在新商用密碼產品認證梳理——認證流程篇中提到初始工廠檢查
- 商用密碼產品認證包括: 型式試驗 + 初始工廠檢查 + 獲證後監督
- 初始工廠檢查:對生產企業實施初始工廠檢查,包括其生產能力、質量保障能力、安全保障能力和產品一致性控制能力等。
本次對初始工廠檢查做進一步分析說明。本章內容主要參考密碼行業標準。
- GM/T 0065-2019 《商用密碼產品生產和保障能力建設規範》
- GM/T 0066-2019 《商用密碼產品生產和保障能力建設實施指南》
Q1. 哪些企業需要審查?
申報商密認證的企業都需要審查,需提交審覈材料,有的還需接受現場審查。GM/T 0066-2019的6.3.3.1節明確規定,以下情況應進行現場審查
- “對生產單位不同類別首款產品應進行現場審覈”
- “申請材料真實性缺少佐證、申請條件符合性差、生產單位曾受過相關行政處罰等,應進行現場審查”
因此,網安需要“提交審覈材料,接受現場審查”。
Q2. 檢測項目與達標要求
檢測項目分如下三個部分。
表1 檢測項目
|
檢測項目 |
要求數量 |
達標要求 |
|
基本項 |
4項 |
必須達到的基本條件,關鍵指標。 有一項不達標則終止審查。 |
|
聲明項 |
3項 |
補充說明項,缺少則終止審查。 |
|
評估項 |
4大項 |
打分制,滿分500分,總分至少得達到350分。 |
評估項(500分)概況如下,詳情建議參見GM/T 0066-2019的附錄A.1。
- 生產能力(200分)
- 質量保障能力(100分)
- 安全保障能力(150分)
- 服務保障能力(50分)
不同等級密碼模塊和密碼芯片對評估項分值的要求不同,如下表。
表2 評估項概況
|
|
模塊1級
|
模塊2級 芯片1級 |
模塊3級 芯片2級 |
模塊4級 芯片3級 |
|
生產能力 |
≥50% |
≥60% |
≥70% |
≥80% |
|
質量保障能力 |
≥80% |
≥80% |
≥80% |
≥80% |
|
安全保障能力 |
≥50% |
≥60% |
≥70% |
≥80% |
|
服務保障能力 |
≥70% |
≥70% |
≥70% |
≥70% |
|
總分 |
≥60% |
≥70% |
≥80% |
≥90% |
Q3. 執行流程
執行流程分兩大部分共5步(如下表和下圖)。
圖1 執行流程圖
表3 執行流程介紹
|
|
步驟 |
審查內容 |
說明 |
|
形式審查 |
1 |
申請材料形式審查 |
可補充修正材料 |
|
實質審查 |
2 |
前置評估(基本項和聲明項) |
必需達標;不達標則終止流程 |
|
3 |
現場審查(評估項) |
專家組評估,可不到現場審查。 |
|
|
4 |
完成評估項打分 |
評估項打分。要求350/500分。 |
|
|
5 |
完成評估報告 |
完整評估報告 |
如前所述,“對生產單位不同類別首款產品應進行現場審覈”。
Q4. 審查的執行標準規範
- GM/T 0065-2019 《商用密碼產品生產和保障能力建設規範》
- GM/T 0066-2019 《商用密碼產品生產和保障能力建設實施指南》。
Q5. 相關表項信息在哪裏獲得?
參見GM/T 0066-2019的附錄A和附錄B。
- 基本項:見附錄A.1
- 聲明項:見附錄A.1,其中“關鍵人員”見附錄A.2;“單位性質”見附錄A.3;“數據管理”見附錄A.4
- 評估項:見附錄A.1
- 評估報告:見附錄B
Q6. 審查通過的難度大嗎?
建議結合GM/T 0066-2019的附錄A(含附錄A.1、A.2、A.3、A.4)和附錄B進行自評,以預估符合程度與難度。