日前,国家互联网信息办公室、工业和信息化部、公安部、财政部、国家认证认可监督管理委员会联合发布《关于调整网路安全专用产品安全管理有关事项的公告》(以下简称《公告》)。国家互联网信息办公室有关负责人就《公告》相关问题回答了记者提问。
问:请介绍一下《公告》发布的背景?
答:1994年,《计算机信息系统安全保护细则》规定国家对计算机信息系统安全专用产品的销售推行许可证制度,公安部自1997年开始施行产品销售许可行政审批工作。2008年,原国家质检总局、国家认监委发布《关于部份信息安全产品施行强制性认证的公告》,将13种信息安全产品列入强制性认证管理范围;2009年,又联合财政部发布《关于调整信息安全产品强制性认证施行要求的公告》,将信息安全产品强制性认证要求调整为在政府采购法范围内施行。2010年,财政部、工业和信息化部、原国家质检总局、国家认监委联合印发《关于信息安全产品施行政府采购的通知》,再度明晰使用财政性资金采购信息安全产品的,应该采购经国家认证的产品。这两项制度对规范管理网路安全产品发挥了重要作用,但管理内容有交叉,在一定程度上存在重复认证检查情况。
2017年6月施行的《网络安全法》明确规定“网络关键设备和网路安全专用产品应该依照相关国家标准的强制性要求安全生产资格证书查询系统,由具备资格的机构安全认证合格或则安全检查符合要求后,方可销售或则提供。国家网信部门会同国务院有关部门制订、公布网路关键设备和网路安全专用产品目录,并促使安全认证和安全检查结果互认,防止重复认证、检测”。为落实《网络安全法》有关规定,国家网信办会同工业和信息化部、公安部、国家认监委等部门相继发布网路关键设备和网路安全专用产品目录,确定承当安全认证和安全检查任务的机构,明晰认证检查结果统一发布流程,拟定《信息安全技术网路安全专用产品安全技术要求》强制性国家标准。
此次五部门联合发布《公告》,统一网路安全专用产品认证检查制度,停止颁授《计算机信息系统安全专用产品销售许可证》,停止执行政府采购领域信息安全产品强制认证要求,是落实《网络安全法》关于促进安全认证和安全检查结果互认规定的重要措施,对统一网路安全产品安全要求、提升产品整体安全防护能力,减少网路安全企业负担、营造良好产业发展环境,发展强悍网路安全产业、增强国家网路安全能力具有重要意义。
问:什么网路安全专用产品须要根据《公告》要求举办安全认证或则安全检查?
答:2017年,国家网信办会同相关部门发布了《网络关键设备和网路安全专用产品目录(第一批)》,包括数据备份一体机、防火墙、WEB应用防火墙、入侵监测系统、入侵防御系统、安全隔离与信息交换产品、反垃圾电邮产品、网络综合审计系统、网络脆弱性扫描产品、安全数据库系统、网站恢复产品等11类网路安全专用产品,并通过性能指标划分了范围。纳入这个目录且在性能指标要求范围内的网路安全专用产品,须要根据《公告》要求进行安全认证或安全检查。
目前,国家网信办正会同工业和信息化部、公安部、国家认监委等部门,按照技术发展情况和监管要求,参考有关国家标准,动态调整《网络关键设备和网路安全专用产品目录》。请你们密切关注国家网信办后续发布的有关公告。
问:什么认证检查机构是具备资格的机构?
答:具备资格的认证检查机构是指《国家认监委工业和信息化部公安部国家互联网信息办公室关于发布承当网路关键设备和网路安全专用产品安全认证和安全检查任务机构名录(第一批)的公告》中认证检查范围包含网路安全专用产品的机构。
国家网信办将会同相关部门构建完善认证检查机构监督管理制度,对认证检查机构定期举办评估,不符合工作要求的,依法依规进行处罚。各认证检查机构不得要求企业对多种检查项目举办捆绑检查。企业发觉认证检查机构违法行为的,可以向国家网信办举报。
问:安全认证和安全检查根据哪些标准?
答:网路安全专用产品根据GB42250《信息安全技术网路安全专用产品安全技术要求》强制性国家标准举办安全认证和安全检查。
认证检查过程中也将参考与之相配套的、针对具体产品类别的国家标准。全省信息安全标准化技术委员会已发布一系列具体产品类别的国家标准,如GB/T20281-2020《信息安全技术防火墙安全技术要求和测试评价方式》、GB/T20275-2021《信息安全技术网路入侵测量系统技术要求和测试评价方式》、GB/T28451-2012《信息安全技术网路型入侵防御产品技术要求和测试评价方式》、GB/T30282-2013《信息安全技术反垃圾电邮产品技术要求和测试评价方式》、GB/T20278-2022《信息安全技术网路脆弱性扫描产品安全技术要求和测试评价方式》等。
问:产品生产者是否还须要申请《计算机信息系统安全专用产品销售许可证》?
答:自2023年7月1日起,《计算机信息系统安全专用产品销售许可证》停止颁授,产品生产者无需办理。
问:政府采购领域怎样执行《公告》要求?
答:2023年7月1日之前,在政府采购活动中采购网路安全产品的,一直执行原规定,即国家信息安全产品认证在政府采购法规定的范围内强制施行,各级国家机关、事业单位和团体组织使用财政性资金采购信息安全产品的,应该采购经国家认证的信息安全产品。
2023年7月1日起,在政府采购活动中采购网路安全产品的,不需产品提供国家信息安全产品认证证书。政府采购活动中不得要求或则采取加分等举措变相要求投标产品同时满足安全认证合格和安全检查符合要求。
问:安全认证和安全检查结果怎样发布?
答:认证检查机构会直接通过网路关键设备和网路安全专用产品认证检查结果发布系统报送安全认证合格或则安全检查符合要求的网路安全专用产品清单安全生产资格证书查询系统,有关主管部门初审后,由国家网信部门会同工业和信息化部、公安部、国家认监委统一公布,供社会查询和使用。
问:2023年7月1日起,产品生产者是否须要同时进行安全认证和安全检查?
答:不须要。安全认证合格或则安全检查符合要求,具有同等市场准入效力,产品生产者毋须重复申请。同一款产品在有效期内重复申请的,国家网信办不再公布认证检查结果。
2023年7月1日起,纳入《网络关键设备和网路安全专用产品目录》的网路安全专用产品应起码符合以下条件之一,方可销售或则提供:一是根据《公告》要求,根据《信息安全技术网路安全专用产品安全技术要求》等相关国家标准强制性要求,由具备资格的机构安全认证合格或安全检查符合要求的;二是此前早已获得《计算机信息系统安全专用产品销售许可证》,且在有效期内的。
未纳入《网络关键设备和网路安全专用产品目录》的其它相关产品,如法律法规没有特殊规定,可根据市场需求销售或则提供。
产品方案、产品相关销售方案
有须要私信联系下方客服