中国信息安全测评中心-产品分级评估

01

定义

信息技术产品分级评估是指依据国家标准 GB/T 18336—2015《信息技术 安全技术 信息技术安全评估准则》,综合考虑产品的预期应用环境,通过对信息技术产品的整个生命周期,包括技术、开发、管理、交付等部分进行全面的安全性评估和测试,验证产品的保密性、完整性和可用性程度,确定产品对其预期应用而言是否足够安全,以及在使用中隐含的安全风险是否可以容忍,产品是否满足相应评估保障级的要求。

02

适用范围、等级

具有安全功能的信息技术产品,如:防火墙、IDS/IPS、智能卡、芯片、USBKey、扫描器、安全审计、数据库、操作系统等。
目前受理的级别包括:EAL1、EAL2、EAL3、EAL4、EAL5、EAL6、EAL7 及相应增强级,如 EAL3+、EAL4+、EAL5+。

03

申请材料

基本资料
1.申请书纸版和电子版(光盘)各1份
2.分级评估文档电子版(光盘)1份
3.评估文档最终版的电子版1份
4.测试样机至少两台,智能卡类样品数量另行协商确定
注意:
1.在测试过程中,如发现产品存在问题需进行回归测试,并收取一定的回归测试费。
2.在获得测评证书后,测试样机仍需在中心保存3个月。在此期间内,如产生对报告或评估结果的疑义,申请方可以书面形式提交至中心,我中心将视情况予以妥善处理,必要时可进行复测。
3.软件样品和智能卡类样品,原则上由实验室保留,不予返回申请方。
证明材料
1.提供单位的营业执照(附副本复印件)。  
2.提供单位的法定代表人身份证明文件(附复印件)。
3.如果申请评估的产品采用了加密算法,应提供密码主管部门的批文或商密科研、生产定点单位的相关授权证明(附复印件)。
4.提供其他重要证书的复印件(例如测评证书、著作权证书、专利证书等)。

04

认证流程



05

评估内容

评估内容主要包括评估活动、安全性测试、现场核查。
1.评估活动主要包括:
安全目标评估
开发活动评估
指导性文档评估
生命周期支持评估,包括配置管理、交付、开发安全、生命周期定义等
测试评估 
脆弱性评定评估 
2.安全性测试主要包括:
独立性测试:为了验证被评估产品所提供的安全功能是否能够正确实现,评估者从申请方提供的测试文档中抽取一定数量的测试用例,并经重新设计后来完成对安全功能的验证性测试操作。
穿透性测试:评估者通过实施穿透性测试,验证被评估产品在预期环境下是否存在明显的可被利用的脆弱性,从而威胁产品及其保护资产的安全。
安全性能测试:对于存在性能测试需求的产品,评估者参考 RFC2544、RFC3511 等标准和规范,对被评估产品实施安全性能测试。  
3.现场核查主要包括: 
核查配置管理、交付、开发安全、现场核查的形式包括文档证据审查、实际环境审查以及与有关人员交流。EAL3级(含)以上分级评估将进行现场核查,现场核查约在评估过程进行至70%左右时进行。

关于信息技术产品分级评估详细介绍信息,请联系下方客服。免费获取更多介绍资料。

识别二维码

添加客服微信

用龙域,更安心


长按扫码

审核员考试服务平台

关注龙域iLONGYU



文章转载自微信公众号:龙域认证互联网服务平台

内容来源网络,如有侵权,联系删除,本文地址:https://www.230890.com/zhan/138883.html

(0)

相关推荐