信息技术产品分级评估是指依据国家标准 GB/T 18336—2015《信息技术 安全技术 信息技术安全评估准则》，综合考虑产品的预期应用环境，通过对信息技术产品的整个生命周期，包括技术、开发、管理、交付等部分进行全面的安全性评估和测试，验证产品的保密性、完整性和可用性程度，确定产品对其预期应用而言是否足够安全，以及在使用中隐含的安全风险是否可以容忍，产品是否满足相应评估保障级的要求。

一、适用范围、等级

具有安全功能的信息技术产品，如：防火墙、IDS/IPS、智能卡、芯片、USBKey、扫描器、安全审计、数据库、操作系统等。

目前受理的级别包括：EAL1、EAL2、EAL3、EAL4、EAL5、EAL6、EAL7 及相应增强级，如 EAL3+、EAL4+、EAL5+。

二、申请材料

基本资料

1.申请书纸版和电子版（光盘）各1份

2.分级评估文档电子版（光盘）1份

3.评估文档最终版的电子版1份

4.测试样机至少两台，智能卡类样品数量另行协商确定

注：

1.在测试过程中，如发现产品存在问题需进行回归测试，并收取一定的回归测试费。

2.在获得测评证书后，测试样机仍需在中心保存3个月。在此期间内，如产生对报告或评估结果的疑义，申请方可以书面形式提交至中心，我中心将视情况予以妥善处理，必要时可进行复测。

3.软件样品和智能卡类样品，原则上由实验室保留，不予返回申请方。

证明材料

1.提供单位的营业执照（附副本复印件）。

2.提供单位的法定代表人身份证明文件（附复印件）。

3.如果申请评估的产品采用了加密算法，应提供密码主管部门的批文或商密科研、生产定点单位的相关授权证明（附复印件）。

4.提供其他重要证书的复印件（例如测评证书、著作权证书、专利证书等）。

三、咨询流程

基础材料收集--产品检测内容确认--材料编写--申请初步提交--整改--通知产品送检--协调检测--培训指导--配合企业迎审整改

四、认证周期

通常办理周期为6-9个月。

注：

评估开始时间为申请方接到项目启动通知单的时间，评估结束时间为信息安全实验室出具评估技术报告的时间。

一般情况下，常规信息技术产品的评估参考时间如下：

EAL1：20 个工作日

EAL2：40 个工作日

EAL3：60 个工作日

EAL4：90 个工作日

EAL5：120 个工作日

2.证书有效期为 3 年，在证书有效期届满前，由申请方向测评中心重新提出分级评估申请。通过评估的产品，测评中心将为其颁发新的证书。

3.认证时间主要取决于审核时间及整改时间，上述办理周期供参考。

五、评估内容

评估内容主要包括评估活动、安全性测试、现场核查。

1.评估活动主要包括：

安全目标评估

开发活动评估

指导性文档评估

生命周期支持评估，包括配置管理、交付、开发安全、生命周期定义等

测试评估

脆弱性评定评估

2.安全性测试主要包括：

独立性测试：为了验证被评估产品所提供的安全功能是否能够正确实现，评估者从申请方提供的测试文档中抽取一定数量的测试用例，并经重新设计后来完成对安全功能的验证性测试操作。

穿透性测试：评估者通过实施穿透性测试，验证被评估产品在预期环境下是否存在明显的可被利用的脆弱性，从而威胁产品及其保护资产的安全。

安全性能测试：对于存在性能测试需求的产品，评估者参考 RFC2544、RFC3511 等标准和规范，对被评估产品实施安全性能测试。

3.现场核查主要包括：

核查配置管理、交付、开发安全。现场核查的形式包括文档证据审查、实际环境审查以及与有关人员交流。EAL3 级（含）以上分级评估将进行现场核查。现场核查约在评估过程进行至 70%左右时进行。

图片来源于网络，侵删。