型式试验 + 获证后监督

三、认证申请资料

1）基本信息：

   a )  认证申请书；

  b ) 营业执照、事业单位法人证书或具有同等效力的法律地位证明材料。

2）产品技术文件：

 a ) 产品功能说明书和/或使用手册；

  b ) 安全保障能力文件；

  c )  同一认证单元中型号/版本间的差异说明（如适用）。

3）安全质量持续符合能力自查报告

   认证机构对委托文件进行审核，确定认证委托人提交文件满足要求后，受理该委托。

四、型式试验

1）送样要求

    型式试验的样品由认证委托人按型式试验方案选送代表性样品，每种产品送样 2 套，如有特殊需求可增加样品数量。认证委托人将样品递送至指定的实验室，递送时应采用防护措施，防止样品损坏。认证委托人应根据型式试验的要求，提供相应的说明及辅助设备。

五、安全保障能力评估

    由认证机构指派评价人员按照认证依据标准，并参考与之相配套的、针对具体产品类别的国家标准实施安全保障能力评估。

   评估的方式为文件评估。

   对评估过程中发现的不符合项，允许整改。

    评估全过程应完整记录，并妥善管理、保存、保密相关文件，确保评估结果可追溯。

    认证机构制定统一的评估技术报告格式。评估结束后，评估人员向认证机构提交评估技术报告，并向认证委托人出具评估技术报告。

   认证委托人应妥善保管评估技术报告，确保获证后监督时能够向认证机构提供

六、获证后监督

（一）企业分级管理

    认证机构根据诚信守法状况、所生产产品质量状况等与质量相关的信息进行综合评价，将生产者分为高、中、基本三级。

（二） 监督的实施方式

获证后监督的实施方式包括：

1）安全质量持续符合能力评价

    安全质量持续符合能力评价（简称能力评价）内容详见《安全质量持续符合能力要求》。能力评价的实施方式为生产者、生产企业现场检查，人日数根据产品类别确定。现场检查 2 人日起，每增加一类产品增加0.5 人日。当涉及多场所时，每增加一个场所增加 1 人日。对发现的不符合项，允许整改，并经认证机构确认整改结果。

2）产品抽样检测

  产品抽样检测的实施方式为从生产现场抽取样品，由指定实验室进行检测。认证机构制定抽样方案，并提前 3 个月通知生产者。生产者应配合认证机构在规定的时限内完成抽样，并将样品送至指定实验室。由认证机构确定检测内容。实验室在 20 工作日内完成检测工作。

3）自检自查

  认证委托人组织生产者、生产企业由经认证机构授权的具备能力的人员依据《安全质量持续符合能力要求》进行自查，依据标准对获证产品进行自检，并向认证机构提交自查报告和自检报告。认证机构制定统一的自查报告和自检报告模板。

（四）监督的实施

监督每 5 年为一个周期。

     为保证批量生产的认证产品与型式试验样品的一致性，生产者/生产企业应满足本文件规定的安全质量持续符合能力基本要求。

一)、能力要求  

    对生产者/生产企业在安全质量持续能力方面提出以下要求。

1. 认证产品一致性  

a）应对所生产的产品与型式试验样品的一致性进行控制，以使认证产品持续符合标准的要求。

b）应对产品进行配置管理，建立并维护配置项列表。

c）当认证产品发生变更时，应向认证机构申报，由认证机构确认产品符合认证要求后方可使用认证证书和认证标志。

d) 在产品出厂前，应对产品运行正确性进行确认，并对产品配置情况进行一致性检查。

2． 测试  

a) 在产品的软件（包括固件）发布前，应进行测试。测试的内容应覆盖并达到相应产品国家标准中安全功能及自身安全要求。

b) 应具备测试人员，测试人员应熟悉产品标准，并具备相应测试能力。生产企业应具备测试所需的各类仪器设备（含软件工具），并对其进行维护和管理。

c) 委托外部机构实施测试的，应对机构能力进行确认，并纳入供应链管理。

3. 脆弱性评定  

a) 应对产品进行脆弱性评估，以确保产品不包含已公开的中、高风险漏洞。

b) 应建立和执行针对产品安全缺陷、漏洞的应急响应机制和流程，对发现的产品安全缺陷和漏洞采取修复或替代方案等补救措施，及时告知用户安全风险和可用的补救措施。当缺陷和漏洞可能造成产品不符合认证要求时，应向认证机构报告。

4. 供应链安全  

a) 应识别产品关键部件，对供应商进行选择、评价和日常管理。

b) 应具备供应链各环节核心要素追溯能力。

c) 应对供应链安全进行风险防控，收集质量、安全等相关

信息，识别可能发生的供应链安全事件。当发生可能影响产品的标准符合性的事件时，应及时采取补救措施，并向认证机构报告。

二)、评价要求  

安全质量持续符合能力评价的基本内容包括标准符合性检查和安全质量持续符合能力检查。

（一）标准符合性检查  

  认证机构按认证的产品类别在生产企业现场抽取样品，根据认证依据标准选定项目，在生产企业人员配合下对产品与认证标准的合性进行检查。检查的项目符从 GB 40050、GB 42250 及与之相配套的、针对具体产品类别的国家标准中选取。

（二）安全质量持续符合能力检查  

1. 产品一致性检查  

   认证机构在生产企业现场，按认证的产品类别抽取样品进行一致性检查。

a）查认证产品的生产者（制造商）、生产企业的信息是否与认证证书内容一致；

b）查认证产品及铭牌上标识的产品名称、型号规格、认证标志等信息，与型式试验报告是否一致；

c）查认证产品软件、硬件、固件等是否与型式试验报告、认证机构批准的产品变更信息一致；

d）查产品配置管理情况，应具备配置项列表，配置项的发布应经过确认和审批。

e）查出厂前对产品的确认和检查情况，应能够确保产品启动、运行的正确性及产品一致性。

f）抽取部分安全功能和自身安全要求项目验证认证产品与型式试验报告的一致性。

2．测试  

a) 查产品的软件（固件）在发布前的测试过程证明文件，如测试记录、报告等，测试的内容应覆盖并达到相应产品国家标准中安全功能及自身安全要求。测试结论应能够证明该产品软件（固件）符合标准要求。

b) 对测试人员进行能力评价，评价的内容包括人员是否熟悉产品标准，能否正确使用测试工具进行测试，记录过程并形成结论。查测试仪器设备（含软件工具），应能够满足产品标准中对安全功能、自身安全等要求的测试活动。查设备的维护和管理记录，应能够确保设备状态符合测试工作的要求。

c) 如委托外部机构实施测试，查机构能力确认证明文件，应能够证明该机构具备依据国家标准对相应产品进行测试的能力。该机构出具的报告等文件应满足 a)的要求。供应链安全的检查内容中应包含对外部测试机构的管理。

2. 脆弱性评定  

a) 查脆弱性评定活动，应具备适宜的漏洞检查方法和手段。如使用漏洞检查工具，应确保漏洞库处于最新版本。如采用人工分析的方式，应确保相应人员具备脆弱性评定能力。

b) 查生产企业对认证产品的安全缺陷、漏洞处置情况，应能够及时采取修复或替代方案等补救措施。对已交付的产品，应采取适当的方式及时告知用户安全风险及可用的补救措施，如：发出邮件，发布通知、公告、补丁包等。当涉及已公开的中、高风险漏洞时，应及时向认证机构报告。

3. 供应链安全  

a) 查认证产品各组成部件（含软件、固件、硬件等）外部供应的情况，包括外包开发、外购等。当部件与产品的标准符合性相关时，应定义为关键部件。若关键部件由外部供应，查供应商的选择、评价和日常管理记录，应能确保供应商提供的部件可满足产品的安全及质量要求。

b） 供应链核心要素应至少包括产品研发、生产、测试等环节涉及的源代码、设计图、工具、产品部件等等。查供应链各核心要素的管理情况，各要素应能追溯到其来源并记录相关信息。应能够收集供应链各核心要素来源的产品质量、安全、信用等信息和变更情况，识别各类风险。当发生供应链安全事件时，应能够及时响应，避免出现产品安全质量问题。如安全事件可能影响到产品标准符合性时，应立即采取补救措施，并向认证机构报告。补救措施应覆盖已交付的产品。

八、认证证书有效期

     认证证书有效期为 5 年。在有效期内，通过认证机构的获证后监督，保持认证证书的有效性。认证证书有效期届满，需要延续使用的，认证委托人应在有效期届满前 90 天内提出认证委托。认证有效期内最后一次获证后监督结果合格的，认证机构换发新证书。

九、办理咨询

办理咨询杨经理：13798598361