Auditierung von Entwicklungs- und Produktionsumgebungen

Werden IT-Produkte nach dem IT-Sicherheitsstandard Common Criteria oder EMVCo zertifiziert, sind Audits von Entwicklungs- und Produktionsumgebungen ein fester Bestandteil des Evaluierungsprozesses. Eine produktunabhängige Zertifizierung dieser Standorte ermöglicht die Wiederverwendung in verschiedenen Produktevaluationsverfahren und trägt somit zur Reduzierung der Aufwände bei. TÜVIT führt seit Jahren Standortabnahmen für Produktions- und Entwicklungsumgebungen erfolgreich durch.

 

Ziel einer Standortzertifizierung

Eine Standortzertifizierung (Site Certification) dient zur Überprüfung der implementierten Maßnahmen, welche die Integrität und Vertraulichkeit der dort entwickelten/produzierten IT-Produkte sicherstellen. Standorte lassen sich auch unabhängig von IT-Produkten zertifizieren. Somit haben Hersteller von Sicherheitsprodukten die Möglichkeit, diese Standortzertifikate in einem späteren Zertifizierungsverfahren für ihre IT-Produkte (wie z. B. Chipkarten bzw. Smart Cards) wieder zu verwenden.

Unsere Leistungen im Überblick

Unsere IT-Sicherheitsexperten begleiten Sie während des Audit- und Zertifizierungsprozesses. Nach der Prüfung der Herstellerdokumente zur Beschreibung der implementieren Sicherheitsmaßnahmen an dem jeweiligen Standort führen wir ein Audit durch, das als Grundlage für die Zertifizierung dient. Dabei berücksichtigt werden folgende Aspekte:

  • Konfigurationsmanagement / Produktionsflußkontrollsysteme
  • Sicherheitsorganisation
  • personelle Sicherheit (incl. Besucher)
  • physische Sicherheitsmaßnahmen (Gebäude, Entwicklungs- und Produktionsbereiche)
  • Sicherheit in den Prozessabläufen
  • Aufbewahrung, Transport und Vernichtung von Daten und Dokumenten
  • Datensicherung
  • Notfallpläne
  • Auslieferungsprozeduren

Typische Standorte, die sich für Standortzertifizierungen anbieten sind:

  • Maskenhäuser
  • Waferproduktionsstandorte
  • Assembly Standorte
  • Auslieferungslager

Ihre Vorteile auf einen Blick

  • Kostenreduzierung: Ist ein Standort zertifiziert, benötigen die dort hergestellten Produkte Ihrer Kunden keine weiteren produktspezifischen Sicherheitsaudits für diesen Standort
  • Zeitersparnis: Das Standortzertifikat kann für weitere Evaluierungsverfahren von IT-Produkten (wie Chipkarten) unmittelbar wiederverwendet werden
  • Vertrauensnachweis für Ihre Marktpositionierung
  • Qualitätssicherung und -verbesserung Ihrer Sicherheits-Infrastruktur
Dr. Patrick BödekerAbteilungsleiter Hardware Evaluation

Tel.: +49 201 8999-618
p.boedeker@tuvit.de

Weitere Themen