新商用密码产品认证梳理_工厂检查篇

在新商用密码产品认证梳理——认证流程篇中提到初始工厂检查

• 商用密码产品认证包含： 型式试验 + 初始工厂检查 + 获证后监督
• 初始工厂检查：对生产企业实施初始工厂检查，包含其生产能力、质量保障能力、安全保障能力和产品一致性控制能力等。

本次对初始工厂检查做进1步分析说明。本章内容主要参考密码行业标准。

• GM/T 0065-2019 《商用密码产品生产和保障能力建设规范》
• GM/T 0066-2019 《商用密码产品生产和保障能力建设实施指南》

Q1. 什么企业必须审查？

申报商密认证的企业都必须审查，需提交审核资料，有的还需接受现场审查。GM/T 0066-2019的6.3.3.1节明确规定，以下情况应进行现场审查

1. “对生产单位不同类别首款产品应进行现场审核
2. “申请资料真实性缺少佐证、申请资格条件符合性差、生产单位曾受过相关行政处罚等，应进行现场审查

因此，网安必须“提交审核资料，接受现场审查。

Q2. 检测项目与达标要求

检测项目分如下3个部分。

表1 检测项目

检测项目

要求数量

达标要求

基本项

4项

必须达到的基本条件，关键指标。

有一项不达标则终止审查。

声明项

3项

补充说明项，缺少则终止审查。

评估项

4大项

打分制，满分500分，总分至少得达到350分。

评估项（500分）概况如下，详情建议参见GM/T 0066-2019的附录A.1。

• 生产能力（200分）
• 质量保障能力（100分）
• 安全保障能力（150分）
• 服务保障能力（50分）

不同等级密码模块和密码芯片对评估项分值的要求不同，如下表。

表2 评估项概况

模块1级

模块2级

芯片1级

模块3级

芯片2级

模块4级

芯片3级

生产能力

≥50%

≥60%

≥70%

≥80%

质量保障能力

≥80%

≥80%

≥80%

≥80%

安全保障能力

≥50%

≥60%

≥70%

≥80%

服务保障能力

≥70%

≥70%

≥70%

≥70%

总分

≥60%

≥70%

≥80%

≥90%

Q3. 执行流程

执行流程分两大部分共5步（如下表和下图）。

图1 执行流程图

表3 执行流程介绍

步骤

审查内容

说明

形式审查

1

申请资料形式审查

可补充修正资料

实质审查

2

前置评估（基本项和声明项）

必需达标；不达标则终止流程

3

现场审查（评估项）

专家组评估，可不到现场审查。

4

完成评估项打分

评估项打分。要求350/500分。

5

完成评估报告

完整评估报告

如前所述，“对生产单位不同类别首款产品应进行现场审核。

Q4. 审查的执行标准规范

• GM/T 0065-2019 《商用密码产品生产和保障能力建设规范》
• GM/T 0066-2019 《商用密码产品生产和保障能力建设实施指南》。

Q5. 相关表项信息在哪儿获得？

参见GM/T 0066-2019的附录A和附录B。

• 基本项：见附录A.1
• 声明项：见附录A.1，其中“关键人员见附录A.2；“单位性质见附录A.3；“数据管理见附录A.4
• 评估项：见附录A.1
• 评估报告：见附录B

Q6. 审查通过的难度大吗？

建议结合GM/T 0066-2019的附录A（含附录A.1、A.2、A.3、A.4）和附录B进行自评，以预估符合程度与难度。