1 、適用范圍
本細則依據《商用密碼產品認證規則》(以下簡稱認證規則)編制,作為認證規則的配套文件,與認證規則共同使用,適用于智能密碼鑰匙產品認證。
2、認證依據
GM/T 0027《智能密碼鑰匙技術規范》
GM/T 0028《密碼模塊安全技術要求》
GM/T 0065《商用密碼產品生產和保障能力建設規范》
GM/T 0066《商用密碼產品生產和保障能力建設實施指南》
智能密碼鑰匙產品中的密碼算法應為符合 GM/T 0001《祖沖之序列密碼算法》、GM/T0002《SM4 分組密碼算法》、GM/T 0003《SM2 橢圓曲線公鑰密碼算法》、GM/T 0004《SM3密碼雜湊算法》、GM/T 0009《SM2 密碼算法使用規范》、GM/T 0010《SM2 密碼算法加密簽名消息語法規范》、GM/T 0044《SM9 標識密碼算法》等國家密碼管理要求的密碼算法。智能密碼鑰匙產品的隨機數檢測應遵循 GM/T 0005《隨機性檢測規范》、GM/T 0062《密碼產品隨機數檢測要求》。上述標準如未特別注明年代號,原則上應執行其新版本(包括所有的修改單)。
3、認證模式
智能密碼鑰匙產品認證模式為:
型式試驗+初始工廠檢查+獲證后監督
認證機構可對獲證產品生產企業的擴項產品認證委托,減免初始工廠檢查環節。
4、認證單元劃分
原則上應按智能密碼鑰匙產品型號的不同劃分認證單元。同一認證單元內有多個版本的產品時,認證委托人應提交不同版本間的差異說明,必要時還應進行補充差異試驗。
5、認證的基本環節
認證的基本環節包括認證委托、型式試驗、初始工廠檢查、認證評價與決定、獲證后監督。
6、認證實施
6.1 認證委托
6.1.1 認證委托及受理
認證委托人應按認證機構要求提交認證委托資料,認證機構于收到委托資料后 5 個工作日內完成資料形式化審核并給出審核意見。若認證委托人提交的資料齊全且符合規定形式,認證機構向認證委托人發送認證受理通過通知。若認證委托人首次提交的認證委托資料不齊全或不符合規定形式,認證機構通知認證委托人補正資料;若認證委托人提交的補正資料仍不齊全或不符合規定形式,認證機構通知認證委托人受理不通過并說明理由。
6.1.2 認證委托資料要求
認證委托人委托認證時,應提交的認證委托資料,包括但不限于:
(1)認證委托書
(2)具有獨立法人資格的證明材料
(3)商用密碼產品生產和保證能力自我評估表
(4)技術工作總結報告
(5)安全性設計報告
(6)密碼模塊分級檢測申請材料
(7)用戶手冊
(8)生產一致性證明文件
(9)產品實物圖
(10)其他需要的文件
6.2 型式試驗
6.2.1 制定型式試驗方案
認證機構根據認證委托資料制定型式試驗方案并通知認證委托人,將型式試驗方案及相關委托資料轉交檢測機構。型式試驗方案包括型式試驗的樣品要求和數量、檢測標準項目、檢測機構信息等。
6.2.2 型式試驗樣品要求
認證委托人按型式試驗方案提供樣品至檢測機構,并保證樣品與實際生產產品一致;必要時,認證機構也可采用生產現場抽樣的方式獲得樣品。
6.2.3 樣品及相關資料的處置
檢測機構應對型式試驗全過程作出完整記錄,并妥善管理、保存、保密相關資料,確保在認證有效期內檢測結果可追溯。認證委托人可在認證結束后取回型式試驗樣品。
6.2.4 型式試驗報告的提交
型式試驗結束后,檢測機構應在 5 個工作日內向認證機構和認證委托人出具型式試驗報
告,出具型式試驗報告時間計算在型式試驗周期內。
6.3 初始工廠檢查
6.3.1 檢查內容
認證機構進行初始工廠檢查的內容為生產能力、質量保障能力、安全保障能力、服務保
障能力,以及產品一致性檢查等。
初始工廠檢查的場所范圍原則上覆蓋產品的設計研發環境和生產加工環境。對于已獲證
企業再次申請認證時,經認證機構審核后,可免除初始工廠檢查環節。
6.3.1.1 生產和保障能力
由認證機構依據 GM/T 0065《商用密碼產品生產和保障能力建設規范》和 GM/T 0066
《商用密碼產品生產和保障能力建設實施指南》等標準規范實施審核和檢查。
6.3.1.2 產品一致性
初始工廠檢查時,在生產現場對委托認證的產品進行一致性檢查。重點檢查以下內容:
(1)認證產品的銘牌、包裝上所標明的及運行時所顯示的產品名稱、型號、版本號與型式試驗報告上所標明的內容是否一致;
(2)認證產品所用的軟件、硬件與型式試驗合格的樣品是否一致;
(3)非認證的產品是否違規標貼了認證標識。
6.3.2 初始工廠檢查時間
由認證機構根據認證實施需要安排初始工廠檢查。人日數根據所委托認證產品的認證單
元數量確定,并適當考慮工廠的規模及產品的安全級別,一般每個場所為 4 至 6 個人日。
6.4 認證評價與決定
認證機構對型式試驗、初始工廠檢查結論和相關資料信息進行綜合評價,作出認證決定。對符合認證要求的,頒發認證證書并允許使用認證標志;對暫不符合認證要求的,可要求認證委托人限期(通常情況下不超過 3 個月)整改,整改后仍不符合的則書面通知認證委托人終止認證。
6.5 獲證后監督
6.5.1 獲證后監督的頻次和方式
為保證產品持續符合標準要求,在認證有效期內,認證機構持續進行獲證后監督,監督頻次一般不少于兩次,認證機構可根據實際情況調整監督頻次。獲證后監督可采用工廠檢查或文件審查的方式。認證機構可采取事先不通知的方式對獲證方實施監督。獲證方如出現以下情形之一,認證機構可視情況增加獲證后監督的頻次:
(1) 獲證產品出現嚴重質量問題,或者用戶提出投訴并經查實為獲證方責任時;
(2) 認證機構有足夠理由,對獲證產品與本規則中規定的標準要求的符合性提出質疑時;
(3) 有足夠信息表明獲證方因組織機構、生產條件、質量管理體系等發生變更,從而可能影響產品質量時。
6.5.2 獲證后監督審查的內容
獲證后監督可采用工廠檢查或文件審查的方式。必要時可在生產現場或市場抽樣,對產
品進行檢測。工廠檢查時,主要對生產能力、質量保障能力、安全保障能力、服務保障能力,以及認證產品一致性進行檢查。文件審查時,認證委托人應向認證機構提交生產一致性證明文件,自測報告等資料。如需進行抽樣檢測時,抽樣檢測的樣品應在獲證方的產品中(包括生產線、倉庫、市場)隨機抽取。型式試驗的檢測項均可以作為監督時的檢測項,認證機構可根據具體情況選取部分或全部進行檢測。
6.5.3 獲證后監督的記錄
認證機構對獲證后監督進行記錄并歸檔留存,以保證認證過程和結果具有可追溯性。
6.5.4 獲證后監督結果評價
認證機構對獲證后監督結論和相關資料信息進行綜合評價。評價通過的,可繼續保持認證證書、使用認證標志;不通過的,認證機構根據相應情形做出暫停或者撤銷認證證書的處理。
7、認證時限
認證時限是指自委托被正式受理之日起至頒發認證證書時止所實際發生的工作日。整改時間不計算在內。因委托人未及時提交材料、未能及時遞送樣品、不能按計劃接受工廠檢查、未及時繳納費用等原因導致認證時間的延長時,不計算在內。認證委托、初始工廠檢查、認證評價與決定三個基本環節,安全等級第一級、第二級的一般在 30 個工作日內完成,安全等級第三級、第四級的一般在 40 個工作日內完成。型式試驗環節,安全等級第一級的一般在 30 個工作日內完成,安全等級第二級的一般在 60 個工作日內完成,安全等級第三級的一般在 80 個工作日內完成,安全等級第四級的一般在 120 個工作日內完成。
8、認證證書
8.1 認證證書的保持
認證證書有效期為 5 年,并通過認證機構的獲證后監督保持效力。證書到期需延續使用的,認證委托人應在有效期屆滿前 6 個月內提出認證委托。認證機構采用獲證后監督的方式對符合認證要求的委托換發新證書。
8.2 認證證書覆蓋產品的變更
8.2.1變更委托
獲證后的產品或其生產者(制造商)、生產企業等發生變化時,認證委托人應向認證機構提出變更委托。
8.2.2 變更評價與批準
認證機構根據變更的內容,對委托資料進行審核,確定是否可以批準變更。如需樣品檢測和/或工廠檢查,應在檢測和/或檢查合格后方能批準。
8.2.3 證書有效期
變更后,證書有效期與原證書一致。
8.3 認證證書覆蓋產品的擴展
8.3.1、認證證書覆蓋產品擴展委托
認證委托人需要增加已經獲得的認證證書覆蓋的產品范圍時,應向認證機構提出擴展委托,并提供擴展產品和獲證產品之間的差異說明。
8.3.2 認證證書覆蓋產品的擴展評價與批準
認證機構可采用委托資料審核、補充差異試驗和/或工廠檢查的方式核查原認證結果對5
擴展產品的有效性。核查通過的,由認證機構換發新證書。
8.3.3、證書有效期
擴展后,證書有效期與原證書一致。
8.4 認證證書的注銷、暫停和撤銷
認證證書的暫停、注銷和撤銷依據有關規定執行。認證機構采用適當方式對外公布被暫停、注銷和撤銷的產品認證證書。
8.5 認證證書的使用
認證證書可以展示在文件、網站、通過認證的工作場所、銷售場所、廣告和宣傳資料或廣告宣傳等商業活動中,但不得利用認證證書和相關文字、符號,誤導公眾認為認證證書覆蓋范圍外的產品、服務、管理體系獲得認證。宣傳認證結果時不得損害認證機構的聲譽。
9、認證標志
標志的圖案如下圖。
標志的樣式和使用應符合《商用密碼產品認證規則》。
10 、認證責任
認證機構對其做出的認證結論負責。
檢測機構對檢測結果和檢測報告負責。
認證機構及其所委派的工廠檢查員對工廠檢查結論負責。
認證委托人對其所提交的委托資料及樣品的真實性、合法性負責
責任編輯:Rex_08
營業執照公示信息