国家信息安全测评指南.docVIP

国家信息安全测评 信息安全产品分级评估业务FAQ 版本：2.1 ?版权2011—中国信息安全测评中心 二〇一一年三月 分级评估业务FAQ 一、分级评估的目的和意义 对信息安全产品依据国家标准进行分级评估； 判定产品是否满足标准中的安全功能和安全保证要求； 有助于在涉及国家安全的信息安全领域中加强产品的安全性和可控性，维护国家和用户的安全利益； 促进中国信息安全市场的优胜劣汰机制的建立和完善，规范市场。 二、分级评估业务适用范围 具有信息技术安全功能的产品，如：防火墙，IDS/IPS、智能卡、网闸、桌面控制、审计等。 三、分级评估目前可受理的级别包括哪些 目前受理的级别包括：EAL1、EAL2、EAL3、EAL4、EAL5及各级别的增强级。 四、对分级评估的申请者有什么要求 向中心提交分级评估申请的用户，须具备以下要求： 政府机关、具有独立法人资格的合法经营机构或研究机构，可直接向中心提出评估申请； 涉外企业须通过国内代理向中心提出评估申请，代理机构应符合第1项中的要求。 五、申请受理的程序如何 申请方应填写《信息安全产品分级评估申请书》（可以通过本中心网站下载），其中纸版、电子版各两份。 中心在收到申请书后的10个工作日内，通知申请方是否正式受理申请。 六、分级评估依据和参考的标准是什么 依据标准： GB/T 18336-2008《信息技术 安全技术 信息技术安全性评估准则》。 参考标准： 《通用评估方法》； 产品相应保证级的安全技术要求； 产品相关国家和国际标准。 七、分级评估的主要步骤 评估：对申请者提交的证据进行评估； 安全性测试：包括独立性测试、穿透性测试；（EAL1级不进行穿透性测试。） 现场核查：EAL3级（含）以上需要此步骤，核查配置管理、开发安全、交付运行。 八、分级评估的主要阶段有哪些 分级评估的主要阶段包括： 1）受理阶段； 2）预评估阶段； 3）评估阶段： 4）注册阶段。 九、产品送测的具体要求有哪些 用户按下列要求将送测物品送达本中心： 产品提交时间最晚不得超过评估进展至50%时； 产品配置必须与ST中描述的完全一致； 送测样品（硬、软件）至少两台套； 相关的产品配件，如IC卡、磁盘、光盘等； 完整的技术文档、指令手册、用户手册等； 相关的计算机或通信外设； 申请者在其他测试机构测试或自测的有关文档； 其他需要的技术文件。 十、现场核查的时间、内容以及形式 EAL3级（含）以上分级评估包括现场核查的内容： 现场核查约在评估过程进行至70%左右时进行； 现场核查的内容包括配置管理、交付运行和开发安全； 现场核查的形式包括文档证据审查、实际环境审查以及与有关人员交流。 十一、分级评估的周期 评估开始时间为厂家接到项目启动通知单的时间，评估结束时间为评估部门出具评估技术报告的时间。 EAL1: 20个工作日 EAL2: 30个工作日 EAL3: 60个工作日 EAL4: 90个工作日 EAL5: 120个工作日 十二、评估后的产品，注册公告需多长时间 产品通过评估后，将进入注册公告阶段，其时间为10个工作日。 中国信息安全测评中心 信息安全产品分级评估业务FAQ V2.1 第3页，共3页