网络关键设备和网络安全专用产品认证—安全质量持续符合能力要求的重要性_北京顺翊信息科技有限公司
欢迎访问北京顺翊信息科技有限公司!
登录 注册 退出 关于我们企业招聘手机站业务纵览
195-1468-3418
195-1468-3418
当前位置: 主页 > 新闻资讯 > 行业动态

网络关键设备和网络安全专用产品认证—安全质量持续符合能力要求的重要性

发布日期:2024-12-12 15:37:22 浏览次数:


为了确保网络关键设备和网络安全专用产品的安全质量,国家相关机构推出了相关的认证制度。对此,为保证批量生产的认证产品与型式试验样品的一致性,生产者/生产企业应满足本文件规定的安全质量持续符合能力基本要求。否则将无法通过审核,不能获得相应的认证证书。

能力要求

对生产者/生产企业在安全质量持续能力方面提出以下要求。

认证产品一致性

a)应对所生产的产品与型式试验样品的一致性进行控制,以使认证产品持续符合标准的要求。

b)应对产品进行配置管理,建立并维护配置项列表。

c)当认证产品发生变更时,应向认证机构申报,由认证机构确认产品符合认证要求后方可使用认证证书和认证标志。

d)在产品出厂前,应对产品运行正确性进行确认,并对产品配置情况进行一致性检查。

测试

a)在产品的软件(包括固件)发布前,应进行测试。测试的内容应覆盖并达到相应产品国家标准中安全功能及自身安全要求。

b)应具备测试人员,测试人员应熟悉产品标准,并具备相应测试能力。生产企业应具备测试所需的各类仪器设备(含软件工具),并对其进行维护和管理。

c)委托外部机构实施测试的,应对机构能力进行确认,并纳入供应链管理。

脆弱性评定

a)应对产品进行脆弱性评估,以确保产品不包含已公开的中、高风险漏洞。

b)应建立和执行针对产品安全缺陷、漏洞的应急响应机制和流程,对发现的产品安全缺陷和漏洞采取修复或替代方案等补救措施,及时告知用户安全风险和可用的补救措施。当缺陷和漏洞可能造成产品不符合认证要求时,应向认证机构报告。

供应链安全

a)应识别产品关键部件,对供应商进行选择、评价和日常管理。

b)应具备供应链各环节核心要素追溯能力。

c)应对供应链安全进行风险防控,收集质量、安全等相关信息,识别可能发生的供应链安全事件。当发生可能影响产品的标准符合性的事件时,应及时采取补救措施,并向认证机构报告。

评价要求

安全质量持续符合能力评价的基本内容包括标准符合性检查和安全质量持续符合能力检查。

一标准符合性检查

认证机构按认证的产品类别在生产企业现场抽取样品,根据认证依据标准选定项目,在生产企业人员配合下对产品与认证标准的符合性进行检查。

检查的项目从GB40050、GB42250及与之相配套的、针对具体产品类别的国家标准中选取。

二安全质量持续符合能力检查

产品一致性检查

认证机构在生产企业现场,按认证的产品类别抽取样品进行一致性检查。

a)查认证产品的生产者(制造商)、生产企业的信息是否与认证证书内容一致;

b)查认证产品及铭牌上标识的产品名称、型号规格、认证标志等信息,与型式试验报告是否一致;

c)查认证产品软件、硬件、固件等是否与型式试验报告、认证机构批准的产品变更信息一致;

d)查产品配置管理情况,应具备配置项列表,配置项的发布应经过确认和审批。

e)查出厂前对产品的确认和检查情况,应能够确保产品启动、运行的正确性及产品一致性。

f)抽取部分安全功能和自身安全要求项目验证认证产品与型式试验报告的一致性。


测试

a)查产品的软件(固件)在发布前的测试过程证明文件,如测试记录、报告等,测试的内容应覆盖并达到相应产品国家标准中安全功能及自身安全要求。测试结论应能够证明该产品软件(固件)符合标准要求。

b)对测试人员进行能力评价,评价的内容包括人员是否熟悉产品标准,能否正确使用测试工具进行测试,记录过程并形成结论。查测试仪器设备(含软件工具),应能够满足产品标准中对安全功能、自身安全等要求的测试活动。查设备的维护和管理记录,应能够确保设备状态符合测试工作的要求。

c)如委托外部机构实施测试,查机构能力确认证明文件,应能够证明该机构具备依据国家标准对相应产品进行测试的能力。该机构出具的报告等文件应满足a)的要求。供应链安全的检查内容中应包含对外部测试机构的管理。


脆弱性评定

a)查脆弱性评定活动,应具备适宜的漏洞检查方法和手段。如使用漏洞检查工具,应确保漏洞库处于最新版本。如采用人工分析的方式,应确保相应人员具备脆弱性评定能力。

b)查生产企业对认证产品的安全缺陷、漏洞处置情况,应能够及时采取修复或替代方案等补救措施。对已交付的产品,应采取适当的方式及时告知用户安全风险及可用的补救措施,如:发出邮件,发布通知、公告、补丁包等。当涉及已公开的中、高风险漏洞时,应及时向认证机构报告。


供应链安全

a)查认证产品各组成部件(含软件、固件、硬件等)外部供应的情况,包括外包开发、外购等。当部件与产品的标准符合性相关时,应定义为关键部件。若关键部件由外部供应,查供应商的选择、评价和日常管理记录,应能确保供应商提供的部件可满足产品的安全及质量要求。

b)供应链核心要素应至少包括产品研发、生产、测试等环节涉及的源代码、设计图、工具、产品部件等等。查供应链各核心要素的管理情况,各要素应能追溯到其来源并记录相关信息。应能够收集供应链各核心要素来源的产品质量、安全、信用等信息和变更情况,识别各类风险。当发生供应链安全事件时,应能够及时响应,避免出现产品安全质量问题。如安全事件可能影响到产品标准符合性时,应立即采取补救措施,并向认证机构报告。补救措施应覆盖已交付的产品。


本站访客:136303
在线客服
咨询热线

咨询热线

195-1468-3418

微信咨询
返回顶部