通訊傳播法規解釋函令查詢系統

列印時間：113/04/23 22:01

一、為辦理資通安全產品及保護剖繪審驗作業，並執行國家通訊傳播委員
    會（以下簡稱本會）組織法第三條第八款規定，訂定本要點。

二、本要點用詞定義如下：
（一）資通安全產品：指具備資通技術安全防護措施或功能之硬體、韌體
      、軟體或三者之任一組合。
（二）保護剖繪（Protection Profile, PP）：指為滿足資通安全產品評
      估標的製作之安全基本需求文件。
（三）資訊技術安全評估共同準則（Common Criteria for Information
      Technology Security Evaluation,CC ，以下簡稱共同準則）：指
      資通安全產品及保護剖繪之安全功能及安全保證之國際共同規範，
      即國際標準組織之 ISO/IEC 15408  規範。
（四）資訊技術安全評估共同方法論（Common Methodology for Inform-
      ation Technology Security Evaluation,CEM，以下簡稱共同方法
      論）：指依共同準則評估及驗證資通安全產品及保護剖繪之安全功
      能及安全保證等級時，應遵循之方法及程序，即國際標準組織之 I
      SO/IEC 18405  規範。
（五）申請者：指申請資通安全產品或保護剖繪之評估及驗證者。
（六）評估標的（Target of Evaluation, TOE） ：指申請評估及驗證之
      資通安全產品及其相關使用手冊。
（七）安全標的（Security Target, ST） ：指為資通安全產品能符合保
      護剖繪或特定安全需求製作之規格文件。
（八）評估保證等級（Evaluation Assurance Level, EAL） ：指依共同
      準則及共同方法論評估及驗證資通安全產品或保護剖繪，獲得之安
      全保證等級。
（九）驗證機關（Certification Body, CB）：指執行審驗之機關。
（十）評估實驗室（Evaluation Laboratory, EL） ：指對資通安全產品
      或保護剖繪具有評估資格及能力之實驗室。
（十一）審驗：指對資通安全產品或保護剖繪以符合特定安全需求，由驗
        證機關出具書面證明之程序。
（十二）觀察報告（Observation Report, OR）：指評估實驗室評估資通
        安全產品或保護剖繪時，對待澄清事項或有爭議問題提出之觀察
        文件。
（十三）評估技術報告（Evaluation Technical Report, ETR）：指評估
        實驗室為評估資通安全產品或保護剖繪撰寫之技術報告，提供驗
        證機關作為驗證報告之依據。
（十四）驗證報告（Certification Report, CR）：指驗證機關依評估實
        驗室提供之評估技術報告，確認其遵循共同準則、共同方法論及
        評估程序撰寫之報告。
（十五）驗證產品清單：指經審驗合格之資通安全產品或保護剖繪相關資
        訊，包括申請者、產品或保護剖繪名稱、評估保證等級、審驗日
        期等。

三、資通安全產品及保護剖繪之評估及驗證，應依下列規定辦理：
（一）共同準則。
（二）共同方法論。
（三）其他由本會訂定公告之技術規範。
　　前項本會技術規範未訂定者，應依下列順序擇定適用之規定：
（一）中華民國國家標準（Chinese National Standards,  CNS）。
（二）國際標準組織所訂標準。
（三）區域標準組織所訂標準。

四、資通安全產品或保護剖繪之評估及驗證類別：
（一）存取控制裝置與系統（Access Control Devices and Systems）
（二）界限保護裝置與系統（Boundary Protection Devices and Syste-
      ms）
（三）資料庫（Databases）
（四）資料保護（Data Protection）
（五）偵測裝置與系統（Detection Devices and Systems）
（六）數位簽章裝置與系統（Digital Signature Devices and Systems
      ）
（七）積體電路、智慧卡及智慧卡相關裝置與系統（Integrated Circui-
      ts, Smart Cards and Smart Card related Devices and Systems
      ）
（八）金鑰管理系統（Key Management Systems）
（九）網路及網路相關裝置與系統（Network and Network related Dev-
      ices and Systems）
（十）作業系統（Operating Systems）
（十一）其他裝置與系統（Other Devices and Systems）

五、資通安全產品或保護剖繪之審驗作業程序（如附件一）如下：
（一）初步評估：申請者申請驗證時，應先向評估實驗室申請評估，由評
      估實驗室就申請驗證之資通安全產品或保護剖繪進行初步評估，經
      評估為可行案件時出具評估工作計畫（其項目及內容如附件二），
      作為申請驗證之依據。
（二）正式評估及驗證之前置作業：驗證機關先行核對申請者檢附之文件
      ，認已齊全者，應召開啟動會議，並通知申請者及評估實驗室參與
      說明，決定是否受理該驗證申請案。
（三）正式評估作業：
      1.驗證機關判定得受理驗證後，由評估實驗室依第三點所定技術規
        範進行評估，驗證機關得視需要派員督導。
      2.評估實驗室發現待澄清事項，應向申請者提出觀察報告，並副知
        驗證機關，由申請者提出說明；遇有爭議問題時，評估實驗室應
        向驗證機關提出爭議問題提案處理單（如附件三）及檢附相關觀
        察報告並由驗證機關處理之。
（四）驗證作業：
      1.評估實驗室完成評估後，應將資通安全產品或保護剖繪之評估結
        果，製作資通安全產品或保護剖繪評估技術報告（如附件四、附
        件五）並提報驗證機關。
      2.驗證機關依評估實驗室之評估技術報告及相關申請文件初步做成
        驗證報告後，應召開結案會議並通知評估實驗室及申請者參與。
        驗證報告經討論無誤，並經驗證機關審議核可後，由驗證機關核
        發共同準則審驗證明（如附件六、附件七）。該資通安全產品或
        保護剖繪之驗證產品清單應公布於本會網站。申請者未取得共同
        準則審驗證明前，不得對媒體發表任何評估及驗證結果之不當聲
        明或促銷資訊。
      3.資通安全產品或保護剖繪之驗證報告，經驗證機關審議認未合格
        者，不予核發共同準則審驗證明，並列舉不符合事項，以書面通
        知申請者於三個月內改善；申請者得向驗證機關重新申請複審；
        申請複審仍未合格者，應將結果通知申請者。
    評估實驗室無法提供評估服務時，由申請者委由本會認可之他國評估
    實驗室出具符合本要點規定之資通安全產品或保護剖繪評估技術報告
    ，向驗證機關申請驗證。

六、申請資通安全產品或保護剖繪之評估及驗證，應檢附下列文件，文件
    不完備者，經通知限期補正，逾期未補正或補正仍未完備者，不予受
    理：
（一）申請資通安全產品評估所需文件：
      1.資通安全產品安全標的。
      2.其他經評估實驗室指定之文件。
（二）申請保護剖繪評估所需文件：
      1.保護剖繪。
      2.其他經評估實驗室指定之文件。
（三）申請資通安全產品驗證，應填具申請書（附件八）並檢附下列文件
      ：
      1.申請者身分證明文件
      2.資通安全產品驗證同意書（附件九）
      3.評估工作計畫
      4.資通安全產品安全標的
      5.其他經驗證機關指定之資料
      6.儲存第一款至第五款文件電子檔之光碟片一份
（四）申請保護剖繪驗證，應填具申請書（附件十）並檢附下列文件：
      1.申請者身分證明文件
      2.保護剖繪驗證同意書（附件十一）
      3.評估工作計畫
      4.保護剖繪
      5.其他經驗證機關指定之資料
      6.儲存第一款至第五款文件電子檔之光碟片一份

七、資通安全產品取得共同準則審驗證明後，其名稱、型號、版本或安全
    功能變更者，原申請者得就變更部分重新申請驗證。保護剖繪有相同
    情形者，亦同。

八、申請者取得共同準則審驗證明後，經發現其檢附資料偽造或虛偽不實
    者，該證明失其效力。
　　共同準則審驗證明失其效力者，應由本會通知原申請者，自接獲通知
    之日起三個月內，不得就相同名稱、型號、版本或安全功能重新申請
    驗證。但情形特殊，且經本會核准者，不在此限。
    前項情形者，本會應將其事由公告於本會全球資訊網，並將其產品資
    料自驗證產品清單中移除。