专题Subject
信息安全产品认证工厂检查的特殊性 O文/吴琬光布宁
目前，国家信息安全产品认证采用的模式为“型式试验+初始工厂检查+获证后监督”，这种认证模式的可信度、可操作
性、风险性和经济性较均衡，是通常采用的认证模式，也是传统中国强制性产品认证（CCC认证）采用的模式。虽然国家信息安全产品认证模式与传统的CCC 认证模式一样，但其中仍有较大的不同。
信息安全产品工厂检查除
了检查工厂保证能力、产品一致性外，还需检查信息安全保证能力：产品一致性检查除了检查关键硬件、内部结构与型式试验合格的产品一致外，还需关注软件的一致性。
、信息安全产品认证工
厂检查的内容
工厂检查的主要目的是确认 >（认证技术》2012·02
企业认证的信息安全产品是否符合相应的实施规则中规定的信息安全保证能力、工厂质量保证能力、产品一致性的要求。
工厂检查的主要依据是相关法律法规、产品认证实施规则，型式试验报告及企业必要的相关技术资料，特别是与信息安全功能、性能及本身安全相关的技术资料。
工厂检查的主要内容是产品一致性、工厂质量保证能力和信息安全保证能力，产品一致性主要检查认证产品是否与型式试验合格的产品一致。工厂质量保证能力主要是检查企业的管理能力，从管理上保证企业能长期有效地生产合格的认证产品。信
编辑/徐航
息安全保证能力是工厂检查的核心，主要内容是产品本身的安全性及其实现的功能和性能的安全性是否采用了有效的措施。
二、信息安全产品认证工厂检查的特殊性
信息安全产品工厂检查除了 CCC认证所要求的需要检查工厂质量保证能力、产品一致性外，还需检查信息安全保证能力，其工厂检查的内容较多。而且，信息安全产品一般为软硬件的结合体，相比传统CCC认证产品的硬件形态，在产品一致性检查等很多方面的检查难度较大。信息安全产品认证工厂检查主要有如下特点。