国家信息安全产品认证

合集下载

国家信息安全产品认证流程详解

国家信息安全产品认证流程详解国家信息安全产品认证是指根据国家有关法律法规和技术标准，对信息安全类产品进行评估和认证的过程。

它是确保信息系统安全与可靠的重要手段，旨在提高信息系统的安全性、保护国家利益和个人隐私。

国家信息安全产品认证流程主要包括申请、测试和评估、认证和颁发证书等步骤。

下面将详细介绍每个步骤的内容。

首先是申请阶段。

在该阶段，申请人需要根据《国家信息安全产品认证管理规范》的要求，准备相关资料并填写申请表格。

申请表格需要包括产品的详细介绍、技术文档、用户手册等材料。

申请人还需要提供所需的费用，并签署保密协议。

接下来是测试和评估阶段。

在这个阶段，申请人需要将产品送往国家信息安全认证中心或授权的测试实验室进行测试。

测试范围包括功能测试、性能测试、安全性测试等。

这些测试是按照国家相关技术标准进行的，以评估产品是否符合规定的安全要求。

测试和评估阶段要求申请人提供产品的详细设计文档、源代码等材料，以便评估人员进行安全性分析和漏洞检测。

评估人员还会进行安全性测试和渗透测试，以验证产品的抗攻击能力和安全性能。

在测试和评估阶段结束后，评估人员将综合评估结果向申请人提供认证报告。

该报告包括产品的测试结果、安全性评估以及产品存在的安全风险和建议改进措施等内容。

评估报告是申请人获得认证的关键依据。

然后是认证阶段。

在该阶段，申请人需要将评估报告和其他所需资料提交给国家信息安全认证委员会。

认证委员会将对申请人提交的材料进行审核，并进行认证决策。

如果产品通过了认证的所有评估和测试，符合国家相关标准和要求，认证委员会会颁发认证证书。

最后是颁发证书阶段。

在这个阶段，认证委员会会向申请人颁发认证证书，证书上会标明产品的认证类别、有效期限等信息。

申请人可以在证书的有效期内使用认证标志，并在产品宣传、包装、广告等相关材料中使用认证标识，对认证结果进行宣传和推广。

需要注意的是，国家信息安全产品认证具有时效性，认证证书的有效期通常为一年。

国家信息安全产品认证获证名单

有限公司杭州迪普科技
有限公司成都三零盛安信息系统有限
公司成都三零盛安信息系统有限
公司成都三零盛安信息系统有限
公司北京山石网科信息技术有限
公司北京安氏领信科技发展有限
公司北京安氏领信科技发展有限
公司
发证时间 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28
（万兆）
网神 SecIDS3600 入侵检测系统 V4.0 （千兆）
第三级
网神 SecGate3600 防火墙 V3.6.6.（0 千第二级
兆）
SecFox 安全管理系统（安全审计产品）基本级
V1.0
网神 SecSIS3600 安全隔离与信息交换系统(V2.0)
第二级
捷普防火墙 F4000/V4.0（百兆）
公司
发证时间 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28 2009-8-28
证书状态
有效有效有效有效有效有效有效有效有效有效有效有效
第二级
H3C SecPath?千兆防火墙 V3
第二级
迪普?DPtech?百兆防火墙 V1
第二级
迪普?DPtech?千兆防火墙 V1
第二级
鹰眼安全审计系统 NSAS/V5
基本级
鹰眼主页防篡改系统 PPS/V6.0

国家信息安全产品认证获证名单(终审稿)

63
NetEye 入侵检测系统 NetEye IDS 2100/V2.2（百兆）
第三级
系统集成工程
20104-29
有效
有限
公司
序号
证书号
产品名称及型号/版本
获证申请发证证书级别方时间状态
沈阳
东软
64
东软 NetEye 集成安全网关 NISG 5000/V4.2（百兆）（防火墙产品）
第二级
星云信息技术
20104-30
有效
有限
公司
深圳
市金
68
物理隔离卡 J630/V6.0
增强级
利谱信息技术
20105-17
有效
有限
公司
序号
证书号
产品名称及型号/版本
获证申请发证证书级别方时间状态
四川
天之
69
天之门安全网关 FlowGate/V5.0（千兆）（防火墙产品）
第二信息 2009级安全 8-28
有效
技术
有限
公司
北京
启明
星辰
2
天清汉马 USG 防火墙 USG-2000C/V2.6 第二信息 2009-
（千兆）
级安全 8-28
有效
技术
有限
公司
北京
启明
星辰
3
天清汉马 USG 防火墙 USG10000E/V2.6（万兆）
第二信息 2009级安全 8-28
第三级
系统集成工程
20104-29
有效
有限
公司
沈阳
东软
65
NetEye 防火墙 FW5120/V3.2（百兆）

中国信息安全认证中心

中国信息安全认证中心中国信息安全认证中心（China Information Security Certification Center，简称“CISCC”）是中国专门从事信息安全认证和相关技术服务的国家级机构。

成立于1998年，是经中华人民共和国认证认可监管部门批准设立的、具有独立法人资格的非营利性社会组织，隶属于国家利益的领域。

其宗旨是保护信息安全，提高信息安全水平，促进经济社会的可持续发展。

一、机构架构CISCC主要由认证与评估部、密码与安全技术部、科学技术研究部、信息安全应急联动中心、证书管理中心等五个部门构成。

其中认证与评估部是其核心部门，承担着对各类信息系统的安全认证、安全评估等任务。

二、业务范围1. 认证服务CISCC在信息安全认证方面具有多年的经验和技术积累，拥有国际领先的信息安全认证服务。

其认证业务主要包括以下几个方面：1.1. 信息系统安全等级保护评估认证信息系统安全等级保护是国家强制性的安全保护措施之一，对于各类重要信息系统的安全防护来说至关重要。

CISCC 的信息系统安全等级保护评估认证业务主要包括：（1）信息系统安全等级评估认证；（2）信息系统安全防护产品安全等级评估认证；（3）信息安全等级保护培训和咨询。

1.2. 信息安全管理体系认证信息安全管理体系认证是指在信息系统运行过程中，采用相关管理规范和标准，建立管理制度来保护信息资产的活动。

CISCC的信息安全管理体系认证业务主要包括：（1）ISO 27001信息安全管理体系认证；（2）GB/T 22080信息安全管理体系认证；（3）CISCC信息安全管理体系认证。

1.3. 其他信息安全认证CISCC的认证业务还包括其他信息安全认证项目，如：密码技术安全认证、市场网络安全评估、云计算安全认证等。

2. 技术服务CISCC的技术服务主要包括区块链技术、密码技术、信息安全应急服务等。

其技术服务专家团队由具有多年从业经验的专业技术人员组成，服务范围包括政府部门、企业、金融机构、电子政务和社会公益组织等。

TL9000国家信息安全产品认证质量控制程序

对标志的使用进行登记，对标志归档保管规范化管理。
5.程序
5.1国家信息安全标志申请
5.1.1根据《国家信息安全产品认证标志管理办法》中关于国家信息安全标志施加方法，公司将采取向指定机构申请购买国家信息安全标志。公司按照规定程序获得认证证书后，由生产部将有关资料如证书副本和申请书向指定机构申请购买国家信息安全标志或申请印刷模压国家信息安全标志。
e)确保不合格品和获证产品变更后未经认证机构确认，不加贴信息安全产品认证标志/认证标志；
4.2生产部
负责按计划与有关技术文件进行生产组装；
按规定对生产物料、半成品、成品实施检验或试验，对验证和确认的产品质量负责；
4.3质量员
负责通过国家信息安全认证的产品进行一致性确认；
负责按规定要求施加国家信息安全标志。并在有关记录中予以记录；
ＸＸＸＸＸ股份有限公司
ＸＸＸＸＸ有限公司
BD/QW-03-06
信息安全产品认证
质量控制程序
拟制：
审核：
批准：
版号：C/2
受控状态：内部使用
2013年9月10日发布2013年9月12日实施
ＸＸＸＸＸ股份有限公司
ＸＸＸＸＸ有限公司发布
1.目的
对认证标志的保管和使用以及产品一致性管理控制，以使认证产品持续符合规定的要求。
6.认证产品一致性的管理
6.1认证产品一致性的要求
6.1.1认证产品永久性的标志（商标、产品型号、出厂年月）和包装箱上的产品名称、型号规格等均应与型式试验报告、认证证书相一致。
6.1.2认证产品的结构（主要涉及安全性能的结构）应与型式试验样本相一致。
6.1.3认证产品所用的材料、关键件应与型式试验时申报并经认证机构所确认的相一致。

信息安全产品认证关键技术研究

究 ” 课题，研究了信息安全产品和提出了相应的保障措施，基本形成文化支持和安全功能弱的特点，课
服务能力认证关键技术及国内外目
了与国际接轨、适应中国国情的统题组编制了数据备份与恢复产品技
专题ｕｊｃＳｂｔｅ
编徐辑／航
信息安全产品认证关键技术研究
◎ 文／ ……‘ ………’ 杨晨杨建军： ………………………………………………………………………………………………………………………………・ … ＞
经过两年多的努力， “ 家重证的实施策略，并从信息安全认证国
１了课题预期研究目标，本文主要针出了信息安全认证流程、评价指标力评价分为两部分：（）服务过程
２）服务机构资对信息安全认证实施策略、信息安体系、测试方法等，开发了相应的质量的评价体系；（
份与恢复产品两种产品、信息安全对于推动我国信息安全认证工作的保证要求、测试评价方法和标准符
系统集成和信息安全应急响应服务开展具有重要意义。两种服务的服务能力认证和评价方合性测试环境等，以标准形式推动具备这些功能的该类产品的研发，系

国家信息安全产品认证流程详解 -回复

国家信息安全产品认证流程详解-回复以国家信息安全产品认证流程为主题，写一篇1500-2000字的文章。

国家信息安全产品认证是指为了保障国家信息安全，对相关产品进行测试和评估，并根据一定的标准对通过认证的产品进行认定的过程。

该认证流程旨在确保产品的安全性和可靠性，从而有效防范信息泄露和网络攻击等安全风险。

一、认证申请阶段1.确定申请产品范围：认证申请前，需明确申请产品的范围，包括产品的种类、版本等信息。

2.填写申请表格：申请者需要填写认证申请表格，包括产品的基本信息、功能描述、技术规范等内容。

3.提交材料：申请者需要将填写完整的申请表格及相关材料提交给认证机构，以备审核。

二、初审阶段1.初步审核：认证机构将对申请材料进行初步审核，确认是否符合认证要求。

2.现场测试准备：初审通过后，认证机构将与申请者联系，确定测试时间和地点，并要求申请者提供测试所需的环境和设备。

3.现场测试准备：初审通过后，认证机构将与申请者联系，确定测试时间和地点，并要求申请者提供测试所需的环境和设备。

三、测试评估阶段1.现场测试：认证机构将对申请产品进行测试，其中包括功能测试、性能测试、安全测试等。

2.测试结果评估：认证机构将根据测试结果对申请产品进行评估，并与申请者进行沟通，了解产品的安全性和可靠性。

3.问题解决：如果在测试过程中发现问题，认证机构将与申请者协商解决措施，并要求申请者对问题进行修复和改进。

四、认证审查阶段1.技术评审：认证机构将对申请产品的技术规范、安全机制等进行评审，确保产品符合认证要求。

2.文件审查：认证机构将对申请产品的相关文件进行审查，包括产品的设计文档、用户手册等。

3.评估报告编写：认证机构将根据测试结果和审查意见编写评估报告，并提交给申请者。

五、认证颁发阶段1.管理层审查：认证机构的管理层将对评估报告进行审查，确定是否符合认证标准。

2.证书颁发：认证机构将于通过认证的产品颁发认证证书，并公布于认证机构的网站上。

信息安全产品强制性认证实施规则(安全隔离与信息交换)

编号：CNCA-11C-077:2009信息安全产品强制性认证实施规则安全隔离与信息交换产品2009-04-27发布 2009-05-01实施中国国家认证认可监督管理委员会发布目录1．适用范围 (1)2．认证模式 (1)3．认证的基本环节 (1)3.1认证申请及受理 (1)3.2型式试验委托及实施 (1)3.4初始工厂检查 (1)3.5认证结果评价与批准 (1)3.6获证后监督 (1)4．认证实施 (1)4.1认证程序 (1)4.2认证申请及受理 (2)4.3型式试验委托及实施 (3)4.4初始工厂检查 (4)4.5认证结果评价与批准 (5)4.6获证后监督 (5)5．认证证书 (7)5.1认证证书的保持 (7)5.2认证证书覆盖产品的扩展 (7)5.3认证证书的暂停、注销和撤消 (8)6．强制性产品认证标志的使用 (8)6.1准许使用的标志样式 (8)6.2变形认证标志的使用 (8)6.3加施方式 (8)6.4标志位置 (8)7．收费 (9)附件1： (10)附件2： (11)附件3： (12)附件4： (13)附件5： (14)1．适用范围本规则所指的安全隔离与信息交换产品是指能够保证不同网络之间在网络协议终止的基础上，通过安全通道在实现网络隔离的同时进行安全数据交换的软硬件组合。

本规则适用的产品范围为：安全隔离与信息交换产品。

拟用于涉密信息系统的上述产品，按照国家有关保密规定和标准执行，不适用本规则。

2．认证模式型式试验 + 初始工厂检查 + 获证后监督3．认证的基本环节3.1认证申请及受理3.2型式试验委托及实施3.4初始工厂检查3.5认证结果评价与批准3.6获证后监督4．认证实施4.1认证程序申请方可选择集中受理或分段受理两种方式中任意一种进行认证证书申请，两种方式下获得的证书是等效的。

4.1.1集中受理流程申请方向指定的认证机构申请认证，认证机构对申请产品进行单元划分，并审查申请资料，确认合格后向实验室（由申请方自主从指定实验室名单中选取）安排检测任务。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

国家信息安全产品认证
流程详解
V2.0
中国信息安全认证中心制
发布日期：二〇一〇年九月八日
目录
1集中受理 (1)
1.1集中受理认证流程图 (1)
1.2认证申请 (1)
1.2.1获取申请书 (1)
1.2.2递交申请书 (1)
1.2.3资料审查 (1)
1.3申请方送样 (2)
1.3.1实验室选择 (2)
1.3.2送样原则和数量 (2)
1.3.3型式试验及报告提交 (2)
1.4申请方缴费 (2)
1.5初始工厂检查 (2)
1.6颁发证书 (2)
1.6.1认证决定 (2)
1.6.2颁发证书 (2)
1.6.3证书的有效性 (2)
1.6.4变更与扩展申请 (2)
1.6.5证书的暂停、注销和撤消 (2)
1.7证后监督 (2)
1.7.1监督的频次 (2)
1.7.2监督的内容 (3)
1.7.3获证后监督结果的评价 (3)
2分段受理 (4)
1集中受理
1.1集中受理认证流程图
集中受理认证流程如下图所示：
图1：集中受理认证流程图
1.2认证申请
1.2.1获取申请书
1)从中国信息安全认证中心网站(/)资料中心下载。

2)向中国信息安全认证中心索取。

1.2.2递交申请书
向中国信息安全认证中心提交认证申请书（包括申请书所要求的其他资料）纸质版1式2份，电子版1份。

含有密码技术的产品应向国家密码管理局指定检测实验室提交密码技术检测申请。

拟用于涉密信息系统的产品，按照国家有关保密规定和标准执行，不适用本申请指南。

1.2.3资料审查
中国信息安全认证中心在收到申请资料后对其进行审查，如果资料不符合要求，申请方
应按要求修改或补充；如果资料符合要求，进行单元划分。

单元划分完成后，中国信息安全认证中心向申请方发出送样通知。

1.3申请方送样
1.3.1实验室选择
申请方从指定实验室名单中，根据指定实验室的业务范围，自主选取检测实验室。

指定实验室及业务范围参见中国国家认证认可监督管理委员会公告（2009年第25号）。

1.3.2送样原则和数量
详见各个产品的认证实施规则。

1.3.3型式试验及报告提交
检测实验室完成检测后，将型式试验报告提交至中国信息安全认证中心。

1.4申请方缴费
申请方收到缴费通知后，向中国信息安全认证中心缴纳认证费用（不包括实验室检测费用）。

1.5初始工厂检查
工厂检查依据各个产品的认证实施规则进行，工厂检查包括信息安全保证能力、质量保证能力和产品一致性检查。

1.6颁发证书
1.6.1认证决定
中国信息安全认证中心依据相关标准和规范对申请资料、型式试验报告和工厂检查报告等进行综合评价，作出认证决定。

1.6.2颁发证书
证书制作完毕后，申请方可以自行到中国信息安全认证中心领取或委托中国信息安全认证中心邮寄。

同时，证书信息将在中国信息安全认证中心网站予以公告。

1.6.3证书的有效性
证书有效期为5年，证书有效期内，证书的有效性依据发证机构的定期监督获得维持。

1.6.4变更与扩展申请
详见各个产品的认证实施规则。

1.6.5证书的暂停、注销和撤消
详见各个产品的认证实施规则。

1.7证后监督
证书有效期为5年。

在有效期内，通过每年对获证后的产品进行监督确保认证证书的有效性。

1.7.1监督的频次
从获证后第12个月起进行第一次获证后监督，此后每12个月进行一次获证后监督。

必要情况下，认证机构可采取事先不通知的方式对生产厂实施监督。

必要时可增加监督频次，详见各个产品的认证实施规则。

1.7.2监督的内容
获证后监督的方式采用信息安全保证能力与质量保证能力的复查和认证产品一致性检查。

必要时可以抽取样品送实验室检测，具体操作办法详见各个产品的认证实施规则。

1.7.3获证后监督结果的评价
监督复查合格后，可以继续保持认证证书、使用认证标志。

对监督复查时发现的不符合项应在3个月内完成纠正措施。

逾期将撤销认证证书、停止使用认证标志，并对外公告。

2分段受理
申请方从指定实验室名单中，根据指定实验室的业务范围，自主选取检测实验室（指定实验室及业务范围参见中国国家认证认可监督管理委员会公告（2009年第25号）。

检测实验室在完成单元划分、型式试验后向中国信息安全认证中心提交型式试验报告。

型式试验报告经中国信息安全认证中心确认合格后，申请方向中国信息安全认证中心提交认证申请资料。

分段受理认证流程如下图所示：
图2：分段受理认证流程图。