按照《产品认证授予、保持、更新、扩大、缩小、暂停、恢复、注销、撤销程序》规定执行。

6.5 获证产品名录的发布

认证机构按相关规定对外公布获证产品的信息，包括：产品名称、型号、版本；认证委托人名称、地址；认证依据的标准、规范；发证日期及证书状态。

7. 认证标志的使用

7.1 认证标志的样式

示例 1 物联网终端产品认证标志

7.2 认证标志的使用

认证标志在使用时可以等比例的放大或缩小。但是不允许变形或变色。

7.3 加施位置

（备注：因标准条件内容较多，不此作详细列举；如企业需要，可登录官方网站查询或以邮件方式向我司索取。）

(3)云计算安全防护产品

1．适用范围

本规则适用于中国网络安全审查技术与认证中心（CCRC）针对云计算安全防护产品开展的信息安全认证。云计算安全防护产品是以软件版本方式或以互联网方式交付的，为云平台或其他云计算环境下的系统提供包括但不限于抗拒绝服务攻击、web应用安全防护、内容过滤、虚拟防火墙、网络脆弱性检测、主机安全防护、网络入侵检测等一种或多种安全防护组件的产品，并同时能够实现安全防护组件的自动化部署、授权自动分发、集中管控、日志统一收集等功能。以软件版本方式交付的产品是指云计算开发商向其客户交付一个具体的软件版本，传统的软件产品交付模式大多是这种方式。此情况在私有云场景下比较典型。以互联网方式交付的产品是指在互联网上部署，快速迭代的方式开发和发布，此情况在公有云场景下比较典型。

2．认证模式

型式试验 + 初始工厂检查（如适用）+ 获证后监督

3．认证的基本环节

3.1 认证申请及受理

3.2 文档审核

3.3 型式试验委托及实施

3.4 初始工厂检查（如适用）

3.5 认证结果评价与批准

3.6 获证后监督

4．认证实施

4.1 认证流程

申请方向认证机构申请认证，认证机构在接收到申请方的认证申请后，审查申请资料，确认合格后向申请方选择的实验室安排检测任务，并通知申请方根据要求送样。实验室依据相关标准和/或技术规范进行检测，并在完成检测后向认证机构提交检测报告。认证机构对检测报告审查合格后，需要时由认证机构组织进行初始工厂检查。认证机构对型式试验、初始工厂检查结果（如适用）进行综合评价，并在认证决定评价合格后向申请方颁发认证证书。认证机构组织对获证后的产品进行定期的监督。

4.2 认证申请及受理

申请方向认证机构递交认证申请，并按要求提交相关资料，认证机构对资料进行初审，确定申请方提交资料满足要求后，受理该申请。

5．认证时限

认证时限是指自申请被正式受理之日起至颁发认证证书时止所实际发生的工作日，一般在 90 个工作日内，最长不超过 150 个工作日。整改时间不计算在内。

6．认证证书

6.1 认证证书的保持

6.1.1 证书的有效性

证书有效期为 3 年。在有效期内，通过每年对获证后的产品进行监督确保认证证书的有效性。

6.2 认证证书的变更

6.2.1 变更的申请

获证后的产品，如果其生产厂、证书持有者等发生变化时，应向认证机构提出变更申请。本规则覆盖的产品认证证书，如果其产品发生以下变更时，应向本中心提出变更申请：

1）认证产品的商标，持证人、制造商或生产厂（名称和/或地址、质量保障体系等）发生变化；

2）认证产品涵盖的安全防护组件发生变更时，应重新申请或变更申请。

3）其他影响认证结果的因素变更。

6.2.2 变更申请的评价与批准

认证机构根据变更的内容和提供的资料进行审核后予以变更。

6.2.3 证书的有效期

证书在进行变更后，其有效期与原证书一致。

6.3 认证证书覆盖产品的扩展

6.3.1 认证证书覆盖产品扩展申请

认证证书持有者需要增加已经获得认证产品的认证范围时，应向认证机构提出扩展申请，并提交扩展系列产品和原认证产品之间的差异说明。

6.3.2 认证证书覆盖产品扩展的评价与批准

6.3.3 证书的有效期

证书在进行扩展后，其有效期与原证书一致。

6.4 认证证书的暂停、注销和撤销

按认证机构的认证暂停、注销和撤销的相关规定执行。

6.5 获证产品名录的发布

认证机构按相关规定对外公布获证产品的信息，包括：产品名称、型号、版本；认证托人名称、地址；认证依据的标准、规范；发证日期及证书状态。

7认证标志的样式

7 .1认证标志的使用

7.2 认证标志的使用

认证标志在使用时可以等比例的放大或缩小。但是，不允许变形或变色。

7.3 加施位置

8 收费

认证费用依据国家有关规定收取。

（备注：因标准条件内容较多，不此作详细列举；如企业需要，可登录官方网站查询或以邮件方式向我司索取。）

(4)智能卡类产品

1．适用范围

本规则适用于智能卡类产品：（1）集成电路（IC）卡芯片；（2）智能卡产品，包括 IC 卡芯片+嵌入式软件；（3）Java COS 产品；（4）项目定制产品 Java USIM 卡和 Native USIM 卡；（5）其它经研判适用的产品。

2．认证模式

型式试验 + 初始工厂检查+ 获证后监督

3．认证的基本环节

3.1 认证申请及受理

3.2 文档审核

3.3 型式试验委托及实施

3.4 初始工厂检查

3.5 认证结果评价与批准

3.6 获证后监督

4．认证实施

4.1 认证流程

申请方向认证机构申请认证，认证机构在接收到申请方的认证申请后，审查申请资料，确认合格后向申请方选择的实验室安排检测任务，并通知申请方根据要求送样。实验室依据相关标准和/或技术规范进行检测和评估，并在完成检测后向认证机构提交报告。认证机构对检测报告审查合格后，组织进行初始工厂检查。完成初始工厂检查后，实验室向认证机构提交评估技术报告。认证机构对检测结果、初始工厂检查和评估结果进行综合评价，并在认证决定评价合格后向申请方颁发认证证书。认证机构组织对获证后的产品进行定期的监督。

4.2 认证申请及受理

申请方向认证机构递交认证申请，并按要求提交相关资料，认证机构对资料进行初审，确定申请方提交资料满足要求后，受理该申请。

4.2.1 认证单元划分

原则上按产品型号/版本申请认证。如果不同型号/版本之间的差异不影响产品满足标准的要求，可作为一个认证单元申请认证。

4.2.2 申请资料要求

申请方在申请产品认证时，应至少提交以下资料：

1）申请基本信息：

l 认证申请书；

l 申请方声明；

l 相关法律地位证明材料（复印件）。

2）产品相关说明：

l 产品研制主要技术人员情况表；

l 产品测试技术人员情况表；

l 产品测试使用的主要设备表；

l 中文铭牌和警告标记（如适用）；

l 同一认证单元中不同产品间的差异说明（如适用）；

l 产品密码检测合格证书（如适用）。

3）安全保障要求方面的文档：

l 安全目标；

l 生命周期支持；

l 开发；

l 指导性文档；

l 测试；

l 脆弱性评定（如适用）

4.3 文档审核

认证机构对申请方提交的资料和文档，根据相关标准和/或技术规范进行审核。

5．认证主要环节的时限

申请方的资料齐全并符合标准要求的情况下，受理时间为 5 个工作日。型式试验阶段一般为120个工作日，整改时间不计算在内。检测报告、工厂检查报告和评估技术报告审核时间一般不超过 15 个工作日。如果报告或者申请方提交的文档需要修改，再次提交后，审核时间重新计算。认证结果评价与批准一般不超过 10 个工作日。

6．认证证书

6.1 认证证书的保持

6.1.1 证书的有效性

证书有效期为 3 年。在有效期内，通过每年对获证后的产品进行监督确保认证证书的有效性。

6.2 认证证书的变更

6.2.1 变更的申请

获证后的产品，如果其生产厂、证书持有者等发生变化时，应向认证机构提出变更申请。

6.2.2 变更申请的评价与批准

认证机构根据变更的内容和提供的资料进行审核后予以变更。

6.2.3 证书的有效期

证书在进行变更后，其有效期与原证书一致。

6.3 认证证书覆盖产品的扩展

6.3.1 认证证书覆盖产品扩展申请

认证证书持有者需要增加已经获得认证产品的认证范围时，应向认证机构提出扩展申请，并提交扩展产品和原认证产品之间的差异说明。

6.3.2 认证证书覆盖产品扩展的评价与批准

认证机构应核查扩展产品与原认证产品的一致性，确认原认证结果对扩展产品的有效性，需要时应针对差异做补充测试，并根据认证证书持有者的要求单独颁发认证证书或换发认证证书。

6.3.3 证书的有效期

证书在进行扩展后，其有效期与原证书一致。

6.4 认证证书的暂停、注销和撤销

按认证机构的认证暂停、注销和撤销的相关规定执行。

6.5 获证产品名录的发布

认证机构按相关规定对外公布获证产品的信息，包括：

l 产品名称、型号、版本；

l 认证委托人名称、地址；

l 认证依据的标准、规范；

l 发证日期及证书状态。

7 认证标志的使用

7.1 认证标志的样式

7.2 认证标志的使用

认证标志在使用时可以等比例的放大或缩小。但是，不允许变形或变色。

7.3 加施位置

8 收费

认证费用依据国家有关规定收取。

（备注：因标准条件内容较多，故不此作详细列举；如企业需要，可登录官方网站查询或以邮件方式向我司索取。）

(5)评估保障级（EAL）

1．适用范围

本规则适用于中国网络安全审查技术与认证中心（CCRC）针对信息技术产品开展的基于评估保障级（EAL）的信息安全认证，对已有特定实施规则的产品应遵循相应实施规则。

2．认证模式

模式 1：型式试验 + 获证后监督

模式 2：型式试验 + 初始工厂检查 + 获证后监督

说明：当认证产品的安全保障要求级别为 EAL3 级及以上级别时，认证模式为模式。

3．认证的基本环节

3.1 认证申请及受理

3.2 文档审核

3.3 型式试验委托及实施

3.4 初始工厂检查（模式 2）

3.5 认证结果评价与批准

3.6 获证后监督

4．认证实施

4.1 认证流程

申请方向认证机构申请认证，认证机构在接收到申请方的认证申请后，审查申请资料，确认合格后向申请方选择的实验室安排测评任务，并通知申请方根据要求送样。实验室依据相关标准和/或技术规范进行测评，并在完成测评后向认证机构提交测评报告。认证机构对测评报告审查合格后，需要时由认证机构组织进行初始工厂检查。认证机构对型式试验、初始工厂检查结果（模式 2）进行综合评价，并在认证决定评价合格后向申请方颁发认证证书。认证机构组织对获证后的产品进行定期的监督。

4.2 认证申请及受理

申请方向认证机构递交认证申请，并按要求提交相关资料，认证机构对资料进行初审，确定申请方提交资料满足要求后，受理该申请。

4.2.1 认证的单元划分

原则上按产品型号/版本申请认证。

4.2.2 申请资料要求

申请方在申请产品认证时，应至少提交以下资料：

1）申请基本信息：

l 认证申请书；

l 申请方声明；

l 相关法律地位证明材料（复印件）。

2）产品相关说明：

l 中文产品功能说明书和/或使用手册；

l 产品研制主要技术人员情况表；

l 产品测试技术人员情况表；

l 产品测试使用的主要设备表（如适用）；

l 中文铭牌和警告标记（如适用）；

l 产品密码检测合格证书（如适用）。

3）安全保障要求方面的文档：

l 安全目标文档；

l 生命周期支持文档；

l 开发文档；

l 指导性文档；

l 测试文档；

l 脆弱性评定文档（如适用）。

上述文档参考《EAL1-EAL5级认证评估文档编写指南》和《EAL1-EAL5级ST文档编写指南》编制。

4.3 文档审核

对申请方提交的资料和文档，根据相关标准和/或该产品的技术规范进行审核。

5．认证时限

6．认证证书

6.1 认证证书的保持

6.1.1 证书的有效性

证书有效期为 3 年。在有效期内，通过每年对获证后的产品进行监督确保认证证书的有效性。

6.2 认证证书的变更

6.2.1 变更的申请

获证后的产品，如果其生产厂、证书持有者等发生变化时，应向认证机构提出变更申请。

6.2.2 变更申请的评价与批准

认证机构根据变更的内容和提供的资料进行审核后予以变更。

6.2.3 证书的有效期

证书在进行变更后，其有效期与原证书一致。

6.3 认证证书覆盖产品的扩展

6.3.1 认证证书覆盖产品扩展申请

认证证书持有者需要增加已经获得认证产品的认证范围时，应向认证机构提出扩展申请，并提交扩展产品和原认证产品之间的差异说明。

6.3.2 认证证书覆盖产品扩展的评价与批准

认证机构应核查扩展产品与原认证产品的一致性，确认原认证结果对扩展产品的有效性，需要时应针对差异做补充测评，并根据认证证书持有者的要求单独颁发认证证书或换发认证证书。

6.3.3 证书的有效期

证书在进行扩展后，其有效期与原证书一致。

6.4 认证证书的暂停、注销和撤销

按认证机构的认证暂停、注销和撤销的相关规定执行。

6.5 获证产品名录的发布

认证机构按相关规定对外公布获证产品的信息，包括：

l 产品名称、型号、版本；

l 认证委托人名称、地址；

l 认证依据的标准、规范；

l 发证日期及证书状态。

7 认证标志的使用

7.1 认证标志的样式

X 表示信息安全认证有关评估保障级别对应的数字，取值为“1”、“2”、“3”、“4”或者“5”。X+代表相应级别增强级。

7.2 认证标志的使用

认证标志在使用时可以等比例的放大或缩小。但是，不允许变形或变色。

7.3 加施位置

8 收费

认证费用依据国家有关规定收取。

（备注：因标准条件内容较多，不此作详细列举；如企业需要，可登录官方网站查询或以邮件方式向我司索取。）

(6) 一般产品

1．适用范围

本规则适用于中国网络安全审查技术与认证中心（CCRC）针对一般信息技术产品开展的信息安全认证，对已有特定实施规则的产品应遵循相应实施规则。

2．认证模式

型式试验 + 获证后监督

3．认证的基本环节

3.1 认证申请及受理

3.2 文档审核

3.3 型式试验委托及实施

3.4 认证结果评价与批准

3.5 获证后监督

4．认证实施

4.1 认证流程

4.2 认证申请及受理

申请方向认证机构递交认证申请，并按要求提交相关资料，认证机构对资料进行初审，确定申请方提交资料满足要求后，受理该申请。

4.2.1 认证的单元划分

原则上按产品名称、型号/版本申请认证。

4.2.2 申请资料要求

1申请方在申请产品认证时，应至少提交以下资料：

1）申请基本信息：

l 认证申请书；

l 申请方声明；

l 相关法律地位证明材料（复印件）。

2）产品相关说明：

l 中文产品功能说明书和/或使用手册；

l 产品研制主要技术人员情况表；

l 产品测试技术人员情况表；

l 产品测试使用的主要设备表（如适用）；

l 中文铭牌和警告标记（如适用）；

l 产品密码检测合格证书（如适用）。

3）安全保障要求方面的文档：

l 生命周期支持；

l 开发；

l 指导性文档；

l 测试。

4.3 文档审核

对申请方提交的资料和文档，根据相关标准和/或该产品的技术规范进行审核。

5．认证时限

认证时限是指自申请被正式受理之日起至颁发认证证书时止所实际发生的工作日，一般在 45-60 个工作日内。整改时间不计算在内。

6．认证证书

6.1 认证证书的保持

6.1.1 证书的有效性

证书有效期为 3 年。在有效期内，通过每年对获证后的产品进行监督确保认证证书的有效性。

6.2 认证证书的变更

6.2.1 变更的申请

获证后的产品，如果其生产厂、证书持有者等发生变化时，应向认证机构提出变更申请。

6.2.2 变更申请的评价与批准

认证机构根据变更的内容和提供的资料进行审核后予以变更。

6.2.3 证书的有效期

证书在进行变更后，其有效期与原证书一致。

6.3 认证证书覆盖产品的扩展

6.3.1 认证证书覆盖产品扩展申请

认证证书持有者需要增加已经获得认证产品的认证范围时，应向认证机构提出扩展申请，并提交扩展产品和原认证产品之间的差异说明。

6.3.2 认证证书覆盖产品扩展的评价与批准

5认证机构应核查扩展产品与原认证产品的一致性，确认原认证结果对扩展产品的有效性，需要时应针对差异做补充检测，并根据认证证书持有者的要求单独颁发认证证书或换发认证证书。

6.3.3 证书的有效期

证书在进行扩展后，其有效期与原证书一致。

6.4 认证证书的暂停、注销和撤销

认证证书的认证暂停、注销和撤销按照《产品认证授予、保持、更新、扩大、缩小、暂停、恢复、注销、撤销程序》规定执行。

6.5 获证产品名录的发布

认证机构按相关规定对外公布获证产品的信息，包括：

l 产品名称、型号、版本；

l 认证委托人名称、地址；

l 认证依据的标准、规范；

l 发证日期及证书状态。

7. 认证标志的使用

示例 1 认证标志

7.1 认证标志的样式

7.2 认证标志的使用

认证标志在使用时可以等比例的放大或缩小。但是，不允许变形或变色。

7.3 加施位置

服务支持

IT产品信息安全认证 [参考官网：中国网络安全审查技与认证中心 http://www.isccc.gov.cn]

(1)工控产品

(2)物联网终端产品

(3)云计算安全防护产品

(4)智能卡类产品

(5)评估保障级（EAL）

(6) 一般产品

IT产品信息安全认证

[参考官网：中国网络安全审查技与认证中心 http://www.isccc.gov.cn]