6.設備審驗規定
6.1 申請程序
6.1.1 關鍵電信基礎設施設置者、資通設備製造商、進口商、經銷商或代
理商,申請資通設備資安審驗時,應填具關鍵電信基礎設施資通設
備資通安全審驗申請書,並檢附下列文件之紙本或電子檔向主管機
關或其委託之關鍵電信基礎設施資通設備驗證機構(以下簡稱驗證
機關(構))提出申請。經審驗合格者,由驗證機關(構)核發印
有審驗合格標籤式樣之審驗合格證明:
(1)正體中文或英文之設備使用手冊或說明書(包括軟體更新支援週
期、年限,及不再提供更新時之設備更換計畫)。
(2)依第 5 點所為之資通設備資通安全測試報告(以下簡稱測試報
告)。
(3)正體中文或英文之原廠設備性能規格資料、型錄、軟韌體版本號
編碼原則,與設備功能、安全功能、管理功能之架構圖或方塊圖
,及安全功能摘要表。設備性能規格資料至少應包括:
I.防火牆:吞吐量(Throughput)、每秒最大建立連線數、最大
同時連線數量、效能穩定度及效能可靠度。
II.交換器:吞吐量/頻寬、生成樹(Spanning Tree )防護、效
能穩定度及效能可靠度。
III.路由器:吞吐量/頻寬、最大路由設定數、效能穩定度及效能
可靠度。
(4)軟韌體開發供應鏈安全聲明。
(5)申請者為本國自然人應檢附身分證明文件,本國法人、非法人團
體或外國製造商應檢附設立相關證明文件。
(6)其他經主管機關要求提供之審驗相關資料。
(7)包括(1 )至(6 )之資料電子檔(以電子檔申請者免附)。
6.1.2 申請審驗檢附之文件,除電子檔由驗證機關(構)留存外,其餘文
件於核發審驗合格證明時一併發還。
6.1.3 測試報告應由經財團法人全國認證基金會(以下簡稱認證組織)認
證,且經主管機關認可,具執行本技術規範測試內容之測試機構出
具。無測試機構可提供測試服務時,申請者應依下列順序洽相關機
構提供測試報告:
(1)他國取得國際實驗認證聯盟(International Laboratory
Accreditation Cooperation,ILAC)會員資格之認證組織認可之
測試實驗室。
(2)設備製造商。
6.1.4 測試報告內容應包括下列各項:
(1)申請者名稱及地址。
(2)測試機構名稱及地址。
(3)測試報告之唯一識別及每一頁上之識別。
(4)設備製造商名稱及地址。
(5)設備名稱、廠牌、型號、軟韌體版本及 4x6 吋以上正面清晰
可辨之彩色照片或圖片,其廠牌、型號須清晰可辨讀,並包含樣
品之頂視圖、底視圖、左視圖、右視圖、正視圖及背視圖。
(6)測試項目及合格標準。
(7)測試紀錄及判定結果。
(8)測試設備之名稱、廠牌、型號、軟韌體版本及測試機構所使用漏
洞掃描工具之資料庫(如 VD )版本。
(9)測試受理及完成日期。
(10)執行測試人員及報告簽署人之姓名、職稱及簽名。
6.1.5 應檢附之文件或物品誤漏或不全時,驗證機關(構)應通知申請者
於一個月內補正;屆期未補正或補正仍不完備者,駁回其申請。
6.1.6 驗證機關(構)依第 5 點審驗。經審驗不合格者,驗證機關(構
)得列舉不合格事項,通知申請者於二個月內改善;屆期未改善或
改善後再次審驗仍不合格者,駁回申請。
6.1.7 申請者與申請測試報告者不同時,申請者應另行檢附公司或商業登
記證明文件影本,及測試報告使用之授權書。
6.1.8 關鍵電信基礎設施設置者申請資通設備審驗者,其結果適用於所有
同廠牌同型號同軟韌體版本之資通設備。資通設備製造商、進口商
、經銷商或代理商申請審驗者,審驗結果適用其同廠牌同型號同軟
韌體版本之資通設備。除本規範另有規定外,同軟韌體版本以資通
設備之大修正版本(Major/Main release)為原則。
6.1.9 不同廠牌、型號之資通設備應分別申請審驗。經審驗合格且置於關
鍵電信基礎設施內使用之資通設備,如變更其廠牌、型號,應重新
申請審驗;如變更軟韌體版本,應於十四日內以書面通知原驗證機
構,並於九十日內以書面敘明版本及性能差異報請原驗證機構備查
;必要時,驗證機構得要求重新審驗或就變更部分進行審驗。
6.2 審驗合格證明管理
6.2.1 審驗合格標籤專屬取得審驗合格證明者所有。取得審驗合格證明者
檢具下列文件,報請驗證機關備查後,得同意他人於同廠牌、型號
及韌體版本之關鍵資通設備使用該審驗合格標籤:
(1)審驗合格證明影本。
(2)使用人之公司或商業登記證明文件影本。
6.2.2 取得資通設備審驗合格證明且置於關鍵電信基礎設施內使用之資通
設備,其所使用之作業系統或啟用之網路服務,發現具 CVSS 評分
7.0 分以上之已知漏洞(CVE ),該資通設備之製造商、進口商、
經銷商或代理商,應於該漏洞經披露之日起九十日內,檢具測試機
構出具之修補測試報告,送驗證機關(構)備查。逾期未完成前揭
修補程序者,驗證機關(構)應於其審驗合格證明註記「安全漏洞
待修補」字樣;於修補程序完成後,塗銷該註記。
6.2.3 有下列情事之一者,得廢止或撤銷其審驗合格證明:
(1)申請審驗時提供不實資料。
(2)違反 6.1.9 規定。
(3)經抽驗未符合 5.1 及 5.2 規定。
(4)因代理權、專利權爭議,經法院判決敗訴確定或違反其他規定致
不得販賣。
(5)危害國家資通安全,經有關機關限制或禁止使用。
6.2.4 審驗合格證明遺失或毀損時,得檢附換(補)發申請書,向原驗證
機關(構)申請補發或換發。
6.2.5 審驗合格證明登載事項變更符合下列情形之一者,向原驗證機關(
構)申請換發:
(1)製造商變更或新增。
(2)申請者變更名稱或地址。
(3)申請者因公司合併或分割,經報請主管機關同意由合併或分割後
存續或新設之公司使用原審驗合格證明。
6.2.6 依前項規定申請換發,應檢附文件如下:
(1)屬 6.2.5(1) 者:換(補)發申請書、設備委託生產相關證明
文件及設備符合技術規範之聲明書。
(2)屬 6.2.5(2) 者:換(補)發申請書、自然人應檢附身分證明
文件(雙證件)影本,法人、非法人團體應檢附設立相關證明文
件影本。
(3)屬 6.2.5(3) 者:換(補)發申請書、公司或商業登記證明文
件、主管機關同意函。
6.3 附則
6.3.1 本規範所定之相關書表、作業流程及審驗合格證明格式,由主管機
關訂定公告之。
6.3.2 申請審驗、審驗合格證明補發或換發者,應依主管機關所定收費標
準向驗證機關(構)繳交審驗費或證照費。