智能卡COS产品强制性认证实施规则

     编者按：4月27日，中国国家认证认可监督管理委员会发布了编号为CNCA-11C-079:2009的《信息安全产品强制性认证实施规则——智能卡COS产品》文件，详细说明了智能卡COS强制性认证的范围、模式、申请受理程序等等，为了读者更加详细全面了解有关规则，本期特将该规则刊载如下，供读者参考，该规则从2009年5月1日起正式实施。

    1．适用范围 

    智能卡芯片操作系统(COS-Chip Operating System)是指在智能卡芯片中存储和运行的、以保护存储在非易失性存储器中的应用数据或程序的机密性和完整性、控制智能卡芯片与外界信息交换为目的的嵌入式软件。

    适用的产品范围为：遵循GB/T 16649：2006（idt ISO/IEC 7816）标准指令集的

    （1）采用接触或/和非接触工作方式的智能卡COS；（2）其它集成或内置了的COS（如 USBKey等）。拟用于涉密信息系统的上述产品，按照国家有关保密规定和标准执行，不适用本规则。

    2．认证模式

    型式试验 + 初始工厂检查 + 获证后监督

    3．认证的基本环节

    3.1认证申请及受理
    3.2型式试验委托及实施
    3.3初始工厂检查
    3.4认证结果评价与批准
    3.5获证后监督

    4．认证实施

    4.1认证程序

    申请方可选择集中受理或分段受理两种方式中任意一种进行认证证书申请，两种方式下获得的证书是等效的。

    4.1.1集中受理流程

    申请方向指定的认证机构申请认证，认证机构对申请产品进行单元划分并审查申请资料，确认合格后向实验室（由申请方自主从指定实验室名单中选取）安排检测任务。实验室依据相关产品强制性认证实施规则进行检测，并在完成检测后向认证机构提交完整的检测报告。认证机构对检测报告审查合格后，由认证机构进行初始工厂检查。认证机构对型式试验、初始工厂检查结果进行综合评价，评价合格后向申请方颁发认证证书。认证机构组织对获证后的产品进行定期的监督。

    4.1.2分段受理流程

    申请方自主从指定实验室名单中选取实验室，并向实验室提交相关申请材料。实验室对申请产品进行单元划分，审查并确认所需资料合格后，依据认证实施规则进行检测，检测通过后向认证机构提交检测报告。检测报告经认证机构确认合格后，申请方向认证机构提交认证所需资料。认证机构审查并确认所需资料合格后，由认证机构进行初始工厂检查。认证机构对型式试验、初始工厂检查结果进行综合评价，评价合格后向申请方颁发认证证书。认证机构组织对获证后的产品进行定期的监督。

    4.2认证申请及受理

    4.2.1认证的单元划分

    按产品型号/版本申请认证，若产品的信息安全关键件实现方式相同的可作为一个单元申请认证。

    以多于一个型号/版本的产品为同一认证单元申请认证时，申请方应提交同一认证单元中型号/版本间的差异说明及相关自测报告。

    4.2.2申请时需提交的文件资料

    申请方在申请产品认证时，提交的文件资料应至少包含以下内容：

    1.申请方情况：

    1）基本情况介绍；
    2）相关资质证明材料（复印件）；
    3）质量体系方面有关的文件；
    4）申请方声明。

    2.产品相关说明：

    1）中文产品功能说明书和/或使用手册；
    2）认证标准的适用性说明；
    3）产品研制主要技术人员情况表；
    4）产品测试技术人员情况表；
    5）产品测试使用的主要设备表（如适用）；
    6）中文铭牌和警告标记（如适用）；
    7）同一认证单元中型号/版本间的差异说明及相关自测报告（如适用）；
    8）产品密码检测证书。

    3.申请认证产品的安全保证要求说明，包括以下方面：

    1）安全目标；
    2）功能规范；
    3）高层设计；
    4）低层设计；
    5）对应性分析；
    6）安全策略模型；
    7）指导性文档；
    8）脆弱性分析；
    9）开发者的测试报告；
    10）开发者的测试分析；
    11）开发安全；
    12）开发工具和技术；
    13）生命周期定义；
    14）交付和运行；
    15）配置管理文档；
    16）实现表示。

    4.3型式试验委托及实施

    4.3.1型式试验的送样

    4.3.1.1型式试验送样的原则

    认证单元中只有一个型号/版本的，送该型号/版本的样品。以多于一个型号/版本的产品作为同一认证单元申请认证时，应从中选取典型的型号/版本作为送样产品。

    4.3.1.2送样要求和数量

    型式试验的样品由申请方负责选送，并对选送样品负责。一般每种产品送样 40套。

    4.3.1.3型式试验样品及相关资料的处置

    认证结束后，申请方可向实验室申请取回型式试验样品，相关申请资料由认证机构、实验室妥善处置。

    4.3.2测评标准和项目

    测评依据的标准为：

    GB/T 20276《信息安全技术 智能卡嵌入式软件安全技术要求（EAL4增强级）》（基于GB/T 18336《信息技术 安全技术 信息安全技术评估准则》的通用要求）。

    测评项目见附件 2、附件 3。

    4.3.3型式试验报告的提交

    型式试验完成后，实验室出具型式试验报告并提交给认证机构。

    4.4初始工厂检查

    4.4.1检查内容

    初始工厂检查的内容为信息安全保证能力、质量保证能力和产品一致性检查。

    4.4.1.1信息安全保证能力检查

    由认证机构派检查员对工厂按照《智能卡 COS强制性认证安全保证评估项目》（见附件 3）进行信息安全保证能力检查。

    4.4.1.2质量保证能力检查

    由认证机构派检查员对工厂按照《质量保证能力基本要求》（附件5）及认证机构制定的补充检查要求（适用时）进行检查。

    4.4.1.3产品一致性检查

    初始工厂检查时，应在生产现场对申请认证的产品进行一致性检查。 

    重点核实以下内容：

    1）认证产品的铭牌、包装上所标明的及运行时所显示的产品名称、型号/版本号与型式试验报告上所标明的内容是否一致；
    2）非认证的产品是否违规标贴了认证标识。

    4.4.2初始工厂检查时间

    一般情况下，认证机构对 4.2.2中的资料进行审查并在型式试验完成后，再进行初始工厂检查。特殊情况时，型式试验和初始工厂检查也可以同时进行。

    初始工厂检查时间根据所申请认证产品的单元数量确定，并适当考虑生产厂的规模，一般每个生产厂为 4至 6个人日。

    4.5认证结果评价与批准

    4.5.1认证结果评价与批准

    认证机构负责对型式试验、初始工厂检查结果进行综合评价，评价合格的，由认证机构对申请方颁发认证证书（每一个认证单元颁发一个认证证书）。如认证决定过程中发现不符合认证要求项，允许限期（不超过 3个月）整改，如期完成整改后，认证机构采取适当方式对整改结果进行确认，重新执行认证决定过程。

    4.5.2认证时限

    认证时限是指自申请被正式受理之日起至颁发认证证书时止所实际发生的工作日，其中包括型式试验时间、初始工厂检查及提交报告时间、认证结论评定和批准时间以及证书制作时间。

    型式试验时间一般不超过 120个工作日（因检测项目不合格，进行整改和复试的时间不计算在内，整改时间一般不超过 6个月）。一般在型式试验报告提交后 30个工作日内安排初始工厂检查。初始工厂检查时间根据所认证产品的单元数量确定，并适当考虑生产厂的生产规模，一般为 4至 6个人日。初始工厂检查后提交报告时间一般为 5个工作日，以检查员完成现场检查，收到并确认工厂递交的不合格纠正措施报告之日起计算。

    认证结论评定、批准时间以及证书制作时间共计不超过 5个工作日。

    4.6获证后监督

    4.6.1监督的频次

    4.6.1.1从获证后第12个月起进行第一次获证后监督，此后每 12个月进行一次获证后监督。必要情况下，认证机构可采取事先不通知的方式对生产厂实施监督。

    4.6.1.2若发生下述情况之一可增加监督频次：

    1）获证产品出现严重质量问题时,或者用户提出投诉并经查实为证书持有者责任时；
    2）认证机构有足够理由对获证产品与本规则中规定的标准要求的符合性提出质疑时；
    3）有足够信息表明工厂因组织机构、生产条件、质量管理体系等发生变更，从而可能影响产品质量时。 

    4.6.2监督的内容

    获证后监督的方式采用信息安全保证能力与质量保证能力的复查和认证产品一致性检查。必要时可以抽取样品送实验室检测，需要进行抽样检测时，抽样检测的样品应在工厂生产的产品中（包括生产线、仓库、市场）随机抽取。产品抽样检测的数量为 30套。本认证实施规则中涉及的检测项均可作为监督检测项目，认证机构可要求针对不同产品的不同情况进行部分或全部项目的检测。对抽取样品的检测由认证机构指定的实验室在 30个工作日内完成。 

    认证机构根据《智能卡COS强制性认证安全保证评估项目》（见附件3）、《质量保证能力基本要求》（见附件 5）对工厂进行监督复查。《质量保证能力基本要求》规定的第1、2条是每次监督复查的必查项目，其他项目可以选查。每四年内至少覆盖附件 3、附件 5中所包括的全部项目。另外，应对产品的变更情况进行核查。

    工厂监督检查时间根据获证产品的单元数量确定，并适当考虑工厂的生产规模，一般为 2至 4个人日。

    4.6.3获证后监督结果的评价 

    监督复查合格后，可以继续保持认证证书、使用认证标志。对监督复查时发现的不符合项应在 3个月内完成纠正措施。逾期将撤销认证证书、停止使用认证标志，并对外公告。

    5．认证证书

    5.1认证证书的保持

    5.1.1证书的有效性

    本规则覆盖产品的认证证书不规定截止日期。证书的有效性依赖认证机构定期的监督获得保持。

    5.1.2认证产品的变更

    5.1.2.1变更的申请

    获证后的产品，如果其产品的信息安全关键件未发生变化而型号/版本发生变化，或生产厂、证书持有者等发生变化时，应向认证机构提出变更申请。 

    由信息安全关键件的变化引起型号/版本变化时，应重新申请认证。

    5.1.2.2变更申请的评价与批准

    认证机构根据变更的内容和提供的资料进行评价，确定已获证产品的变化属于以下何种情况，并根据具体情况采取相应措施。

    1）由产品非信息安全关键件变化引起型号/版本变化，且不需补充型式试验和/或工厂检查时，经审核后予以变更；

    2）由产品非信息安全关键件变化引起型号/版本变化，且需补充型式试验和/或工厂检查时，应在完成型式试验和/或工厂检查并经认证评价合格后方予以变更；

    3）发生其它变化时，如生产厂、证书持有者等，经审核后予以变更。

    5.2认证证书覆盖产品的扩展

    5.2.1认证证书覆盖产品扩展的申请

    认证证书持有者需要增加已经获得认证产品的认证范围时，应向认证机构提出扩展申请。

    5.2.2认证证书覆盖产品扩展的评价与批准

    认证机构应核查扩展产品与原认证产品的一致性,确认原认证结果对扩展产品的有效性，需要时应针对差异做补充型式试验和/或工厂检查，并根据认证证书持有者的要求单独颁发认证证书或换发认证证书。

    5.3认证证书的暂停、注销和撤消

    按《强制性产品认证证书注销、暂停和撤销实施规则》的要求执行。在认证证书暂停期间及认证证书注销和撤销后，企业不得继续使用证书。

    6．强制性产品认证标志的使用

    证书持有者必须遵守《强制性产品认证标志管理办法》的规定。

    6.1准许使用的标志样式

    6.2变形认证标志的使用

    本规则覆盖的产品不允许使用任何形式的变形认证标志。

    6.3加施方式

    可以采用国家统一印制的标准规格标志、模压或铭牌印刷三种方式中的任何一种。

    采用模压或铭牌印刷时，其使用方案应报国家认证认可监督管理委员会批准的强制性产品认证标志发放与管理机构核准。

    6.4标志位置

    软件产品应在其软件包装/载体上加施认证标志，如该软件产品不使用包装/载体，则应在软件使用的《许可协议》中的显著位置明确该产品已获中国强制性产品认证（CCC认证）。

    7．收费

    收费由认证机构、实验室按国家有关规定统一收取。 

    附件1：