根据《商用密码产品认证规则》的规定,商用密码产品认证模式为:型式试验+初始工厂检查+获证后监督。认证机构可对获证产品生产企业的扩项产品认证委托,减免初始工厂检查环节。这一认证模式确保了商用密码产品在设计、生产、使用等各个环节都符合相关标准和规范要求。
认证委托人应向认证机构提交认证委托资料,包括产品技术文档、生产能力、质量保障能力、安全保障能力说明等。认证机构应明确认证委托资料要求,在对认证委托资料审核后及时反馈是否受理的信息。认证委托人可在认证业务网(https://www.scctc.org.cn/rzyww )的"资料下载"栏目中下载相关认证申请材料清单及模板。
认证机构应根据认证委托资料制定型式试验方案,包括型式试验的样品要求和数量、检测标准项目、检测机构信息等,并通知认证委托人。认证委托人应按型式试验方案提供样品至检测机构,并保证样品与实际生产产品一致;必要时,认证机构也可采用生产现场抽样的方式获得样品。检测机构应对型式试验全过程作出完整记录,并妥善管理、保存、保密相关资料,确保在认证有效期内检测结果可追溯。
认证机构应根据产品认证通用要求,结合GM/T 0065《商用密码产品生产和保障能力建设规范》、GM/T 0066《商用密码产品生产和保障能力建设实施指南》等标准对认证委托产品的生产企业实施初始工厂检查。检查内容包括其生产能力、质量保障能力、安全保障能力和产品一致性控制能力等。工厂检查一般在型式试验结束、报告审核完成后开始。
认证机构对型式试验、初始工厂检查结论和相关资料信息进行综合评价,作出认证决定。对符合认证要求的,颁发认证证书并允许使用认证标志;对暂不符合认证要求的,可要求认证委托人限期整改,整改后仍不符合的则书面通知认证委托人终止认证。
认证机构应对认证有效期内的获证产品和生产企业进行持续监督。获证后监督可不预先通知生产企业,一般采用工厂检查的方式实施,必要时可在生产现场或市场抽样检测。认证机构对获证后监督结论和相关资料信息进行综合评价,评价通过的,可继续保持认证证书、使用认证标志;不通过的,认证机构应当根据相应情形做出暂停或者撤销认证证书的处理。
认证证书有效期为5年,并通过认证机构的获证后监督保持效力。证书到期需延续使用的,认证委托人应在有效期届满前6个月内提出认证委托。认证机构应采用获证后监督的方式对符合认证要求的委托换发新证书。获证后的产品或其生产者、生产企业等发生变化时,认证委托人应向认证机构提出变更委托。