适用范围

云计算 安全防护产品开展的信息安全认证。 云计算安全防护产品是以软件版本方式或以互联网方式交付的，为云 平台或其他云计算环境下的系统提供包括但不限于抗拒绝服务攻击、web 应用安全防护、内容过滤、虚拟防火墙、网络脆弱性检测、主机安全防护、 网络入侵检测等一种或多种安全防护组件的产品，并同时能够实现安全防 护组件的自动化部署、授权自动分发、集中管控、日志统一收集等功能。 以软件版本方式交付的产品是指云计算开发商向其客户交付一个具体 的软件版本，传统的软件产品交付模式大多是这种方式。此情况在私有云 场景下比较典型。 以互联网方式交付的产品是指在互联网上部署，快速迭代的方式开发 和发布，此情况在公有云场景下比较典型。

认证模式

型式试验 + 初始工厂检查（如适用）+ 获证后监督

认证的基本环节

1) 认证申请及受理

2) 文档审核

3) 型式试验委托及实施

4) 初始工厂检查（如适用）

5) 认证结果评价与批准

6) 获证后监督

认证流程

申请方向认证机构申请认证，认证机构在接收到申请方的认证申请后， 审查申请资料，确认合格后向申请方选择的实验室安排检测任务，并通知 2 申请方根据要求送样。实验室依据相关标准和/或技术规范进行检测，并在 完成检测后向认证机构提交检测报告。认证机构对检测报告审查合格后， 需要时由认证机构组织进行初始工厂检查。认证机构对型式试验、初始工 厂检查结果（如适用）进行综合评价，并在认证决定评价合格后向申请方 颁发认证证书。认证机构组织对获证后的产品进行定期的监督。

认证申请及受理

申请方向认证机构递交认证申请，并按要求提交相关资料，认证机构 对资料进行初审，确定申请方提交资料满足要求后，受理该申请。

认证的单元划分

云计算安全防护产品原则上按照产品及其安全防护组件的名称、型号和 版本划分认证单元。

申请资料要求

申请方在申请产品认证时，应至少提交以下资料：

1） 申请基本信息：• 认证申请书； • 申请方声明； • 相关法律地位证明材料（复印件）。

2） 产品相关说明： • 中文产品功能说明书（含安全防护组件说明）； • 中文产品使用手册； • 产品研制主要技术人员情况表；• 产品测试技术人员情况表； • 产品测试使用的主要设备表（如适用）； • 中文铭牌和警告标记（如适用）；

3） 安全保障要求方面的文档： • 生命周期支持； • 开发文档；• 指导性文档； • 测试文档； • 脆弱性评定文档。

4） 安全目标（如适用）。

送样要求和数量

用于检测的样品由申请方负责按上述要求选送，并对选送样品负责。 一般每种产品送样 2 套，如果特殊需求可以增加送样数量。送样原则 以软件版本交付的产品，由申请方将样品送到检测实验室。 以互联网方式交付的产品，需由申请方配合检测实验室在对应云计算 环境下完成检测环境和资源搭建。 如果测试环境有特殊要求，申请方需要提供相应的说明及辅助设备。

检测依据

• GB/T 18336《信息技术 安全技术 信息技术安全评估准则》 • CCRC-TR-089《云计算安全防护产品安全技术要求与测试评价方法》

认证时限

样品的检测一般由认证机构指定的检测实验室在 20 个工作日内完成。认证时限是指自申请被正式受理之日起至颁发认证证书时止所实际发 生的工作日，一般在 90 个工作日内，最长不超过 150 个工作日。整改时间 不计算在内。

认证结果评价与批准

认证机构负责对型式试验结果、申请材料等进行综合评价，评价合格的，由认证机构对申请方颁发认证证书。 每一个认证单元颁发一张云计算安全防护产品信息安全认证证书，证 书内容中体现相关安全防护组件的信息。 如认证决定过程中发现不符合认证要求项，允许限期（不超过 3 个月） 整改，如期完成整改后，认证机构采取适当方式对整改结果进行确认，重 新执行认证决定过程。

获证后监督

监督的频次 从获证后每 12 个月进行一次获证后监督。

证书的有效性

证书有效期为 3 年。在有效期内，通过每年对获证后的产品进行监督 确保认证证书的有效性。

信息安全认证实施规则 - 云计算安全防护产品

业务专线 18927411650

软件与信息安全产品检测

信息安全产品认证