IT 产品 信息安全 认证 实施规则(通用)
信息安全管理体系认证规则
信息安全管理体系认证规则信息安全管理体系认证是指通过评估和认证确认组织、企业或个人能够保护其信息资产得以长期稳定可靠地存在和运行,并保证成员、客户和合作伙伴的信息得以安全保护的管理体系。
这是企业或组织在信息化管理中对信息安全的一种保障。
信息安全管理体系认证规则包括以下内容:一、规定了信息安全管理体系的具体实施要求。
ISO27001:2005标准中所涉及的信息安全管理体系要素、要求和控制措施,以及实施这些要素、要求和控制措施的方法、程序、技术等等,都被认为是信息安全管理体系规则的具体实施要求。
二、规定了如何进行认证和评估。
在信息安全管理体系认证规则中,详细规定了如何进行评估和认证。
在评估和认证时,应使用ISO27001标准中制定的评估标准,采用规定的程序,对组织或企业的信息安全管理体系进行评估和认证。
三、规定了认证体系的建立和实施。
信息安全管理体系认证规则告诉企业或组织如何建立和实施信息安全管理体系认证体系,具体包括建立认证委员会、认证程序、认证员培训等等。
四、规定了认证周期和维护。
信息安全管理体系认证规则中规定了认证的周期和维护,在认证后,组织或企业需要定期进行维护,以保证其信息安全管理体系的有效性和有效性的持续性。
五、规定了认证的相关要求和规则。
信息安全管理体系认证规则不仅详细规定了认证的程序和实施要求,进一步细化了一系列相关要求和规则,以保证其认证结果的公正性和有效性。
六、规定了认证的结果和后续处理。
在认证过程中,必须根据规定的要求提供相关材料和信息,进行合理的解释,并在认证结果公布后进行后续处理。
此外,认证规则还规定了如何处理认证的非符合性,并对认证结果进行了规范化处理。
信息安全对于现代企业或组织来说极为重要,因此,深入了解信息安全管理体系认证规则,建立并实施有效的信息安全管理体系是保障企业信息安全的重要途径。
it治理通用要求(一)
it治理通用要求(一)IT治理通用要求概述IT治理是指为了保障信息技术的战略、风险和绩效目标的实现,通过制定和执行决策、规定和操作程序等手段,对信息技术进行有效管理和控制的一项工作。
IT治理通用要求是指在进行IT治理实施时,需要遵守的基本规则和要求。
本文将从不同方面对IT治理通用要求进行阐述,并举例说明。
1. 信息安全•要求1:保护信息资产的机密性、完整性和可用性。
–例子:企业需要确保敏感客户数据的保密性,防止未经授权的人员访问。
同时,必须确保数据的完整性,以防止数据篡改。
此外,还要保障数据的可用性,在系统发生故障时能够及时恢复。
•要求2:建立合理的访问控制机制。
–例子:企业应区分不同员工的访问权限,仅授权的人员才能访问特定的系统和数据。
这可以通过密码、身份验证等方式实现。
•要求3:确保项目按时、按质量要求交付。
–例子:在进行IT项目开发时,需要严格按照预定的时间和质量要求完成项目交付,确保项目能够按时上线,并满足用户的需求。
•要求4:建立项目管理机制,包括项目计划、任务分配、进度跟踪等。
–例子:为了保证项目的有效管理,需要制定详细的项目计划,明确各项任务的责任人,并通过进度跟踪及时发现和解决问题,保证项目进展顺利。
3. 风险管理•要求5:识别和评估IT系统可能面临的各种风险。
–例子:企业应对IT系统可能面临的风险进行全面的识别和评估,包括技术、安全、法规等方面的风险,并采取相应的措施进行防范和应对。
•要求6:建立完善的灾难恢复和业务连续性计划。
–例子:为降低因灾难事件导致的损失,企业需制定灾难恢复和业务连续性计划,明确各项任务和责任,确保在灾难发生时能够及时恢复业务。
•要求7:建立有效的供应商选择和管理机制。
–例子:企业在选择供应商时需要制定明确的选择标准,并建立供应商管理制度,包括评估供应商的能力和信誉、签订合同和监督履约等。
•要求8:定期对供应商进行评估和监控。
–例子:企业应定期对供应商进行评估,确保其继续符合业务需求和服务要求;同时需要对供应商的履约情况进行监控,确保合同条款的落实和履行。
国家信息安全产品认证流程详解
国家信息安全产品认证流程详解国家信息安全产品认证是指根据国家有关法律法规和技术标准,对信息安全类产品进行评估和认证的过程。
它是确保信息系统安全与可靠的重要手段,旨在提高信息系统的安全性、保护国家利益和个人隐私。
国家信息安全产品认证流程主要包括申请、测试和评估、认证和颁发证书等步骤。
下面将详细介绍每个步骤的内容。
首先是申请阶段。
在该阶段,申请人需要根据《国家信息安全产品认证管理规范》的要求,准备相关资料并填写申请表格。
申请表格需要包括产品的详细介绍、技术文档、用户手册等材料。
申请人还需要提供所需的费用,并签署保密协议。
接下来是测试和评估阶段。
在这个阶段,申请人需要将产品送往国家信息安全认证中心或授权的测试实验室进行测试。
测试范围包括功能测试、性能测试、安全性测试等。
这些测试是按照国家相关技术标准进行的,以评估产品是否符合规定的安全要求。
测试和评估阶段要求申请人提供产品的详细设计文档、源代码等材料,以便评估人员进行安全性分析和漏洞检测。
评估人员还会进行安全性测试和渗透测试,以验证产品的抗攻击能力和安全性能。
在测试和评估阶段结束后,评估人员将综合评估结果向申请人提供认证报告。
该报告包括产品的测试结果、安全性评估以及产品存在的安全风险和建议改进措施等内容。
评估报告是申请人获得认证的关键依据。
然后是认证阶段。
在该阶段,申请人需要将评估报告和其他所需资料提交给国家信息安全认证委员会。
认证委员会将对申请人提交的材料进行审核,并进行认证决策。
如果产品通过了认证的所有评估和测试,符合国家相关标准和要求,认证委员会会颁发认证证书。
最后是颁发证书阶段。
在这个阶段,认证委员会会向申请人颁发认证证书,证书上会标明产品的认证类别、有效期限等信息。
申请人可以在证书的有效期内使用认证标志,并在产品宣传、包装、广告等相关材料中使用认证标识,对认证结果进行宣传和推广。
需要注意的是,国家信息安全产品认证具有时效性,认证证书的有效期通常为一年。
IT部信息和数据资产安全管理规定(2篇)
IT部信息和数据资产安全管理规定以下是IT部门信息和数据资产安全管理规定的一些常见内容:1. 访问控制:IT部门需要建立适当的访问控制措施,包括用户身份验证、访问权限分配和权限管理等,以确保只有经过授权的人员能够访问和处理敏感信息和数据资产。
2. 密码安全:IT部门应制定密码安全管理政策,要求员工使用强密码,定期更改密码,并不得将密码泄露或与他人共享。
同时,还应启用多因素认证机制,增加登录的安全性。
3. 网络安全:IT部门需要采取措施保护公司的网络安全,包括实施防火墙、入侵检测和防护系统、安全补丁更新等,以防止未经授权的访问、攻击和数据泄露。
4. 数据备份与恢复:IT部门应定期进行数据备份,并建立合理的数据恢复机制,以保障数据的完整性和可用性。
同时,还要定期测试备份数据的还原过程,确保备份的有效性。
5. 安全审计与监控:IT部门需要建立安全审计和监控机制,监控系统和网络的安全事件和异常活动,及时发现并应对安全威胁和风险。
6. 信息安全培训和意识提升:IT部门应定期组织员工进行信息安全培训和意识提升,提醒员工对信息和数据资产的安全性负有责任,教育员工如何防范网络钓鱼、恶意软件等安全威胁。
7. 合规与法律要求:IT部门需要了解并遵守相关的法律法规和行业标准,确保信息和数据资产的安全性符合规定要求。
还需要对信息安全进行定期的风险评估和合规审查。
8. 安全事件应对与处置:IT部门应制定应急预案,以及安全事件和漏洞的快速响应机制,及时发现、报告和处理安全事件,最大程度减少损失。
请注意,不同组织的具体情况和要求可能会有所不同,因此IT部门需要根据自身情况制定适合的信息和数据资产安全管理规定,并不断更新和完善。
IT部信息和数据资产安全管理规定(二)第一章总则第一条为了保护公司的信息和数据资产的安全,确保信息系统正常运行和业务的连续性,维护客户利益,IT部门和所有的员工必须遵守本规定。
第二条本规定适用于公司的所有IT系统、网络设备和信息和数据资产。
通用准则CC标准与认证简介
下图阐述了认证的主要过程。
4
4.1
-PP:An implementation-independent set of security requirements for a category of TOEs that meet specific consumer need.
-满足特定用户需求、与一类TOE实现无关的一组安全要求。
3.3.1.1.7其他各种威胁
3.3.1.2在使用环境中对TOE的威胁
3.3.1.2.1与信息泄漏相关的威胁
3.3.1.2.2对象窃取相关的威胁
3.3.1.2.3与信息修改相关的威胁
3.3.2对TOE使用环境的威胁
3.4组织安全策略
3.2威胁
描述对资产的威胁
3.3组织安全策略
TOE必须遵守的组织安全策略
国内外已经对应用级防火墙、包过滤防火墙、智能卡、IDS、PKI等开发了相应的PP。
其内容见下图:
图表4保护轮廓内容
PP内容简述
注:该PP内容简述只是针对一般性PP而言,具体的PP可能会对内容略有变更。为了便于理解,增加了目前国内某一类TOE的PP作为索引。
项目
内容
对应的索引内容
1. PP引言
1.1 PP标识
3.2
编制和修订认证文档:
认证活动中最主要的一项工作就是提交并修订各类认证文档。认证文档所需的文档会根据所申请的EAL级别的不同而略有不同。但是一些常见的文档,如,功能规范、高层设计、低层设计等文档还是需要的。
TOE样品测试
TOE的样品测试也需要较长的时间。测试的依据就是提交的各类文档。
现场审查。
通过查阅文件和记录、现场观察和询问等方式进行现场审核。
GB4943-2001信息技术产品安全试验报告格式-2010实施规则
层数
—
抗电强度试验
(见附表5.2)
—
2.10.5.3 印制板
绝缘穿透距离
薄层材料抗电强度试验
(见附表5.2)
—
层数
2.10.5.4 绕组元件
层数
在元器件内接触角度在
450~900之间的两根导线
2.10.6
涂覆的印制板
2.10.6.1 一般要求
2.10.6.2 样品制备和预备试验
2.10.6.3 热循环试验
设备质量(kg),拉力(N)
—
纵向位移(mm)
—
3.2.7
机械损伤的保护
3.2.8
软线护套
D(mm)试验质量(g)
—
软线曲率半径(mm)
—
3.2.9
电源布线空间
3.3 3.3.1 3.3.2 3.3.3 3.3.4
3.3.5
3.3.6 3.3.7 3.3.8
外部导线用的接线端子 接线端子 不可拆卸电源线的连接 螺钉端接 连接的导线的尺寸 额定电流(A),软线/电缆类型, 截面积(mm2) 连线端子的尺寸 额定电流(A),类型和标称螺纹 直径(mm) 接线端子的设计 接线端子的装配 多股导线
3.4 3.4.1
交流电网电源的断接 一般要求
3.4.2 3.4.3 3.4.4 3.4.5 3.4.6 3.4.7 3.4.8 3.4.9 3.4.10 3.4.11
断接装置 永久性连接式设备 持续带电的零部件 软线上的开关 单相设备 三相设备 作为断接装置的开关 作为断接装置的插头 互连设备 多个电源
—
直径(mm)
2.6.4.2 保护接地导体和保护连接导体
的分离
2.6.5
保护接地的完整性
电子行业产品安全认证管理制度
电子行业产品安全认证管理制度在当今数字化时代,电子产品的普及和应用越来越广泛。
然而,由于电子产品的质量和安全问题成为用户和社会的关注焦点。
为了保障电子产品的质量和用户的安全,建立一个完善的电子行业产品安全认证管理制度势在必行。
一、背景电子产品安全认证管理制度的建立是为了解决电子产品的质量和安全问题。
电子产品的质量问题包括产品的设计、制造和使用过程中的缺陷,例如电池过热、电路故障等问题。
而电子产品的安全问题主要体现在用户的个人隐私和财产安全方面,例如网络攻击、恶意软件等问题。
二、目标电子行业产品安全认证管理制度的目标是确保电子产品的质量和用户的安全。
具体包括:1. 降低电子产品制造过程中的缺陷率,保证产品的可靠性和稳定性;2. 防止电子产品在使用过程中对用户造成损害或威胁用户的个人隐私和财产安全;3. 提升电子产品企业的竞争力,增加用户对产品的信任度。
三、制度架构为了实现电子行业产品安全认证管理制度的目标,需要建立以下制度架构:1. 产品设计和制造阶段的安全认证制度:要求电子产品企业在设计和制造电子产品时,按照安全标准和流程进行认证,包括产品的物理结构设计、电路设计、软件设计等方面的安全性评估;2. 产品销售和发布阶段的安全认证制度:要求电子产品企业在将产品销售和发布市场前,按照相关标准和规定进行安全认证,包括产品的质量测试、安全性测试等方面的评估;3. 产品使用和售后阶段的安全认证制度:要求电子产品企业在用户购买后,提供安全使用指南和售后服务,并及时跟踪和解决产品质量和安全问题。
四、认证标准制定电子行业产品安全认证管理制度需要参考国际标准和相关法律法规,确保认证的科学有效性和可操作性。
认证标准主要包括以下几个方面:1. 硬件安全标准:包括电子产品的物理结构设计、电路设计等方面的安全性要求;2. 软件安全标准:包括电子产品的软件设计、编码规范等方面的安全性要求;3. 通信安全标准:包括电子产品的网络通信安全、数据传输安全等方面的要求;4. 数据安全标准:包括电子产品使用过程中用户个人隐私和数据的保护要求。
it产品信息安全认证 分类分级标准
it产品信息安全认证分类分级标准"IT产品信息安全认证分类分级标准"是当今信息技术领域中备受关注的一个话题。
信息安全问题已经成为各行各业不可忽视的重要议题,特别是随着互联网和大数据时代的到来,对IT产品信息安全认证的需求更加迫切。
在这篇文章中,我们将从简单到复杂,由浅入深地探讨这一主题,以帮助读者全面领会IT产品信息安全认证分类分级标准的重要性和复杂性。
1. 背景介绍让我们先从IT产品信息安全认证的背景介绍开始。
随着信息技术的不断发展和普及,人们对个人隐私安全和数据保护的关注度越来越高。
网络安全事件的频发也使人们对IT产品信息安全认证的需求日益增加。
信息安全认证是指对IT产品在设计、研发、生产、销售和使用中,对信息安全性能、漏洞和缺陷进行评估、测试、鉴定和认证的活动。
在这一背景下,各国纷纷制定了一系列的信息安全认证标准和分类分级标准,以保障IT产品的安全性和可信度。
2. IT产品信息安全认证分类分级标准的重要性我们需要了解IT产品信息安全认证分类分级标准的重要性。
信息安全认证的分类分级标准不仅可以帮助企业和消费者选择具有高度可信度和安全性的IT产品,还可以指导IT企业开展信息安全保护工作,规范和促进信息化产品在安全性方面的发展。
信息安全认证分类分级标准还可以提升国家信息安全管理和监管的效能,防范和化解网络安全风险,维护国家和社会的信息安全和稳定。
对IT产品信息安全认证分类分级标准的重要性不言而喻。
3. IT产品信息安全认证分类分级标准的内容和体系接下来,让我们深入了解IT产品信息安全认证分类分级标准的内容和体系。
各国或地区在信息安全认证方面都制定了各自的标准和分类分级体系。
国际上比较知名的包括ISO/IEC 27001信息安全管理体系认证、ISO/IEC 15408计算机系统信息安全性标准等。
而在中国,信息安全认证标准包括了GB/T 20250信息安全技术等级保护系统、GB/T 22239信息安全技术安全等级评定等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
编号:ISCCC-IR-001:2011IT产品信息安全认证实施规则通用规则2011-07-01发布2011-07-01实施中国信息安全认证中心发布目录1.适用范围 ... (1)2.认证模式 ... (1)3.认证的基本环节... (1)3.1认证申请及受理 ... (1)3.2文档审核 (1)3.3型式试验委托及实施 ... (1)3.4初始工厂检查(如适用) ... . (1)3.5认证结果评价与批准 ... (1)3.6获证后监督 ... .. (1)4.认证实施 ... (1)4.1认证流程 (1)4.2认证申请及受理 ... (1)4.3文档审核 (2)4.4型式试验委托及实施 ... (3)4.5初始工厂检查(如适用) ... .. (3)4.6认证结果评价与批准 ... (4)4.7获证后监督 ... .. (4)5.认证时限 ... (5)6.认证证书 ... (5)6.1认证证书的保持 ... (5)6.2认证证书的变更 ... (6)6.3认证证书覆盖产品的扩展 ... . (6)6.4认证证书的暂停、注销和撤销 ... . (6)7认证标志的使用 ... . (6)7.1认证标志的样式 ... (6)7.2认证标志的使用 ... (7)7.3加施方式 (7)7.4标志位置 (7)8收费 ... .. (7)附件 1: ... (8)附件 2: ... ........................................................................................................................................................................ (10)1.适用范围本规则适用于中国信息安全认证中心(ISCCC)针对信息技术产品开展的信息安全认证,对已有特定实施规则的产品应遵循相应实施规则。
2.认证模式型式试验+ 初始工厂检查(如适用)+ 获证后监督3.认证的基本环节3.1 认证申请及受理3.2 文档审核3.3 型式试验委托及实施3.4 初始工厂检查(如适用)3.5 认证结果评价与批准3.6 获证后监督4.认证实施4.1 认证流程申请方向认证机构申请认证,认证机构在接收到申请方的认证申请后,审查申请资料,确认合格后向申请方选择的实验室安排检测任务,并通知申请方根据要求送样。
实验室依据相关标准和/或技术规范进行检测,并在完成检测后向认证机构提交检测报告。
认证机构对检测报告审查合格后,需要时由认证机构组织进行初始工厂检查。
认证机构对型式试验、初始工厂检查结果(如适用)进行综合评价,并在认证决定评价合格后向申请方颁发认证证书。
认证机构组织对获证后的产品进行定期的监督。
4.2 认证申请及受理申请方向认证机构递交认证申请,并按要求提交相关资料,认证机构对资料进行初审,确定申请方提交资料满足要求后,受理该申请。
4.2.1 认证的单元划分原则上按产品型号/版本申请认证。
4.2.2 申请资料要求申请方在申请产品认证时,应至少提交以下资料:1)申请基本信息:●认证申请书;●申请方声明;●相关法律地位证明材料(复印件);●质量体系方面有关的文件。
2)产品相关说明:●中文产品功能说明书和/或使用手册;●认证标准的适应性说明;●产品研制主要技术人员情况表;●产品测试技术人员情况表;●产品测试使用的主要设备表(如适用);●中文铭牌和警告标记(如适用);●产品密码检测合格证书(如适用)。
3)安全保证要求方面的文档:●配置管理;●交付与运行;●开发;●指导性文档;●测试;●脆弱性评定。
4)安全目标(如适用)。
4.3 文档审核对申请方提交的资料和文档,根据相关标准和/或该产品的技术规范进行审核。
4.4 型式试验委托及实施4.4.1 型式试验送样4.4.1.1 送样原则送申请认证的型号/版本的样品。
申请方如果有特殊要求,需要提供相应的说明及辅助设备。
4.4.1.2 送样要求和数量用于检测的样品由申请方负责按上述要求选送,并对选送样品负责。
一般每种产品送样 2套,如果特殊需求可以增加送样数量。
4.4.1.3 样品及相关资料的处置认证结束后,申请方可向实验室申请取回型式试验样品,相关申请资料由认证机构、实验室妥善处置。
4.4.2 检测依据GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》、相关的标准和/或技术规范、检测规范。
4.4.3 检测报告的提交检测完成后,检测实验室根据认证机构的要求出具检测报告并提交给认证机构。
4.5 初始工厂检查(如适用)4.5.1 检查内容初始工厂检查的内容为信息安全保证能力、质量保证能力和产品一致性检查。
4.5.1.1 信息安全保证能力检查由认证机构派检查员对工厂按照附件 2(信息安全保证能力评估项目)进行信息安全保证能力检查。
4.5.1.2 质量保证能力检查由认证机构派检查员对工厂按照附件 1(质量保证能力基本要求)及认证机构制定的补充检查要求(适用时)进行检查。
4.5.1.3 产品一致性检查初始工厂检查时,应在生产现场对申请认证的产品进行一致性检查。
重点核实以下内容:1)认证产品的铭牌、包装上所标明的及运行时所显示的产品名称、型号/版本号与型式试验报告上所标明的内容是否一致;2)认证产品所用的软件、硬件应与型式试验合格的样品一致;3)非认证的产品是否违规标贴了认证标识。
4.5.2 初始工厂检查时间一般情况下,认证机构对4.2.2中的资料进行审查并在型式试验完成后,再进行初始工厂检查。
特殊情况时,型式试验和初始工厂检查也可以同时进行。
初始工厂检查时间根据所申请认证产品的单元数量确定,并适当考虑生产厂的规模及产品的安全级别,一般每个生产厂为 2至 6个人日。
4.6 认证结果评价与批准认证机构负责对型式试验结果等进行综合评价,评价合格的,由认证机构对申请方颁发认证证书(每一个认证单元颁发一个认证证书)。
如认证决定过程中发现不符合认证要求项,允许限期(不超过 3个月)整改,如期完成整改后,认证机构采取适当方式对整改结果进行确认,重新执行认证决定过程。
4.7 获证后监督4.7.1 监督的频次从获证后每 12个月进行一次获证后监督。
必要时,认证机构可采取事先不通知的方式进行必要的监督。
如果发生下述情况之一可增加监督频次:1)获证产品出现严重质量问题时,或者用户提出投诉并经查实为证书持有者责任时;2)认证机构有足够理由对获证产品与规定的标准要求的符合性提出质疑时;3)有足够信息表明工厂因组织机构、生产条件、质量管理体系等发生变更,从而可能影响产品质量时。
4.7.2 监督的内容获证后监督采用工厂检查的方式进行,主要针对信息安全保证能力、认证产品一致性和质量保证能力进行检查。
必要时可以抽取样品送实验室检测,需要进行抽样检测时,抽样检测的样品应在工厂生产的产品中(包括生产线、仓库、市场)随机抽取。
产品抽样检测的数量为2套,如需要可以根据实际情况增加抽样的数量。
初次认证申请时的检测项目都可以作为监督时的检测项目,认证机构可根据具体情况进行部分或全部项目的检测。
样品的检测一般由认证机构指定的检测实验室在 20个工作日内完成。
4.7.3 获证后监督结果的评价监督复查合格后,可以继续保持认证证书、使用认证标志。
对监督复查时发现的不符合项应在 3个月内完成纠正措施。
逾期将撤销认证证书、停止使用认证标志,并对外公告。
5.认证时限认证时限是指自申请被正式受理之日起至颁发认证证书时止所实际发生的工作日,一般在 90个工作日内,最长不超过 150个工作日。
整改时间不计算在内。
6.认证证书6.1 认证证书的保持6.1.1 证书的有效性证书有效期为 3年。
在有效期内,通过每年对获证后的产品进行监督确保认证证书的有效性。
6.2 认证证书的变更6.2.1 变更的申请获证后的产品,如果其生产厂、证书持有者等发生变化时,应向认证机构提出变更申请。
6.2.2 变更申请的评价与批准认证机构根据变更的内容和提供的资料进行审核后予以变更。
6.2.3 证书的有效期证书在进行变更后,其有效期与原证书一致。
6.3 认证证书覆盖产品的扩展6.3.1 认证证书覆盖产品扩展申请认证证书持有者需要增加已经获得认证产品的认证范围时,应向认证机构提出扩展申请,并提交扩展产品和原认证产品之间的差异说明。
6.3.2 认证证书覆盖产品扩展的评价与批准认证机构应核查扩展产品与原认证产品的一致性,确认原认证结果对扩展产品的有效性,需要时应针对差异做补充检测,并根据认证证书持有者的要求单独颁发认证证书或换发认证证书。
6.3.3 证书的有效期证书在进行扩展后,其有效期与原证书一致。
6.4 认证证书的暂停、注销和撤销按认证机构的认证暂停、注销和撤销的相关规定执行。
7认证标志的使用7.1 认证标志的样式7.2 认证标志的使用认证标志在使用时可以等比例的放大或缩小。
但是,不允许变形或变色。
7.3 加施方式采用认证机构印制的标准规格标志。
7.4 标志位置应在产品本体的铭牌附近加施认证标志。
软件产品应在其软件包装/载体上加施认证标志,如该软件产品不使用包装/载体,则应在软件使用的《许可协议》中的显著位置明确该产品已获认证机构认证。
8收费收费由认证机构依据国家有关规定统一收取。
附件 1:质量保证能力基本要求为保证批量生产的认证产品与型式试验样品的一致性,工厂应满足本文件规定的质量保证能力基本要求。
1.职责和资源1.1 职责工厂应规定与质量活动有关的各类人员职责及相互关系,且工厂应在组织内指定一名质量负责人,无论该成员在其他方面的职责如何,应具有以下方面的职责和权限:a)负责建立满足本文件要求的质量体系,并确保其实施和保持;b)确保加贴认证标志的产品符合认证标准的要求;c)建立文件化的程序,确保认证标志的妥善保管和使用;d)建立文件化的程序,确保不合格品和获证产品变更后未经认证机构确认,不加贴认证标志。
质量负责人应具有充分的能力胜任本职工作。
1.2 资源工厂应配备必须的生产设备和检测设备以满足稳定生产符合本规则中规定的标准要求的产品;应配备相应的人力资源,确保从事对产品质量有影响工作的人员具备必要的能力;建立并保持适宜产品生产、试验、储存等必备的环境。
2.认证产品一致性a)工厂应对现场的产品与型式试验样品的一致性进行控制,以使认证产品持续符合规定的要求;b)工厂应建立产品变更控制程序,认证产品的变更在实施前应向认证机构申报并获得批准后方可执行。
3.认证产品外购部件或外包软件模块管理3.1 外购部件供应商或软件模块的外包商的控制a)工厂应制定外购部件供应商或软件模块外包商的选择、评定和日常管理的程序,以确保供应商提供的部件或软件外包商提供的软件模块满足要求;b)工厂应保存对供应商或软件外包商的选择评价和日常管理记录。