atsec荣幸地宣布成为了新的欧盟通用评估准则(EUCC:EU Common Criteria)认证体系的首家获得认可的合格评定机构(CAB:conformity assessment body)。凭借此项认可,atsec能够为实质性和高1 保障级别(Substantial and High assurance level)提供认证和评估服务,并在认证后提供合规支持。
这是一个重要里程碑,因为EUCC代表了欧盟网络安全法规的演进,对于ICT产品厂商而言是一个至关重要的要求,为该地区的安全认证提供了统一的方法。
atsec是一家合格评估机构,提供信息技术安全评估机构(ITSEF:Information Technology Security Evaluation Facility)和认证机构(CB:Certification Body)服务,从而为厂商提供无缝的端到端EUCC认证流程。
通过提供评估和认证服务,我们消除了不必要的复杂性,并为厂商简化了认证流程。
在您考虑EUCC认证时,以下是获得认证的四步流程概述:
-
确定所需的保障级别(Assurance Level)
- 实质性:涵盖AVA_VAN级别1或2的脆弱性分析。
- 高:涵盖AVA_VAN级别3、4或5的脆弱性分析。
-
准备安全文档
每个保障级别对安全文档都有要求,包括提供指导文档、开发和生命周期证据、测试文档。厂商需要提供安全目标(ST:Security Target),该目标可以声明符合保护轮廓(PP:Protection Profile)。 -
进行独立评估
EUCC批准的ITSEF根据ST中定义的安全保障要求对您的产品进行评估。这包括:- 脆弱性分析和渗透测试
- 功能测试
- 评估设计和指导文档
-
认证
评估完成后,EUCC批准的CB颁发EUCC证书,使您的产品能够在整个欧盟市场获得认可。
值得注意,EUCC认证不是一次性过程 —— 厂商在获得认证后必须保持安全合规。证书持有人需要:
- 为最终用户提供安全指导,以确保认证产品的安全配置、安装、操作和维护。
- 承诺提供安全更新,并确定向最终用户提供安全更新和与网络安全相关的补丁的期限。
- 建立漏洞披露流程,并保持清晰的联系信息以及接收来自最终用户和安全研究人员漏洞报告的流程。
- 监控并解决公开披露的漏洞,参考在线漏洞存储库,并针对与认证产品相关的安全警报做出响应。
未能满足这些要求可能会影响EUCC证书的有效性。
有关atsec的认证和批准详细信息,请访问我们的资质证书页面。
有关我们EUCC服务的更多信息,请访问我们网站CC评估和CC认证页面。
- 与国家NCCA的授权流程正在进行中。
