智能卡COS产品强制性认证实施规则

     编者按：4月27日，中国国家认证认可监督管理委员会发布了编号为CNCA-11C-079:2009的《信息安全产品强制性认证实施规则——智能卡COS产品》文件，详细说明了智能卡COS强制性认证的范围、模式、申请受理程序等等，为了读者更加详细全面了解有关规则，本期特将该规则刊载如下，供读者参考，该规则从2009年5月1日起正式实施。

    1．适用范围 

    智能卡芯片操作系统(COS-Chip Operating System)是指在智能卡芯片中存储和运行的、以保护存储在非易失性存储器中的应用数据或程序的机密性和完整性、控制智能卡芯片与外界信息交换为目的的嵌入式软件。
适用的产品范围为：遵循GB/T 16649：2006（idt ISO/IEC 7816）标准指令集的

    （1）采用接触或/和非接触工作方式的智能卡COS；（2）其它集成或内置了的COS（如 USBKey等）。拟用于涉密信息系统的上述产品，按照国家有关保密规定和标准执行，不适用本规则。

    2．认证模式

    型式试验 + 初始工厂检查 + 获证后监督

    3．认证的基本环节

    3.1认证申请及受理
    3.2型式试验委托及实施
    3.3初始工厂检查
    3.4认证结果评价与批准
    3.5获证后监督

    4．认证实施

    4.1认证程序

    申请方可选择集中受理或分段受理两种方式中任意一种进行认证证书申请，两种方式下获得的证书是等效的。

    4.1.1集中受理流程

    申请方向指定的认证机构申请认证，认证机构对申请产品进行单元划分并审查申请资料，确认合格后向实验室（由申请方自主从指定实验室名单中选取）安排检测任务。实验室依据相关产品强制性认证实施规则进行检测，并在完成检测后向认证机构提交完整的检测报告。认证机构对检测报告审查合格后，由认证机构进行初始工厂检查。认证机构对型式试验、初始工厂检查结果进行综合评价，评价合格后向申请方颁发认证证书。认证机构组织对获证后的产品进行定期的监督。

    4.1.2分段受理流程

    申请方自主从指定实验室名单中选取实验室，并向实验室提交相关申请材料。实验室对申请产品进行单元划分，审查并确认所需资料合格后，依据认证实施规则进行检测，检测通过后向认证机构提交检测报告。检测报告经认证机构确认合格后，申请方向认证机构提交认证所需资料。认证机构审查并确认所需资料合格后，由认证机构进行初始工厂检查。认证机构对型式试验、初始工厂检查结果进行综合评价，评价合格后向申请方颁发认证证书。认证机构组织对获证后的产品进行定期的监督。

    4.2认证申请及受理

    4.2.1认证的单元划分

    按产品型号/版本申请认证，若产品的信息安全关键件实现方式相同的可作为一个单元申请认证。

    以多于一个型号/版本的产品为同一认证单元申请认证时，申请方应提交同一认证单元中型号/版本间的差异说明及相关自测报告。

    4.2.2申请时需提交的文件资料

    申请方在申请产品认证时，提交的文件资料应至少包含以下内容：

    1.申请方情况：

    1）基本情况介绍；
    2）相关资质证明材料（复印件）；
    3）质量体系方面有关的文件；
    4）申请方声明。

    2.产品相关说明：

    1）中文产品功能说明书和/或使用手册；
    2）认证标准的适用性说明；
    3）产品研制主要技术人员情况表；
    4）产品测试技术人员情况表；
    5）产品测试使用的主要设备表（如适用）；
    6）中文铭牌和警告标记（如适用）；
    7）同一认证单元中型号/版本间的差异说明及相关自测报告（如适用）；
    8）产品密码检测证书。

    3.申请认证产品的安全保证要求说明，包括以下方面：

    1）安全目标；
    2）功能规范；
    3）高层设计；
    4）低层设计；
    5）对应性分析；
    6）安全策略模型；
    7）指导性文档；
    8）脆弱性分析；
    9）开发者的测试报告；
    10）开发者的测试分析；
    11）开发安全；
    12）开发工具和技术；
    13）生命周期定义；
    14）交付和运行；
    15）配置管理文档；
    16）实现表示。

    4.3型式试验委托及实施

    4.3.1型式试验的送样

    4.3.1.1型式试验送样的原则

    认证单元中只有一个型号/版本的，送该型号/版本的样品。以多于一个型号/版本的产品作为同一认证单元申请认证时，应从中选取典型的型号/版本作为送样产品。

    4.3.1.2送样要求和数量

    型式试验的样品由申请方负责选送，并对选送样品负责。一般每种产品送样 40套。

    4.3.1.3型式试验样品及相关资料的处置

    认证结束后，申请方可向实验室申请取回型式试验样品，相关申请资料由认证机构、实验室妥善处置。

    4.3.2测评标准和项目

    测评依据的标准为：

    GB/T 20276《信息安全技术 智能卡嵌入式软件安全技术要求（EAL4增强级）》（基于GB/T 18336《信息技术 安全技术 信息安全技术评估准则》的通用要求）。

    测评项目见附件 2、附件 3。

    4.3.3型式试验报告的提交

    型式试验完成后，实验室出具型式试验报告并提交给认证机构。

    4.4初始工厂检查

    4.4.1检查内容

    初始工厂检查的内容为信息安全保证能力、质量保证能力和产品一致性检查。

    4.4.1.1信息安全保证能力检查

    由认证机构派检查员对工厂按照《智能卡 COS强制性认证安全保证评估项目》（见附件 3）进行信息安全保证能力检查。

    4.4.1.2质量保证能力检查

    由认证机构派检查员对工厂按照《质量保证能力基本要求》（附件5）及认证机构制定的补充检查要求（适用时）进行检查。

    4.4.1.3产品一致性检查

    初始工厂检查时，应在生产现场对申请认证的产品进行一致性检查。 

    重点核实以下内容：

    1）认证产品的铭牌、包装上所标明的及运行时所显示的产品名称、型号/版本号与型式试验报告上所标明的内容是否一致；
    2）非认证的产品是否违规标贴了认证标识。

    4.4.2初始工厂检查时间

    一般情况下，认证机构对 4.2.2中的资料进行审查并在型式试验完成后，再进行初始工厂检查。特殊情况时，型式试验和初始工厂检查也可以同时进行。

    初始工厂检查时间根据所申请认证产品的单元数量确定，并适当考虑生产厂的规模，一般每个生产厂为 4至 6个人日。

    4.5认证结果评价与批准

    4.5.1认证结果评价与批准

    认证机构负责对型式试验、初始工厂检查结果进行综合评价，评价合格的，由认证机构对申请方颁发认证证书（每一个认证单元颁发一个认证证书）。如认证决定过程中发现不符合认证要求项，允许限期（不超过 3个月）整改，如期完成整改后，认证机构采取适当方式对整改结果进行确认，重新执行认证决定过程。

    4.5.2认证时限

    认证时限是指自申请被正式受理之日起至颁发认证证书时止所实际发生的工作日，其中包括型式试验时间、初始工厂检查及提交报告时间、认证结论评定和批准时间以及证书制作时间。

    型式试验时间一般不超过 120个工作日（因检测项目不合格，进行整改和复试的时间不计算在内，整改时间一般不超过 6个月）。一般在型式试验报告提交后 30个工作日内安排初始工厂检查。初始工厂检查时间根据所认证产品的单元数量确定，并适当考虑生产厂的生产规模，一般为 4至 6个人日。初始工厂检查后提交报告时间一般为 5个工作日，以检查员完成现场检查，收到并确认工厂递交的不合格纠正措施报告之日起计算。

    认证结论评定、批准时间以及证书制作时间共计不超过 5个工作日。

    4.6获证后监督

    4.6.1监督的频次

    4.6.1.1从获证后第12个月起进行第一次获证后监督，此后每 12个月进行一次获证后监督。必要情况下，认证机构可采取事先不通知的方式对生产厂实施监督。

    4.6.1.2若发生下述情况之一可增加监督频次：

    1）获证产品出现严重质量问题时,或者用户提出投诉并经查实为证书持有者责任时；
    2）认证机构有足够理由对获证产品与本规则中规定的标准要求的符合性提出质疑时；
    3）有足够信息表明工厂因组织机构、生产条件、质量管理体系等发生变更，从而可能影响产品质量时。