:::

IoT合格證書與標章申請程序

Procedure for Internet of Things Cybersecurity Mark

「物聯網資安標章及合格證書」系列產品申請程序

系列產品定義

設備商在原已認驗之主產品下,有進行部份硬體、軟韌體或介面功能改變,像是組態檔、韌體檔、產品外觀或電路板配置等有差異或增加介面功能。

系列產品申請程序

  1. 設備商填妥相關申請表並提供相關資料及設備實機給物聯網認可實驗室進行資安標準合格性檢測。

  2. 認可實驗室應依據廠商出具之宣告差異處進行查檢,並提列檢測項目於查檢表後進行檢測。

  3. 由認可實驗室完成設備檢測,備齊相關申請資料及測試報告,於「IoT物聯網設備線上審查系統」向行動應用資安聯盟申請合格證書及標章。

  4. 聯盟收案及進行審查作業,測試報告及資料若未符合資安標準之合規性可有2次補正機會,最終審查如仍未通過,將須重新申請及計費。

  5. 物聯網設備如通過資安標準合規性審查,將核發合格證書及標章,其認證效期同主產品,由行動應用資安聯盟與認可實驗室於合格證書共同用印。

  6. 認可實驗室將用印合格證書交給設備商。

  7. 行動應用資安聯盟公告網站「 IoT 檢測通過名錄」,並不定期追蹤管理標章之使用。

系列產品申請圖

系列產品申請流程

系列產品申請注意事項:

系列產品之申請程序必須於主產品證書效期內,完成系列產品認驗證申請程序.

系列產品韌體Hash值必須與主產品相同,審驗過程應維持韌體Hash值一致。

物聯網系列產品判定共通準則

項目 系列產品 判定準則
1.外觀(機殼外型) 符合 產品外觀與主產品相同屬系列產品(僅機殼外型顏色與材質可不同)
符合
產品外觀差異處不影響資安,且經檢查確認
產品外觀差異處影響測項,差異部分經重新測試通過
2.主機板 符合 主機板晶片及layout皆相同
符合 晶片相同但layout不同,可符合屬系列產品,唯仍須依差異處提列影響資安測項且須重新測試通過。
不符合 晶片不相同,不符合屬系列產品。
3.韌體 符合 韌體hash值相同,可符合屬系列產品。
不符合 韌體hash值不相同,不符合屬系列產品。
4.組態設定 符合 組態設定相同,符合屬系列產品。
符合 組態設定不相同,須依差異處提列影響資安測項且須測試通過。

物聯網系列產品「加測」判定共通準則

限Hash相同
項目 系列產品 判定準則
系列產品第一次取證
  1. 更改的地方僅只限於顏色、材質、機殼外型

  2. 只要下述任一條件滿足,則標準中的所有硬體項目都要重測

    1. 主機板layout有差異應重新檢測
    2. 廠商應宣告硬體差異性項目,若硬體有差異應重新檢測
  3. 組態設定檔不同應評估廠商自我宣告內容,並判定差異處對產品資安影響:

    1. 有影響資安功能,應主動加測特定項目
    2. 無影響資安功能,應提出無須檢測的說明及佐證資料
    3. 主/系列產品,自我宣告,弱掃報告,port scan 結果一致
隨主產品效期
主/系列產品一同取證
  • 申請條件調整/說明:

    • 主/系列產品審驗申請,限韌體hash值相同,且審驗過程應維持hash值一致
    • 主產品須通過審驗並取證(含重新取證),方能提出系列產品申請(主/系列產品一同取證除外)
  • 備註: 因物聯網設備樣式繁多,共通準則將無法全部適用,如個別物聯網之標準有需求時,則將針對個別產品定制。

物聯網系列產品「加測項目建議」

項目 通解
主機板layout

標準中的所有實體層測項都要加測

  1. 網路攝影機、智慧巴士:若硬體有差異,應重新對測試規範中檢測「實體安全測試」該節之測項。
  2. 其它標準:若硬體有差異,應重新檢測對於測試規範中有明訂「實體」介面之相關安全測試要求的測項。
硬體元件
組態設定檔不同應評估廠商自我宣告內容

組態設定檔不同應評估廠商自我宣告內容,並判定差異處對產品資安影響:

  1. 有影響資安功能,應主動加測特定項目
  2. 無影響資安功能,應提出無須檢測的說明及佐證資料
  3. 主/系列產品,自我宣告,弱掃報告,port scan 結果一致