金融科技产品认证实施细则
安全保证能力及质量保证能力要求

2019-12-31 发布 2020-01-01 实施

中国网络安全审查技术与认证中心 发布
 

目 录
1 适用范围 1
2 安全保证能力要求 1
2.1 配置管理 1
2.2 开发安全 1
2.3 交付与运行 1
2.4 开发文档 2
2.5 指导性文档 2
3 质量保证能力要求 3
3.1 职责和资源 3
3.2 产品的一致性 4

1 适用范围

本实施细则规定了金融科技产品认证安全保证能力和质量保证能力评价要求，适用于金融科技产品认证评价。
2 安全保证能力要求

安全保证要求以具体产品标准为依据，当标准中未涉及安全保证要求时，按以下要求实施。
2.1 配置管理

开发者应为产品提供一个编号，且对产品的每一个版本是唯一的；开发者应使用配置管理系统，提供配置管理文档，包括配置清单、配置管理计划；配置管理系统应提供方法保证对配置项只进行授权修改。
2.2 开发安全

开发者应提供开发安全文档，对产品设计、实现的保密性和完整性所需必要的物理、程序、人员以及其它安全措施做出描述。
2.3 交付与运行

开发者应对产品及其相关部分交付给用户的程序文档化，文档应描述在向用户分发产品版本时，为维护安全性所必须的程序；
 
开发者应对程序执行情况进行记录。开发者应以文档的形式描述产品的安全安装、生成和启动所必需的程序和步骤。
2.4 开发文档

开发者应提供完整的产品需求说明、需求分析、概要设计、详细设计、测试文档、配置管理等文档，文档应与实际情况相符合。
2.5 指导性文档

2.5.1 管理员指南

开发者应提供针对管理人员的管理员指南，描述的内容应包含产品管理员可使用的管理功能和接口，如何以安全的方式管理产品，安全处理环境中应被控制的功能和特权的警示信息，与管理员有关的信息技术环境的所有的安全要求；管理员指南应与为认证所提供的其他所有文档保持一致。
2.5.2 用户指南

开发者应提供用户指南，描述的内容应包含产品的非管理员用户可用的功能和接口，产品所提供的用户可访问的安全功能和接口的用法，在安全处理环境中应被控制的用户可访问的功能和权限的警示信息，清楚地阐述产品安全运行中所有必要的用户职责，与用户有关的信息技术环境的所有安全要求；用户指南应与
 
为认证所提供的其它所有文档保持一致。

3 质量保证能力要求

为保证批量生产的认证产品与检测样品的一致性，申请方/获证机构应满足本文件规定的质量保证能力基本要求。
3.1 职责和资源

3.1.1 职责

申请方/获证机构应规定与质量活动有关的各类人员职责及相互关系，且申请方/获证机构应在组织内指定一名质量负责人，无论该成员在其他方面的职责如何，应具有以下方面的职责和权限：
（1）负责建立满足本文件要求的质量体系，并确保其实施和保持；
（2）确保加贴认证标志的产品符合认证标准的要求；

（3）建立文件化的程序，确保认证标志的妥善保管和使用；

（4）建立文件化的程序，确保获证产品变更后未经认证机构确认，不加贴认证标志。
质量负责人应具有充分的能力胜任本职工作。
 
3.1.2 资源

申请方/获证机构应配备必须的开发设备和检测设备以满足开发活动符合本规则中规定的标准要求的产品；应配备相应的人力资源，确保从事对产品质量有影响工作的人员具备必要的能力；建立并保持适宜产品开发、测试、交付等必备的环境。
3.2 产品的一致性

3.2.1 申请方/获证机构应对生产的认证产品与检测样品的一致性进行控制，以使认证产品持续符合规定的要求；

3.2.2 申请方/获证机构应建立产品变更控制程序，认证产品的变更在实施前应向认证机构申报并获得批准后方可执行。