在新商用密码产品认证梳理——认证流程篇中提到初始工厂检查
- 商用密码产品认证包括: 型式试验 + 初始工厂检查 + 获证后监督
- 初始工厂检查:对生产企业实施初始工厂检查,包括其生产能力、质量保障能力、安全保障能力和产品一致性控制能力等。
本次对初始工厂检查做进一步分析说明。本章内容主要参考密码行业标准。
- GM/T 0065-2019 《商用密码产品生产和保障能力建设规范》
- GM/T 0066-2019 《商用密码产品生产和保障能力建设实施指南》
Q1. 哪些企业需要审查?
申报商密认证的企业都需要审查,需提交审核材料,有的还需接受现场审查。GM/T 0066-2019的6.3.3.1节明确规定,以下情况应进行现场审查
- “对生产单位不同类别首款产品应进行现场审核”
- “申请材料真实性缺少佐证、申请条件符合性差、生产单位曾受过相关行政处罚等,应进行现场审查”
因此,网安需要“提交审核材料,接受现场审查”。
Q2. 检测项目与达标要求
检测项目分如下三个部分。
表1 检测项目
|
检测项目
|
要求数量
|
达标要求
|
|
基本项
|
4项
|
必须达到的基本条件,关键指标。
有一项不达标则终止审查。
|
|
声明项
|
3项
|
补充说明项,缺少则终止审查。
|
|
评估项
|
4大项
|
打分制,满分500分,总分至少得达到350分。
|
评估项(500分)概况如下,详情建议参见GM/T 0066-2019的附录A.1。
- 生产能力(200分)
- 质量保障能力(100分)
- 安全保障能力(150分)
- 服务保障能力(50分)
不同等级密码模块和密码芯片对评估项分值的要求不同,如下表。
表2 评估项概况
|
模块1级
|
模块2级
芯片1级
|
模块3级
芯片2级
|
模块4级
芯片3级
|
|
|
生产能力
|
≥50%
|
≥60%
|
≥70%
|
≥80%
|
|
质量保障能力
|
≥80%
|
≥80%
|
≥80%
|
≥80%
|
|
安全保障能力
|
≥50%
|
≥60%
|
≥70%
|
≥80%
|
|
服务保障能力
|
≥70%
|
≥70%
|
≥70%
|
≥70%
|
|
总分
|
≥60%
|
≥70%
|
≥80%
|
≥90%
|
Q3. 执行流程
执行流程分两大部分共5步(如下表和下图)。
图1 执行流程图
表3 执行流程介绍
|
步骤
|
审查内容
|
说明
|
|
|
形式审查
|
1
|
申请材料形式审查
|
可补充修正材料
|
|
实质审查
|
2
|
前置评估(基本项和声明项)
|
必需达标;不达标则终止流程
|
|
3
|
现场审查(评估项)
|
专家组评估,可不到现场审查。
|
|
|
4
|
完成评估项打分
|
评估项打分。要求350/500分。
|
|
|
5
|
完成评估报告
|
完整评估报告
|
如前所述,“对生产单位不同类别首款产品应进行现场审核”。
Q4. 审查的执行标准规范
- GM/T 0065-2019 《商用密码产品生产和保障能力建设规范》
- GM/T 0066-2019 《商用密码产品生产和保障能力建设实施指南》。
Q5. 相关表项信息在哪里获得?
参见GM/T 0066-2019的附录A和附录B。
- 基本项:见附录A.1
- 声明项:见附录A.1,其中“关键人员”见附录A.2;“单位性质”见附录A.3;“数据管理”见附录A.4
- 评估项:见附录A.1
- 评估报告:见附录B
Q6. 审查通过的难度大吗?
建议结合GM/T 0066-2019的附录A(含附录A.1、A.2、A.3、A.4)和附录B进行自评,以预估符合程度与难度。
