商密产品认证细则发布 包括金融IC卡、POS密码应用系统等产品
点击次数:2020-07-07 14:07:18【打印】【关闭】
继2020年5月11日市场监管总局与国家密码管理局发布《商用密码产品认证规则》后。近日,国家密码管理局商用密码检测中心公布了《商用密码产品目录》第一批22类产品的认证细则。细则明确了大家比较关心的几个方面,经过整理分析供大家参考。
注:
1.上述产品中的密码算法应为符合GM/T 0001《祖冲之序列密码算法》、GM/T 0002《SM4分组密码算法》、GM/T 0003《SM2椭圆曲线公钥密码算法》、GM/T 0004《SM3密码杂凑算法》、GM/T 0009《SM2密码算法使用规范》、GM/T 0010《SM2密码算法加密签名消息语法规范》、GM/T0044《SM9标识密码算法》等国家密码管理要求的密码算法。
2.上述产品的随机数检测应遵循GM/T 0005《随机性检测规范》、GM/T 0062《密码产品随机数检测要求》。
3.上述标准如未特别注明年代号,原则上应执行其最新版本(包括所有的修改单)。
认证实施
认证的基本环节包括认证委托、型式试验、初始工厂检查、认证评价与决定、获证后监督。
认证委托
认证委托人应按认证机构要求提交认证委托资料,认证机构于收到委托资料后5个工作日内完成资料形式化审核并给出审核意见。若认证委托人提交的资料齐全且符合规定形式,认证机构向认证委托人发送认证受理通过通知。若认证委托人首次提交的认证委托资料不齐全或不符合规定形式,认证机构通知认证委托人补正资料;若认证委托人提交的补正资料仍不齐全或不符合规定形式,认证机构通知认证委托人受理不通过并说明理由。
原则上应按产品型号的不同划分认证单元。同一认证单元内有多个版本的产品时,认证委托人应提交不同版本间的差异说明,必要时还应进行补充差异试验。
认证机构
商用密码检测中心
电话:010-83734008
地址:北京市丰台区万丰路300号一号楼四层
型式试验
认证委托受理后,认证机构根据认证委托资料制定型式试验方案,方案包括型式试验的样品要求和数量、检测标准项目、检测机构信息等。委托方配合检测机构进行型式试验。目前有三家机构可以开展型式试验工作,各家能够检测的产品也不一样,大家可以参考最新的认证委托书。
初始工厂检查
认证机构进行初始工厂检查的内容为生产能力、质量保障能力、安全保障能力、服务保障能力,以及产品一致性检查等。初始工厂检查的场所范围原则上覆盖产品的设计研发环境和生产加工环境。企业可以参考GM/T 0065《商用密码产品生产和保障能力建设规范》和GM/T 0066《商用密码产品生产和保障能力建设实施指南》等标准规范自查自审,以便快速通过此环节。需要注意的是认证机构可对获证产品生产企业的扩项产品认证委托减免初始工厂检查环节,委托方可向检测中心咨询。
认证评价与决定
做完型式试验和初始工厂审查后,认证机构对型式试验、初始工厂检查结论和相关资料信息进行综合评价,作出认证决定。对符合认证要求的,颁发认证证书并允许使用认证标志;对暂不符合认证要求的,可要求认证委托人限期(通常情况下不超过3个月)整改,整改后仍不符合的则书面通知认证委托人终止认证。
获证后监督
获取证书后,为保证产品持续符合标准要求,在认证有效期内,认证机构将持续进行获证后监督,监督频次一般为一年一次,认证机构可能根据实际情况调整监督频次。获证后监督可能采用工厂检查或文件审查的方式,必要时可在生产现场或市场抽样,对产品进行检测。在证书有效期内,认证机构会至少开展一次工厂检查。认证机构可能采取事先不通知的方式对获证方实施监督
认证时限
认证时限是指自委托被正式受理之日起至颁发认证证书时止所实际发生的工作日,整改时间不计算在内。因委托人未及时提交材料、未能及时递送样品、不能按计划接受工厂检查、未及时缴纳费用等原因导致认证时间的延长时,不计算在内。不同类型的产品,不同的安全等级所需要的时间也不一样,下面的表供各位参考。
认证证书
认证证书有效期为5年,并通过认证机构的获证后监督保持效力。证书到期需延续使用的,认证委托人应在有效期届满前6个月内提出认证委托。认证机构采用获证后监督的方式对符合认证要求的委托换发新证书。如获证后的产品或其生产者(制造商)、生产企业等发生变化时,认证委托人应向认证机构提出变更委托。认证机构会根据变更的内容,对委托资料进行审核,确定是否可以批准变更。如需样品检测和/或工厂检查,应在检测和/或检查合格后方能批准。变更后,证书有效期与原证书一致。
认证委托人需要增加已经获得的认证证书覆盖的产品范围时,应向认证机构提出扩展委托,并提供扩展产品和获证产品之间的差异说明。认证机构可能采用委托资料审核、补充差异试验和/或工厂检查的方式核查原认证结果对扩展产品的有效性。核查通过的,由认证机构换发新证书,证书有效期与原证书一致。
认证证书可以展示在文件、网站、通过认证的工作场所、销售场所、广告和宣传资料或广告宣传等商业活动中,但不得利用认证证书和相关文字、符号,误导公众认为认证证书覆盖范围外的产品、服务、管理体系获得认证。宣传认证结果时不得损害认证机构的声誉。
收费标准
认证委托方分别向认证机构和检测机构支付认证费和检测费。认证费用包含申请费、审核费、审定与注册费(含证书费)、监督审核费和年金五项收费项目,具体收费标准以认证业务网站公示为准。检测收费标准向各检测机构咨询。