信息技术产品安全测评证书流程是什么
一、产品类别确定
各类信息安全产品如防火墙、入侵监测、安全审计、网络隔离、VPN、智能卡、卡终端、安全管理等,以及各类非安全专用IT产品如操作系统、数据库、交换机、路由器、应用软件等。
根据测评依据及测评内容,分为:信息安全产品分级评估、信息安全产品认定测评、信息技术产品自主原创测评、源代码安全风险评估、选型测试、定制测试。
1、先确定产品的具体分类,对产品进行初步评估,确定产品的类别及所需要的产品检测类别,不同产品的要求也不一样。
2、内部进行初步评估,产品的技术实力、技术实现是否符合规范要求,技术能力是否达到要求,产品是否有做过自测试。
3、确定产品的测评等级。级别包括:EAL1、EAL2、EAL3、EAL4、EAL5、EAL6、EAL7 及相应增强级,如 EAL3+、EAL4+、EAL5+。
二、文件资料编写
1、信息技术产品分级评估申请书编写 内容包含:a、申请单位基本情况
b、研发单位基本情况
c、申请产品基本情况d、产品描述
e、TOE(评估对象)描述
f、分级文档提交列表
g、产品执行标准
h、产品主要开发人员列表及其简历
I、委托书L、申请单位声明
M、研发单位声明
N、研发单位与申请单位的测评合作协议
2、EAL分级文档编写
3、企业源代码
4、企业产品其他要求的文件,比如密码产品证书等
三、项目评估
1、文档审核通过后进入项目实施 评估内容:包括评估活动、安全性测试、现场核查共三个方面。1) 评估活动
2) 安全性测试主要包括:独立性测试、穿透性测试、安全性能测试:评估者参考 RFC2544、RFC3511 等标准和规范,对被评估产品实施安全性能测试。
3)现场核查主要包括: 核查配置管理、交付、开发安全。现场核查的形式包括文档证据审查、实际环境审查以及与有关人员交流。
四、评估时间
EAL1:20 个工作日
EAL2:40 个工作日
EAL3:60 个工作日
EAL4:90 个工作日
EAL5:120 个工作日
#信息安全 #信息与技术 #检测认证 #检测报告 #认证 #信息技术服务 #软件测试
一、产品类别确定
各类信息安全产品如防火墙、入侵监测、安全审计、网络隔离、VPN、智能卡、卡终端、安全管理等,以及各类非安全专用IT产品如操作系统、数据库、交换机、路由器、应用软件等。
根据测评依据及测评内容,分为:信息安全产品分级评估、信息安全产品认定测评、信息技术产品自主原创测评、源代码安全风险评估、选型测试、定制测试。
1、先确定产品的具体分类,对产品进行初步评估,确定产品的类别及所需要的产品检测类别,不同产品的要求也不一样。
2、内部进行初步评估,产品的技术实力、技术实现是否符合规范要求,技术能力是否达到要求,产品是否有做过自测试。
3、确定产品的测评等级。级别包括:EAL1、EAL2、EAL3、EAL4、EAL5、EAL6、EAL7 及相应增强级,如 EAL3+、EAL4+、EAL5+。
二、文件资料编写
1、信息技术产品分级评估申请书编写 内容包含:a、申请单位基本情况
b、研发单位基本情况
c、申请产品基本情况d、产品描述
e、TOE(评估对象)描述
f、分级文档提交列表
g、产品执行标准
h、产品主要开发人员列表及其简历
I、委托书L、申请单位声明
M、研发单位声明
N、研发单位与申请单位的测评合作协议
2、EAL分级文档编写
3、企业源代码
4、企业产品其他要求的文件,比如密码产品证书等
三、项目评估
1、文档审核通过后进入项目实施 评估内容:包括评估活动、安全性测试、现场核查共三个方面。1) 评估活动
2) 安全性测试主要包括:独立性测试、穿透性测试、安全性能测试:评估者参考 RFC2544、RFC3511 等标准和规范,对被评估产品实施安全性能测试。
3)现场核查主要包括: 核查配置管理、交付、开发安全。现场核查的形式包括文档证据审查、实际环境审查以及与有关人员交流。
四、评估时间
EAL1:20 个工作日
EAL2:40 个工作日
EAL3:60 个工作日
EAL4:90 个工作日
EAL5:120 个工作日
#信息安全 #信息与技术 #检测认证 #检测报告 #认证 #信息技术服务 #软件测试
