通訊傳播法規解釋函令查詢系統

列印時間：113/04/23 19:59

一、國家通訊傳播委員會（以下簡稱本會）為確保資通設備資通安全品質
    ，執行資通設備資通安全檢測實驗室（以下簡稱檢測實驗室）認可與
    管理作業，特訂定本要點。

二、本會認可檢測實驗室，應依其檢測能力認可其檢測範圍（如附件一）
    ，檢測範圍包括類別與項目，由檢測實驗室申請之。

三、本會受理檢測實驗室認可申請，應審查下列各款事項：
（一）檢測實驗室申請書（如附件一）。
（二）依法設立之本國法人、機構之證明文件影本。
（三）取得本國實驗室認證組織依下列規定核發之認證證明影本：
      1.一般規定
        符合中華民國國家標準（以下簡稱 CNS）17025 或國際標準化組
        織所定標準（以下簡稱 ISO/IEC）17025 ，有關測試與校正實驗
        室能力一般要求之規定。
      2.專業規定
     （1）書面審查能力
          具備 ISO/IEC 15408  資訊技術安全評估共同準則（Common
          Criteria for Information Technology Security
          Evaluation, CC）及 ISO/IEC 18045  資訊技術安全評估共同
          方法論（Common Methodology for Information Technology
          Security Evaluation, CEM）之測試評估能力。
     （2）實機測試能力
          具備連結網際網路（Internet）真實情境之測試平台，該平台
          應符合下列之測試環境：
          A.具備至少 100  人同時上線使用，且能記錄使用者透過該平
            台進行之網路活動。
          B.具備至少 10,000 條之最大同時連線數量，至少 3,000  條
            之平均同時連線數量。
          C.具備至少 100Mbps  之最大流量速度，至少 30Mbps 之平均
            流量速度。
          D.於該平台上使用之應用類型至少包括下列 10 種，每一應用
            類型至少須含一個應用項目，全部可供使用之應用項目須達
            50  個以上。
            a.Chat：msn, yahoo messenger, icq, qq
            b.Email：gmail, hotmail, smtp protocol, pop3
              protocol, imap protocol 
            c.File Transfer：ftpprotocol, flashget, smb protocol 
            d.Game：garena,ms-directplay, facebook app
            e.P2P：bittorrent protocol, edonkey, xunlei, fs2you,
              ed2k, ares, emule
            f.Remote Access：windows remote desktop, telnet
              protocol, ssh protocol, vnc, Hamachi
            g.Streaming：rtsp protocol, qqtv, pplive, qvod,
              flashcom, itunes, funshion
            h.VoIP：skpye, skypeout, sip protocol
            i.Web：http, http download, http video, http range
              get, https, http proxy
            j.Others：sslvpn, nntp protocol, dns protocol, snmp
              protocol, dhcp protocol, mysql, ntp protocol
          E.於該平台上使用之 IP 協定應包括 IPv4 及 IPv6。
          F.待測設備安裝於平台上，可連續進行場測（Field Trial）
            至少達 336  小時。
          G.可錄製平台流量之容量至少達 20,000G  位元組，並可用重
            播工具將該流量導入待測設備。
     （3）符合一般規定之檢測實驗室若僅具專業規定所列能力之一者，
          得藉由其他實驗室延伸另一專業規定所列能力，但須經本國實
          驗室認證組織合併認證之。
（四）檢測實驗室技術主管、品質主管及資通安全檢測報告簽署人之資格
      條件之證明文件影本：
      1.書面審查
     （1）技術主管：國內公立或立案之私立大專以上學校或經教育部承
          認之國外大專以上學校之資訊工程、電信工程、電子工程、電
          機工程或其他相關科系畢業，並接受 CCRA 認可實驗室之
          ISO/IEC 15408 測試評估相關專業訓練，訓練時數至少 360
          小時，從事相關設備測試評估實務工作達三年以上。
     （2）品質主管：國內公立或立案之私立大專以上學校或經教育部承
          認之國外大專以上學校畢業，並接受品質管理相關專業訓練，
          且從事相關設備品質管理實務工作達三年以上。
     （3）報告簽署人：國內公立或立案之私立大專以上學校或經教育部
          承認之國外大專以上學校之資訊工程、電信工程、電子工程、
          電機工程或其他相關科系畢業，並接受 CCRA 認可實驗室之
          ISO/IEC 15408 測試評估相關專業訓練，訓練時數至少 360
          小時，從事相關設備測試評估實務工作達二年以上。
      2.實機測試
     （1）技術主管：國內公立或立案之私立大專以上學校或經教育部承
          認之國外大專以上學校之資訊工程、電信工程、電子工程、電
          機工程或其他相關科系畢業，從事相關設備測試評估實務工作
          達三年以上。
     （2）品質主管：國內公立或立案之私立大專以上學校或經教育部承
          認之國外大專以上學校畢業，並接受品質管理相關專業訓練，
          且從事相關設備品質管理實務工作達三年以上。
     （3）報告簽署人：國內公立或立案之私立大專以上學校或經教育部
          承認之國外大專以上學校之資訊工程、電信工程、電子工程、
          電機工程或其他相關科系畢業，從事相關設備測試評估實務工
          作達二年以上。
（五）檢測實驗室成員至少 4  人，應分別為
      1.具備技術主管資格者 1  人
      2.具備品質主管資格者 1  人
      3.具備安全檢測報告簽署人資格者 2  人
（六）資通安全檢測報告簽署人於同一案件不得同時擔任技術主管或品質
      主管。

四、前項各款文件有不全或記載不完備者，本會應通知限期補正，屆期未
    補正或補正不完備者，不予受理其申請。補正期間以一個月為限。

五、檢測實驗室經本會審查符合前點規定者，由本會核發檢測實驗室認可
    證書（以下簡稱認可證書，格式如附件二），其有效期間為三年。
    認可證書應記載事項如下： 
（一）法人/ 機構名稱。
（二）代表人。
（三）檢測實驗室名稱。
（四）檢測實驗室地址。
（五）認可檢測範圍。
（六）有效期間。

六、檢測實驗室有下列情形之一者，認可證書失其效力：
（一）不符合第三點條件。
（二）資通安全檢測報告有虛偽不實。
（三）受理檢測申請案件，有無正當理由之拒絕或差別待遇。

七、檢測實驗室或其服務人員對於申請者及檢測相關資料，應嚴守秘密，
    退職人員亦同。

八、本會應備查檢測實驗室所報之檢測費用，該費用須以下列方式訂定，
    並符合透明、公平之原則：
（一）設備檢測費用應依該設備之安全測試等級分為基礎型檢測費用與進
      階型檢測費用。
（二）通過基礎型檢測合格之設備，自檢測合格日起三個月內，申請同一
      設備之進階型檢測者，其檢測費用只須補足基礎型與進階型費用之
      差額。
（三）通過檢測合格之設備，當版本更新時，得針對有變更之檢測項目進
      行重新檢測，其檢測費用為全項檢測費用乘以重新檢測項目數占全
      部檢測項目數之比例計算；需重新檢測之項目，由申請者提出並由
      檢測實驗室認定之。
（四）申請系列產品檢測之設備，其檢測費用為全項檢測費用乘以重新檢
      測項目數占全部檢測項目數之比例計算；需重新檢測之項目，由申
      請者提出並由檢測實驗室認定之。
（五）檢測實驗室通知申請者設備檢測未符合規定時，應列舉不符合事項
      並通知申請者改善，通知改善次數以二次為限，每次改善時間不得
      超過一個月，無須另外收費。