Common Criteria - 資通訊產品 - 開發與生產場所認證 (Site Certification) 服務


介紹

資通訊 (ICT) 產品的開發和生產場所,可以根據 Common Criteria (CC) 要求,進行單獨評估和認證。

這開發和生產場所的運營商,可以向 德國 聯邦資訊安全辦公室 (Federal Office for Information Security (German: Bundesamt für Sicherheit in der Informationstechnik, abbreviated as BSI)) 申請根據開發和生產場所安全認證 (site certification)。通常,進行此類認證的目的,是為了在此地點開發或生產的資通訊 (ICT) 產品的後續認證過程中重複使用結果。例如,如果在一個地點生產相同類型,且可能來自不同開發公司的不同產品,則現場認證可以用來支持產品認證。

CCRA 支持文件 (supporting document)  -  場所安全認證要求:

上述文件,通常也被用在 CC 評估與認證過程。


開發和生產場所安全認證 (site certification),在 CC 評估與認證過程中,協助客戶對於生命週期安全 (Lifecycle - ALC) 的保證等級,提供支持。在上述 CC 支持文件中,定義了包含評估 ALC 的特定流程與規則。

開發和生產場所安全認證 (site certification) 證書,並不在不在 CC 國際認可協議範圍 (MRA)。但在協議範圍內的各國認證機構,可以自行做出決定是否採用,並將它們包含在生命週期安全 (Lifecycle - ALC) - 場地安全的評估結果中。目前,全球頂尖的資訊產品開發商、生產商大多已經取得認證,CC 國際認可協議範圍 (MRA) 內的各成員國,普遍接受由德國所提供的開發和生產場所安全認證 (site certification) 證書。


適合對象

產品的開發和生產場所認證 (Site Certification) 

  • 什麼時候可以開始規劃產品的開發和生產場所認證:由於共同準則評估涵蓋全產品生命週期,包含設計、開發生產、測試、交付等各階段的安全評估。不論是您為了支持您的客戶,或是為了取得生產訂單,您都必須先獲得認證。
  • 產品的開發和生產場所認證 (Site certification) 效期:在生產場所沒有進行任何變更的情況下,一般效期為 2 年
    • 於疫情期間,由於部分活動透過遠距稽核 (remote audit) 及工具進行,證書有效期間將縮短為 1~ 1.5 年


服務內容

我們可以提供,但不限於下列服務:

  1. 生產場所認證前期評估 (Preliminary assessment) 與範圍 (scopping) 
  2. 協助導入與準備生產場所認證 (Site certification) 與文件 (documentation) 
    • 生產場所安全標的 (site security target, SST)
    • CC 生命週期支持要求 (life-cycle support, ALC)
  3. 認證前評估 (Pre-assessment) 與認證稽核諮詢


討論與聯絡

為了協助您儘快釐清共同準則評估與認證的可行性,請預先準備下列資料,便於討論:

  1. 開發與生產場所資料,例如,平面圖
  2. 開發與生產場所安全控制措施說明 (如果該場所已經通過 ISO/IEC 27001 認證,將有助於本認證)


   聯絡資料:


   Philip KU

   philip.ku@tksg.global  PGP Public Key ]

   (PGP Fingerprint: BE11 C1CC BFE2 A3A9 4929  3D1C 10FF C3BE A51C 92F7)

Last modified: Tuesday, 13 July 2021, 4:13 PM