EN 18031 网络安全认证的标准流程由 “准备 — 申请 — 测试 — 评估 — 获证与维护” 构成,核心环节通常需 3–6 个月;含支付 / 儿童相关等高风险功能的设备多在 6 个月或更久。
标准流程与步骤(精简版)
|
阶段 |
关键动作 |
主要输出 |
周期 |
|
1. 准备与差距分析 |
识别适用子标准(-1/-2/-3);威胁建模与安全设计;整理技术文件 |
技术文件、风险评估、隐私声明 |
1–2 个月 |
|
2. 选择机构并提交 |
查 NANDO 选公告机构;提交申请表、样机(4–6 台)、技术文件初稿 |
受理确认、工厂审核计划(如适用) |
1–3 周 |
|
3. 实验室测试 |
通信 / 存储加密、访问控制、安全更新、抗回滚、渗透 / 代码审计(如适用) |
测试报告 |
4–12 周 |
|
4. 合规评估与整改 |
机构审核测试与文档一致性;整改并验证 |
评估报告、整改证据 |
1–8 周 |
|
5. 获证与维护 |
签署 DoC、加贴 CE;证书通常 3–5 年,年度监督;标准更新需复审 |
CE-RED 符合性声明、证书(3–5 年) |
1–2 个月;后续年度监督 |
各步骤要点与依据
适用范围判定
无线联网且处理个人数据或金融交易的设备适用 EN 18031;涉及儿童功能触发 - 2,支付触发 - 3。
技术文件(核心)
硬件 / 软件架构、通信协议与频段、加密机制(TLS 1.2+/AES 等)、访问控制与默认配置、数据流程图、安全更新策略(含频率、签名、防回滚)、漏洞管理流程。
测试重点
通信加密强度与抗 MITM、多因素认证与账户锁定、本地存储加密与删除彻底性、安全 OTA(签名 / 校验 / 中断恢复 / 防降级);支付设备需交易日志与风险监控;儿童设备需家长控制与数据最小化。
机构与工厂审核
公告机构资质在 NANDO 查询;工厂审核关注质量体系与供应链安全(硬件常见)。
获证与维护
多数产品可自我声明并加贴 CE;证书常见 3–5 年,年度监督;标准更新需在规定期限内复审,否则可能影响准入。
* 本文为技术科普文章(非商业推广广告),含部分AI创作,仅供参考;如有技术疑问,请联系平台运营人员进行修改。
扫一扫
38
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
