6.設備認證規定
6.1 申請程序
6.1.1 關鍵電信基礎設施設置者、資通設備製造商、進口商、經銷商或代
      理商，申請資通設備資安審驗（即認證）時，應填具關鍵電信基礎
      設施資通設備資通安全審驗申請書，並檢附下列文件之紙本或電子
      檔向本會或本會委託之關鍵電信基礎設施資通設備驗證機構（以下
      簡稱驗證機關（構））提出申請。經審驗合格者，由驗證機關（構
      ）核發印有審驗合格標籤式樣之審驗合格證明：
   （1）正體中文或英文之設備使用手冊或說明書（包括軟體更新支援週
        期、年限，及不再提供更新時之設備更換計畫）。
   （2）依第 5  點所為之資通設備資通安全測試報告（以下簡稱測試報
        告）。
   （3）正體中文或英文之原廠設備性能規格資料、型錄、軟韌體版本號
        編碼原則，與設備功能、安全功能、管理功能之架構圖或方塊圖
        ，及安全功能摘要表。設備性能規格資料至少應包括：
        I.防火牆：吞吐量（Throughput）、每秒最大建立連線數、最大
          同時連線數量、效能穩定度及效能可靠度。
       II.交換器：吞吐量／頻寬、生成樹（ Spanning Tree）防護、效
          能穩定度及效能可靠度。
      III.路由器：吞吐量／頻寬、最大路由設定數、效能穩定度及效能
          可靠度。
   （4）軟韌體開發供應鏈安全聲明。
   （5）申請者為本國自然人應檢附身分證明文件，本國法人、非法人團
        體或外國製造商應檢附設立相關證明文件。
   （6）其他經主管機關要求提供之審驗相關資料。
   （7）包括（1）至（6）之資料電子檔（以電子檔申請者免附）。
6.1.2 申請審驗檢附之文件，除電子檔由驗證機關（構）留存外，其餘文
      件於核發審驗合格證明時一併發還。
6.1.3 測試報告應由經財團法人全國認證基金會（以下簡稱認證組織）認
      證，且經本會認可，具執行本技術規範測試內容之測試機構出具。
      無測試機構可提供測試服務時，申請者應依下列順序洽相關機構提
      供測試報告：
   （1）他國取得國際實驗認證聯盟（International Laboratory 
        Accreditation Cooperation,ILAC）會員資格之認證組織認可之
        測試實驗室。
   （2）設備製造商。
6.1.4 測試報告內容應包括下列各項：
   （1）申請者名稱及地址。
   （2）測試機構之名稱及地址。
   （3）測試報告之唯一識別及每一頁上之識別。
   （4）設備製造商名稱及地址。
   （5）設備名稱、廠牌、型號、軟韌體版本及 4ｘ6 吋以上正面清晰可
        辨之彩色照片或圖片，其廠牌、型號須清晰可辨讀，並包含樣品
        之頂視圖、底視圖、左視圖、右視圖、正視圖及背視圖。
   （6）測試項目及合格標準。
   （7）測試紀錄及判定結果。
   （8）測試設備之名稱、廠牌、型號、軟韌體版本及參考之 NVD  版本
        。
   （9）測試受理及完成日期。
  （10）執行測試人員及報告簽署人之姓名、職稱及簽名。
6.1.5 應檢附之文件或物品誤漏或不全時，驗證機關（構）應通知申請者
      於一個月內補正；屆期未補正或補正仍不完備者，駁回其申請。
6.1.6 驗證機關（構）依第 5  點審驗。經審驗不合格者，驗證機關（構
      ）得列舉不合格事項，通知申請者於二個月內改善；屆期未改善或
      改善後再次審驗仍不合格者，駁回申請。
6.1.7 申請者與申請測試報告者不同時，申請者應另行檢附公司或商業登
      記證明文件影本，及測試報告使用之授權書。
6.1.8 關鍵電信基礎設施設置者申請資通設備審驗者，其結果適用於所有
      同廠牌同型號同軟韌體版本之資通設備。資通設備製造商、進口商
      、經銷商或代理商申請審驗者，審驗結果適用其同廠牌同型號同軟
      韌體版本之資通設備。除本規範另有規定外，同軟韌體版本以資通
      設備之大修正版本（Major/Main release）為原則。
6.1.9 不同廠牌、型號之資通設備應分別申請審驗。經審驗合格之資通設
      備，如變更其廠牌、型號，應重新申請審驗；軟韌體版本變更者，
      應於十四日內以書面敘明版本及性能差異報請原驗證機構備查；必
      要時，驗證機構得要求重新審驗或就變更部分進行審驗。
6.2 審驗合格證明管理
6.2.1 審驗合格標籤專屬取得審驗合格證明者所有。取得審驗合格證明者
      檢具下列文件，報請驗證機關備查後，得同意他人於同廠牌、型號
      及韌體版本之關鍵資通設備使用該審驗合格標籤：
   （1）審驗合格證明影本。
   （2）使用人之公司或商業登記證明文件影本。
6.2.2 取得資通設備審驗合格證明之資通設備製造商、進口商、經銷商或
      代理商，其審驗合格之資通設備有下列情形之一時，核發其審驗合
      格證明之驗證機關（構）應於該設備審驗合格證明註記「安全漏洞
      待修補」字樣。經取得審驗合格證明者，檢附測試機構出具資通設
      備已修補相關 CVE  之測試報告予驗證機構，驗證機關（構）始予
      塗銷審驗合格證明「安全漏洞待修補」註記。
   （1）資通設備之作業系統或網路服務，經披露具 CVSS 評分 7.0  分
        以上之 CVE，未於披露之日起十四日內，檢附檢測機構出具足以
        佐證該 CVE  已修補完成之測試報告。
   （2）資通設備之作業系統或網路服務，經披露具 CVSS 評分 4.0-6.9
        分（含）之 CVE，未於披露之日起四十五日內，檢附檢測機構出
        具足以佐證該 CVE  已修補完成之測試報告。
   （3）資通設備之作業系統或網路服務，經披露具 CVSS 評分 0.1-3.9
        分（含）之 CVE，未於披露之日起六個月內，檢附檢測機構出具
        足以佐證該 CVE  已修補完成之測試報告。
6.2.3 有下列情事之一者，得廢止或撤銷其審驗合格證明：
   （1）申請審驗時提供不實資料。
   （2）違反 6.1.9  規定。
   （3）經抽驗未符合 5.1  及 5.2  規定。
   （4）因代理權、專利權爭議，經法院判決敗訴確定或違反其他規定致
        不得販賣。
   （5）經有關機關公告或通知有危害國家安全之虞。
6.2.4 審驗合格證明遺失或毀損時，得檢附換（補）發申請書，向原驗證
      機關（構）申請補發或換發。
6.2.5 審驗合格證明登載事項變更符合下列情形之一者，向原驗證機關（
      構）申請換發：
   （1）製造商變更或新增。
   （2）申請者變更名稱或地址。
   （3）申請者因公司合併或分割，經報請主管機關同意由合併或分割後
        存續或新設之公司使用原審驗合格證明。
6.2.6 依前項規定申請換發，應檢附文件如下：
   （1）屬 6.2.5（1） 者：換（補）發申請書、設備委託生產相關證明
        文件及設備符合技術規範之聲明書。
   （2）屬 6.2.5（2） 者：換（補）發申請書、自然人應檢附身分證明
        文件（雙證件）影本，法人、非法人團體應檢附設立相關證明文
        件影本。
   （3）屬 6.2.5（3） 者：換（補）發申請書、公司或商業登記證明文
        件、主管機關同意函。
6.3 附則
6.3.1 本規範所定之相關書表、作業流程及審驗合格證明格式，由本會訂
      定公告之。
6.3.2 申請審驗、審驗合格證明補發或換發者，應依本會所定收費標準向
      驗證機關（構）繳交審驗費或證照費。