IT产品信息安全认证-操作系统安全加固

操作系统安全加固产品是指通过自主可控的安全技术对操作系统产品的安全性进行增强，提高对其本身以及系统内私人信息的正确控制，以降低未授权更改、不必要的或无保证的传播或遗失的可能性或损失的操作系统类信息安全产品。

一、适用范围

以操作系统安全加固功能为主体的软件或软硬件组合。

二、认证依据

GB/T18336《信息技术 安全技术 信息安全评估准则》ISCCC-TR-001《操作系统安全加固产品安全技术要求》

三、认证流程

认证申请及受理--文档审核--型式试验委托及实施--初始工厂检查（如适用） --认证结果评价与批准--获证后监督

四、认证模式

型式试验 + 初始工厂检查（如适用）+ 获证后监督

五、型式试验委托及实施

（一）型式试验送样的原则

送申请认证的型号版本的样品。申请方如果有特殊要求，需要提供相应的说明及辅助设备。用于检测的样品由申请方负责按上述要求选送，并对选送样品负责。一般每种产品送样2套，如果特殊需求可以增加送样数量。认证结束后，申请方可向实验室申请取回型式试验样品，相关申请资料由认证机构、实验室妥善处置。

（二）初始工厂检查

初始工厂检查的内容为信息安全保障能力、质量保证能力和产品一致性检查。

初始工厂检查时，应在生产现场对申请认证的产品进行一致性检查。重点核实以下内容：

1.认证产品的铭牌、包装上所标明的及运行时所显示的产品名称、型号/版本号与型式试验报告上所标明的内容是否一致；

2.认证产品所用的软件、硬件应与型式试验合格的样品一致；

3.非认证的产品是否违规标贴了认证标识。

（三）认证结果评价与批准

认证机构负责对型式试验结果等进行综合评价，评价合格的，由认证机构对申请方颁发认证证书（每一个认证单元颁发一个认证证书）。如认证决定过程中发现不符合认证要求项，允许限期（不超过3个月）整改，如期完成整改后，认证机构采取适当方式对整改结果进行确认，重新执行认证决定过程。

六、获证后监督

从获证后每12个月进行一次获证后监督。必要时，认证机构可采取事先不通知的方式进行必要的监督。

若发生下述情况之一可增加监督频次

1.获证产品出现严重质量问题时,或者用户提出投诉并经查实为证书持有者责任时；

2.认证机构有足够理由对获证产品与规定的标准要求的符合性提出质疑时；

3.有足够信息表明工厂因组织机构、生产条件、质量管理体系等发生变更，从而可能影响产品质量时。

获证后监督结果的评价

监督复查合格后，可以继续保持认证证书、使用认证标志。对监督复查时发现的不符合项应在3个月内完成纠正措施。逾期将撤销认证证书、停止使用认证标志操作系统安全，并对外公告。

（编辑：武陵站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!