中国信息安全测评中心-产品分级评估-柠檬ai自媒体

定义

信息技术产品分级评估是指依据国家标准 GB/T 18336—2015《信息技术安全技术信息技术安全评估准则》，综合考虑产品的预期应用环境，通过对信息技术产品的整个生命周期，包括技术、开发、管理、交付等部分进行全面的安全性评估和测试，验证产品的保密性、完整性和可用性程度，确定产品对其预期应用而言是否足够安全，以及在使用中隐含的安全风险是否可以容忍，产品是否满足相应评估保障级的要求。

适用范围、等级

具有安全功能的信息技术产品，如：防火墙、IDS/IPS、智能卡、芯片、USBKey、扫描器、安全审计、数据库、操作系统等。

目前受理的级别包括：EAL1、EAL2、EAL3、EAL4、EAL5、EAL6、EAL7 及相应增强级，如 EAL3+、EAL4+、EAL5+。

申请材料

基本资料

1.申请书纸版和电子版（光盘）各1份

2.分级评估文档电子版（光盘）1份

3.评估文档最终版的电子版1份

4.测试样机至少两台，智能卡类样品数量另行协商确定

注意:

1.在测试过程中，如发现产品存在问题需进行回归测试，并收取一定的回归测试费。

2.在获得测评证书后，测试样机仍需在中心保存3个月。在此期间内，如产生对报告或评估结果的疑义，申请方可以书面形式提交至中心，我中心将视情况予以妥善处理，必要时可进行复测。

3.软件样品和智能卡类样品，原则上由实验室保留，不予返回申请方。

证明材料

1.提供单位的营业执照（附副本复印件）。

2.提供单位的法定代表人身份证明文件（附复印件）。

3.如果申请评估的产品采用了加密算法，应提供密码主管部门的批文或商密科研、生产定点单位的相关授权证明（附复印件）。

4.提供其他重要证书的复印件（例如测评证书、著作权证书、专利证书等）。

认证流程

评估内容

评估内容主要包括评估活动、安全性测试、现场核查。

1.评估活动主要包括：

安全目标评估

开发活动评估

指导性文档评估

生命周期支持评估，包括配置管理、交付、开发安全、生命周期定义等

测试评估

脆弱性评定评估

2.安全性测试主要包括：

独立性测试：为了验证被评估产品所提供的安全功能是否能够正确实现，评估者从申请方提供的测试文档中抽取一定数量的测试用例，并经重新设计后来完成对安全功能的验证性测试操作。

穿透性测试：评估者通过实施穿透性测试，验证被评估产品在预期环境下是否存在明显的可被利用的脆弱性，从而威胁产品及其保护资产的安全。

安全性能测试：对于存在性能测试需求的产品，评估者参考 RFC2544、RFC3511 等标准和规范，对被评估产品实施安全性能测试。

3.现场核查主要包括：

核查配置管理、交付、开发安全、现场核查的形式包括文档证据审查、实际环境审查以及与有关人员交流。EAL3级（含）以上分级评估将进行现场核查，现场核查约在评估过程进行至70%左右时进行。

关于信息技术产品分级评估详细介绍信息，请联系下方客服。免费获取更多介绍资料。

识别二维码

添加客服微信

用龙域，更安心

长按扫码

审核员考试服务平台

关注龙域iLONGYU

文章转载自微信公众号：龙域认证互联网服务平台

内容来源网络，如有侵权，联系删除，本文地址：https://www.230890.com/zhan/138883.html

中国信息安全测评中心-产品分级评估

相关推荐

用香皂洗脸好吗（香皂洗脸的利与弊）

阿里的四人电单车

输卵管切除一边还可以怀孕吗（输卵管手术后当月怀孕）

梦幻诛仙灵兜兜怎么获得，新梦幻诛仙兜兜奇遇攻略

心情不好面朝大海心情的说说（伤感有内涵的心情语录）

参陪的意思,参陪是什么意思-组词（字义,诗词）