6.設備認證規定 6.1 申請程序 6.1.1 關鍵電信基礎設施設置者、資通設備製造商、進口商、經銷商或代 理商,申請資通設備資安審驗(即認證)時,應填具關鍵電信基礎 設施資通設備資通安全審驗申請書,並檢附下列文件之紙本或電子 檔向本會或本會委託之關鍵電信基礎設施資通設備驗證機構(以下 簡稱驗證機關(構))提出申請。經審驗合格者,由驗證機關(構 )核發印有審驗合格標籤式樣之審驗合格證明: (1)正體中文或英文之設備使用手冊或說明書(包括軟體更新支援週 期、年限,及不再提供更新時之設備更換計畫)。 (2)依第 5 點所為之資通設備資通安全測試報告(以下簡稱測試報 告)。 (3)正體中文或英文之原廠設備性能規格資料、型錄、軟韌體版本號 編碼原則,與設備功能、安全功能、管理功能之架構圖或方塊圖 ,及安全功能摘要表。設備性能規格資料至少應包括: I.防火牆:吞吐量(Throughput)、每秒最大建立連線數、最大 同時連線數量、效能穩定度及效能可靠度。 II.交換器:吞吐量/頻寬、生成樹( Spanning Tree)防護、效 能穩定度及效能可靠度。 III.路由器:吞吐量/頻寬、最大路由設定數、效能穩定度及效能 可靠度。 (4)軟韌體開發供應鏈安全聲明。 (5)申請者為本國自然人應檢附身分證明文件,本國法人、非法人團 體或外國製造商應檢附設立相關證明文件。 (6)其他經主管機關要求提供之審驗相關資料。 (7)包括(1)至(6)之資料電子檔(以電子檔申請者免附)。 6.1.2 申請審驗檢附之文件,除電子檔由驗證機關(構)留存外,其餘文 件於核發審驗合格證明時一併發還。 6.1.3 測試報告應由經財團法人全國認證基金會(以下簡稱認證組織)認 證,且經本會認可,具執行本技術規範測試內容之測試機構出具。 無測試機構可提供測試服務時,申請者應依下列順序洽相關機構提 供測試報告: (1)他國取得國際實驗認證聯盟(International Laboratory Accreditation Cooperation,ILAC)會員資格之認證組織認可之 測試實驗室。 (2)設備製造商。 6.1.4 測試報告內容應包括下列各項: (1)申請者名稱及地址。 (2)測試機構之名稱及地址。 (3)測試報告之唯一識別及每一頁上之識別。 (4)設備製造商名稱及地址。 (5)設備名稱、廠牌、型號、軟韌體版本及 4x6 吋以上正面清晰可 辨之彩色照片或圖片,其廠牌、型號須清晰可辨讀,並包含樣品 之頂視圖、底視圖、左視圖、右視圖、正視圖及背視圖。 (6)測試項目及合格標準。 (7)測試紀錄及判定結果。 (8)測試設備之名稱、廠牌、型號、軟韌體版本及參考之 NVD 版本 。 (9)測試受理及完成日期。 (10)執行測試人員及報告簽署人之姓名、職稱及簽名。 6.1.5 應檢附之文件或物品誤漏或不全時,驗證機關(構)應通知申請者 於一個月內補正;屆期未補正或補正仍不完備者,駁回其申請。 6.1.6 驗證機關(構)依第 5 點審驗。經審驗不合格者,驗證機關(構 )得列舉不合格事項,通知申請者於二個月內改善;屆期未改善或 改善後再次審驗仍不合格者,駁回申請。 6.1.7 申請者與申請測試報告者不同時,申請者應另行檢附公司或商業登 記證明文件影本,及測試報告使用之授權書。 6.1.8 關鍵電信基礎設施設置者申請資通設備審驗者,其結果適用於所有 同廠牌同型號同軟韌體版本之資通設備。資通設備製造商、進口商 、經銷商或代理商申請審驗者,審驗結果適用其同廠牌同型號同軟 韌體版本之資通設備。除本規範另有規定外,同軟韌體版本以資通 設備之大修正版本(Major/Main release)為原則。 6.1.9 不同廠牌、型號之資通設備應分別申請審驗。經審驗合格之資通設 備,如變更其廠牌、型號,應重新申請審驗;軟韌體版本變更者, 應於十四日內以書面敘明版本及性能差異報請原驗證機構備查;必 要時,驗證機構得要求重新審驗或就變更部分進行審驗。 6.2 審驗合格證明管理 6.2.1 審驗合格標籤專屬取得審驗合格證明者所有。取得審驗合格證明者 檢具下列文件,報請驗證機關備查後,得同意他人於同廠牌、型號 及韌體版本之關鍵資通設備使用該審驗合格標籤: (1)審驗合格證明影本。 (2)使用人之公司或商業登記證明文件影本。 6.2.2 取得資通設備審驗合格證明之資通設備製造商、進口商、經銷商或 代理商,其審驗合格之資通設備有下列情形之一時,核發其審驗合 格證明之驗證機關(構)應於該設備審驗合格證明註記「安全漏洞 待修補」字樣。經取得審驗合格證明者,檢附測試機構出具資通設 備已修補相關 CVE 之測試報告予驗證機構,驗證機關(構)始予 塗銷審驗合格證明「安全漏洞待修補」註記。 (1)資通設備之作業系統或網路服務,經披露具 CVSS 評分 7.0 分 以上之 CVE,未於披露之日起十四日內,檢附檢測機構出具足以 佐證該 CVE 已修補完成之測試報告。 (2)資通設備之作業系統或網路服務,經披露具 CVSS 評分 4.0-6.9 分(含)之 CVE,未於披露之日起四十五日內,檢附檢測機構出 具足以佐證該 CVE 已修補完成之測試報告。 (3)資通設備之作業系統或網路服務,經披露具 CVSS 評分 0.1-3.9 分(含)之 CVE,未於披露之日起六個月內,檢附檢測機構出具 足以佐證該 CVE 已修補完成之測試報告。 6.2.3 有下列情事之一者,得廢止或撤銷其審驗合格證明: (1)申請審驗時提供不實資料。 (2)違反 6.1.9 規定。 (3)經抽驗未符合 5.1 及 5.2 規定。 (4)因代理權、專利權爭議,經法院判決敗訴確定或違反其他規定致 不得販賣。 (5)經有關機關公告或通知有危害國家安全之虞。 6.2.4 審驗合格證明遺失或毀損時,得檢附換(補)發申請書,向原驗證 機關(構)申請補發或換發。 6.2.5 審驗合格證明登載事項變更符合下列情形之一者,向原驗證機關( 構)申請換發: (1)製造商變更或新增。 (2)申請者變更名稱或地址。 (3)申請者因公司合併或分割,經報請主管機關同意由合併或分割後 存續或新設之公司使用原審驗合格證明。 6.2.6 依前項規定申請換發,應檢附文件如下: (1)屬 6.2.5(1) 者:換(補)發申請書、設備委託生產相關證明 文件及設備符合技術規範之聲明書。 (2)屬 6.2.5(2) 者:換(補)發申請書、自然人應檢附身分證明 文件(雙證件)影本,法人、非法人團體應檢附設立相關證明文 件影本。 (3)屬 6.2.5(3) 者:換(補)發申請書、公司或商業登記證明文 件、主管機關同意函。 6.3 附則 6.3.1 本規範所定之相關書表、作業流程及審驗合格證明格式,由本會訂 定公告之。 6.3.2 申請審驗、審驗合格證明補發或換發者,應依本會所定收費標準向 驗證機關(構)繳交審驗費或證照費。
資通設備認證申請程序、審驗合格證明管理及其他作業規定。