8.1 内部控制(Module A)
程序
根据 CRA Annex VIII Module A 的内部控制 (Internal Control) 是最简单的合规评估 (Conformity Assessment) 程序。制造商自行评估其产品是否满足基本要求。
适用范围
Module A 适用于:
- 标准产品(未列于 Annex III 或 IV 中)
- Class I — 仅在完全适用协调标准 (Harmonised Standards) 时
对于 Class II 和关键产品,Module A 不足够。
内部控制流程
1. 编制技术文档
根据 CRA Annex VII,必须具备完整的技术文档:
2. 要求审查(Annex I)
审查 Annex I 的每项要求并记录合规性:
第I部分 — 安全要求:
| 编号 | 要求 | 合规 | 证据 |
|---|---|---|---|
| 1 | 适当的网络安全水平 | ☐ | [参考文档] |
| 2 | 无已知可利用漏洞 | ☐ | CVE 监控 + Trivy 扫描 |
| 3.1 | 机密性保护 | ☐ | [加密、访问控制] |
| 3.2 | 完整性保护 | ☐ | [Cosign、校验和] |
| 3.3 | 可用性保护 | ☐ | [弹性措施] |
| 4 | 安全默认配置 | ☐ | [默认安全] |
| 5 | 未授权访问防护 | ☐ | [认证、授权] |
| 6 | 攻击面最小化 | ☐ | [最小服务、端口] |
| 7 | 存储数据的机密性 | ☐ | [加密] |
| 8 | 存储数据的完整性 | ☐ | [完整性检查] |
| 9 | 数据最小化 | ☐ | [仅必要数据] |
| 10 | 基本功能的可用性 | ☐ | [弹性] |
| 11 | 不利影响最小化 | ☐ | [日志、监控] |
| 12 | 安全相关信息 | ☐ | [日志、审计跟踪] |
| 13 | 安全更新能力 | ☐ | [更新机制] |
第II部分 — 漏洞处理:
| 编号 | 要求 | 合规 | 证据 |
|---|---|---|---|
| 1 | 识别和记录漏洞(SBOM) | ☐ | SBOM 生命周期 |
| 2 | 及时修复漏洞 | ☐ | 补丁管理 |
| 3 | 定期测试和审查 | ☐ | CI/CD 安全扫描 |
| 4 | 公开披露已修复的漏洞 | ☐ | Security Advisories |
| 5 | 协调漏洞披露 (Coordinated Vulnerability Disclosure) | ☐ | CVD 策略 |
| 6 | 提供安全更新 | ☐ | 更新机制 |
| 7 | 及时提供更新 | ☐ | 补丁管理 SLA |
| 8 | 漏洞报告联系点 | ☐ | SECURITY.md |
3. 签发 EU 符合性声明
审查成功完成后:
- 根据 Annex V 编制 EU 符合性声明(模板)
- 由授权人员签署
- 在仓库中归档
4. CE 标志
- 在产品或其包装上加贴 CE 标志
- 对于软件:在文档中以及(如适用)在用户界面中显示
- 必须可见、清晰、不可磨灭
5. 保留文档
- 技术文档:产品投放市场后10年
- EU 符合性声明:产品投放市场后10年
- 存储位置:本仓库(Git 版本控制)
检查清单:Module A — 内部控制
- [ ] 产品分类已完成(标准或适用协调标准的 Class I)
- [ ] 技术文档完整(Annex VII)
- [ ] 网络安全风险评估已执行
- [ ] Annex I 第I部分 — 所有要求已审查并记录
- [ ] Annex I 第II部分 — 所有要求已审查并记录
- [ ] SBOM 已生成并归档
- [ ] 漏洞处理流程已建立
- [ ] EU 符合性声明已编制并签署
- [ ] CE 标志已加贴
- [ ] 文档已归档(10年保留)