中国信息安全测评中心(2008-11-17 04:47:20)

一、分级评估的目的和意义是什么? 1. 对信息安全产品依据国家标准进行分级评估； 2. 判定产品是否满足标准中的安全功能和安全保证要求； 3. 有助于在涉及国家安全的信息安全领域中加强产品的安全性和可控性，维护国家和用 户的安全利益； 4. 促进中国信息安全市场优胜劣汰机制的建立和完善，规范市场。 二、分级评估业务适用范围有哪些? 具有信息技术安全功能的产品，如：防火墙，IDS/IPS、智能卡、网闸、桌面控制、审计等。 三、分级评估目前可受理的级别包括哪些? 目前可受理的级别包括：EAL1、EAL2、EAL3、EAL4、EAL5及上述各级别的增强级。 四、对分级评估申请者有什么要求? 向中国信息安全测评中心(以下简称国家测评中心)提交分级评估申请的用户，须符合以下要求： 1. 政府机关、具有独立法人资格的合法经营机构或研究机构，可直接向国家测评中心提出评估申请； 2. 涉外企业须通过国内代理向国家测评中心提出评估申请，代理机构应符合第1项中的要求。 五、如何申请分级评估? 申请方应填写《信息安全产品分级评估申请书》（可通过国家测评中心网站http://www.itsec.gov.cn下载），其中纸版、电子版各两份。 国家测评中心在收到申请书后的10个工作日内，通知申请方是否正式受理申请。 六、分级评估依据和参考的标准是什么? 依据标准： １. GB/T 18336-2001《信息技术 安全技术 信息技术安全性评估准则》。 参考标准： 1. 《通用评估方法》； 2. 产品相应保证级的安全技术要求； 3. 产品相关国家和国际标准。 　　七、分级评估的主要步骤有哪些? 1. 文档评估：对分级文档进行评估； 2. 安全性测试：包括独立性测试、穿透性测试； 3. 现场核查：EAL3级（含）以上需要此步骤，核查配置管理、开发安全、交付运行。 八、分级评估的主要阶段包括哪些? 1.受理阶段； 2.预评估阶段； 3.评估阶段： 4.注册阶段。 九、产品送测的具体要求是什么? 用户按下列要求将送测物品送达国家测评中心： 1. 产品提交时间最晚不得超过评估进展至50%时； 2. 产品配置必须与ST中描述的完全一致； 3. 送测样品（硬、软件）至少两台套； 4. 相关的产品配件，如IC卡、磁盘、光盘等； 5. 完整的技术文档、指令手册、用户手册等； 6. 相关的计算机或通信外设； 7. 申请者在其它测试机构测试或自测的有关文档； 8. 其它需要的技术文件。 十、现场核查的主要内容有哪些? EAL3级（含）以上分级评估包括现场核查的内容： 1. 现场核查约在评估过程进行至70%左右时进行； 2. 现场核查的内容包括配置管理、交付运行和开发安全； 3. 现场核查的形式包括文档证据审查、实际环境审查以及与有关人员交流。 十一、分级评估的周期有多长? 评估开始时间为厂家接到项目启动通知单的时间，评估结束时间为评估部门出具评估技术报告的时间。 * EAL1: 20个工作日 * EAL2: 30个工作日 * EAL3: 60个工作日 * EAL4: 90个工作日 * EAL5: 120个工作日 十二、评估后的产品，注册公告需多长时间? 产品通过评估后，将进入注册公告阶段，其时间为10个工作日。