加強網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品安全管理���,推動(dòng)安全認證和安全檢測結果互認����,避免重復認證��、檢測��,依據《中華人民共和國網(wǎng)絡(luò )安全法》�����、《關(guān)于發(fā)布〈網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品目錄(第一批)〉的公告》(2017年第1號)����、《國家認監委 工業(yè)和信息化部 公安部 國家互聯(lián)網(wǎng)信息辦公室關(guān)于發(fā)布承擔網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品安全認證和安全檢測任務(wù)機構名錄(第一批)的公告》(2018年第12號)����、《關(guān)于統一發(fā)布網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品安全認證和安全檢測結果的公告》(2022年第1號)���,現將調整網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品安全管理有關(guān)事項公告如下:
一���、自2023年7月1日起�,列入《網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品目錄》的網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品應當按照《信息安全技術(shù)網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品安全技術(shù)要求》等相關(guān)國家標準的強制性要求����,由具備資格的機構安全認證合格或者安全檢測符合要求后���,方可銷(xiāo)售或者提供�����。
具備資格的機構是指列入《承擔網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品安全認證和安全檢測任務(wù)機構名錄》的機構����。
國家互聯(lián)網(wǎng)信息辦公室���、工業(yè)和信息化部��、公安部���、國家認證認可監督管理委員會(huì )發(fā)布更新《網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品目錄》����、《承擔網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品安全認證和安全檢測任務(wù)機構名錄》���。
二��、自2023年7月1日起���,停止頒發(fā)《計算機信息系統安全專(zhuān)用產(chǎn)品銷(xiāo)售許可證》(簡(jiǎn)稱(chēng)銷(xiāo)售許可證)�����,產(chǎn)品生產(chǎn)者無(wú)需申領(lǐng)�。此前已經(jīng)獲得銷(xiāo)售許可證的產(chǎn)品在有效期內可繼續銷(xiāo)售或者提供�����。
三���、自2023年7月1日起����,停止執行《關(guān)于調整信息安全產(chǎn)品強制性認證實(shí)施要求的公告》(原國家質(zhì)檢總局�、財政部���、國家認證認可監督管理委員會(huì )2009年第33號)和《財政部 工業(yè)和信息化部 質(zhì)檢總局 認監委關(guān)于信息安全產(chǎn)品實(shí)施政府采購的通知》(財庫〔2010〕48號)�。
四�����、國家互聯(lián)網(wǎng)信息辦公室會(huì )同工業(yè)和信息化部���、公安部�����、國家認證認可監督管理委員會(huì )統一公布和更新符合要求的網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品清單���,供社會(huì )查詢(xún)和使用���。
特此公告���。
國家互聯(lián)網(wǎng)信息辦公室 工業(yè)和信息化部 公安部 財政部 國家認證認可監督管理委員會(huì )
2023年4月12日
國家互聯(lián)網(wǎng)信息辦公室有關(guān)負責人就《關(guān)于調整網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品安全管理有關(guān)事項的公告》答記者問(wèn)
來(lái)源: 網(wǎng)信辦網(wǎng)站
近日����,國家互聯(lián)網(wǎng)信息辦公室�、工業(yè)和信息化部�、公安部��、財政部����、國家認證認可監督管理委員會(huì )聯(lián)合發(fā)布《關(guān)于調整網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品安全管理有關(guān)事項的公告》(以下簡(jiǎn)稱(chēng)《公告》)�。國家互聯(lián)網(wǎng)信息辦公室有關(guān)負責人就《公告》相關(guān)問(wèn)題回答了記者提問(wèn)����。問(wèn):請介紹一下《公告》發(fā)布的背景����。
答:1994年�����,《計算機信息系統安全保護條例》規定國家對計算機信息系統安全專(zhuān)用產(chǎn)品的銷(xiāo)售實(shí)行許可證制度��,公安部自1997年開(kāi)始實(shí)施產(chǎn)品銷(xiāo)售許可行政審批工作�����。2008年�,原國家質(zhì)檢總局�、國家認監委發(fā)布《關(guān)于部分信息安全產(chǎn)品實(shí)施強制性認證的公告》���,將13種信息安全產(chǎn)品納入強制性認證管理范圍���;2009年���,又聯(lián)合財政部發(fā)布《關(guān)于調整信息安全產(chǎn)品強制性認證實(shí)施要求的公告》�����,將信息安全產(chǎn)品強制性認證要求調整為在政府采購法范圍內實(shí)施�。2010年����,財政部���、工業(yè)和信息化部�、原國家質(zhì)檢總局�、國家認監委聯(lián)合印發(fā)《關(guān)于信息安全產(chǎn)品實(shí)施政府采購的通知》��,再次明確使用財政性資金采購信息安全產(chǎn)品的��,應當采購經(jīng)國家認證的產(chǎn)品�����。這兩項制度對規范管理網(wǎng)絡(luò )安全產(chǎn)品發(fā)揮了重要作用���,但管理內容有交叉�����,在一定程度上存在重復認證檢測情況���。
2017年6月實(shí)施的《網(wǎng)絡(luò )安全法》明確規定“網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品應當按照相關(guān)國家標準的強制性要求���,由具備資格的機構安全認證合格或者安全檢測符合要求后�����,方可銷(xiāo)售或者提供����。國家網(wǎng)信部門(mén)會(huì )同國務(wù)院有關(guān)部門(mén)制定��、公布網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品目錄����,并推動(dòng)安全認證和安全檢測結果互認����,避免重復認證����、檢測”����。為落實(shí)《網(wǎng)絡(luò )安全法》有關(guān)規定��,國家網(wǎng)信辦會(huì )同工業(yè)和信息化部���、公安部����、國家認監委等部門(mén)相繼發(fā)布網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品目錄��,確定承擔安全認證和安全檢測任務(wù)的機構�����,明確認證檢測結果統一發(fā)布流程�,制定《信息安全技術(shù)網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品安全技術(shù)要求》強制性國家標準���。
這次五部門(mén)聯(lián)合發(fā)布《公告》�,統一網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品認證檢測制度�����,停止頒發(fā)《計算機信息系統安全專(zhuān)用產(chǎn)品銷(xiāo)售許可證》��,停止執行政府采購領(lǐng)域信息安全產(chǎn)品強制認證要求�,是落實(shí)《網(wǎng)絡(luò )安全法》關(guān)于推動(dòng)安全認證和安全檢測結果互認規定的重要舉措�����,對統一網(wǎng)絡(luò )安全產(chǎn)品安全要求�����、提升產(chǎn)品整體安全防護能力�����,減輕網(wǎng)絡(luò )安全企業(yè)負擔�����、營(yíng)造良好產(chǎn)業(yè)發(fā)展環(huán)境����,發(fā)展強大網(wǎng)絡(luò )安全產(chǎn)業(yè)���、增強國家網(wǎng)絡(luò )安全能力具有重要意義��。
問(wèn):哪些網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品需要按照《公告》要求開(kāi)展安全認證或者安全檢測�?
答:2017年�����,國家網(wǎng)信辦會(huì )同相關(guān)部門(mén)發(fā)布了《網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品目錄(第一批)》�����,包括數據備份一體機���、防火墻��、WEB應用防火墻�、入侵檢測系統��、入侵防御系統���、安全隔離與信息交換產(chǎn)品�、反垃圾郵件產(chǎn)品����、網(wǎng)絡(luò )綜合審計系統�����、網(wǎng)絡(luò )脆弱性?huà)呙璁a(chǎn)品����、安全數據庫系統�、網(wǎng)站恢復產(chǎn)品等11類(lèi)網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品�����,并通過(guò)性能指標界定了范圍���。列入這個(gè)目錄且在性能指標要求范圍內的網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品���,需要按照《公告》要求進(jìn)行安全認證或安全檢測�����。
目前�,國家網(wǎng)信辦正會(huì )同工業(yè)和信息化部�����、公安部����、國家認監委等部門(mén)��,根據技術(shù)發(fā)展情況和監管要求��,參考有關(guān)國家標準����,動(dòng)態(tài)調整《網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品目錄》���。請大家密切關(guān)注國家網(wǎng)信辦后續發(fā)布的有關(guān)公告���。
問(wèn):哪些認證檢測機構是具備資格的機構�����?
答:具備資格的認證檢測機構是指《國家認監委工業(yè)和信息化部 公安部 國家互聯(lián)網(wǎng)信息辦公室關(guān)于發(fā)布承擔網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品安全認證和安全檢測任務(wù)機構名錄(第一批)的公告》中認證檢測范圍包含網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品的機構�����。
國家網(wǎng)信辦將會(huì )同相關(guān)部門(mén)建立健全認證檢測機構監督管理制度��,對認證檢測機構定期開(kāi)展評估��,不符合工作要求的�����,依法依規進(jìn)行處罰����。各認證檢測機構不得要求企業(yè)對多種檢測項目開(kāi)展捆綁檢測��。企業(yè)發(fā)現認證檢測機構違規行為的�,可以向國家網(wǎng)信辦舉報�。
問(wèn):安全認證和安全檢測依據什么標準�����?
答:網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品依據GB 42250《信息安全技術(shù) 網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品安全技術(shù)要求》強制性國家標準開(kāi)展安全認證和安全檢測����。
認證檢測過(guò)程中也將參考與之相配套的���、針對具體產(chǎn)品類(lèi)別的國家標準����。全國信息安全標準化技術(shù)委員會(huì )已發(fā)布一系列具體產(chǎn)品類(lèi)別的國家標準�����,如GB/T 20281-2020《信息安全技術(shù) 防火墻安全技術(shù)要求和測試評價(jià)方法》�����、GB/T 20275-2021《信息安全技術(shù) 網(wǎng)絡(luò )入侵檢測系統技術(shù)要求和測試評價(jià)方法》����、GB/T 28451-2012《信息安全技術(shù)網(wǎng)絡(luò )型入侵防御產(chǎn)品技術(shù)要求和測試評價(jià)方法》��、GB/T 30282-2013《信息安全技術(shù) 反垃圾郵件產(chǎn)品技術(shù)要求和測試評價(jià)方法》�、GB/T 20278-2022《信息安全技術(shù) 網(wǎng)絡(luò )脆弱性?huà)呙璁a(chǎn)品安全技術(shù)要求和測試評價(jià)方法》等��。
問(wèn):產(chǎn)品生產(chǎn)者是否還需要申請《計算機信息系統安全專(zhuān)用產(chǎn)品銷(xiāo)售許可證》���?
答:自2023年7月1日起��,《計算機信息系統安全專(zhuān)用產(chǎn)品銷(xiāo)售許可證》停止頒發(fā)���,產(chǎn)品生產(chǎn)者無(wú)需申領(lǐng)�����。
問(wèn):政府采購領(lǐng)域如何執行《公告》要求����?
答:2023年7月1日之前��,在政府采購活動(dòng)中采購網(wǎng)絡(luò )安全產(chǎn)品的�,仍然執行原規定����,即國家信息安全產(chǎn)品認證在政府采購法規定的范圍內強制實(shí)施���,各級國家機關(guān)���、事業(yè)單位和團體組織使用財政性資金采購信息安全產(chǎn)品的��,應當采購經(jīng)國家認證的信息安全產(chǎn)品���。
2023年7月1日起�����,在政府采購活動(dòng)中采購網(wǎng)絡(luò )安全產(chǎn)品的�����,不需產(chǎn)品提供國家信息安全產(chǎn)品認證證書(shū)����。政府采購活動(dòng)中不得要求或者采取加分等措施變相要求投標產(chǎn)品同時(shí)滿(mǎn)足安全認證合格和安全檢測符合要求���。
問(wèn):安全認證和安全檢測結果如何發(fā)布���?
答:認證檢測機構會(huì )直接通過(guò)網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品認證檢測結果發(fā)布系統報送安全認證合格或者安全檢測符合要求的網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品清單��,有關(guān)主管部門(mén)審核后�,由國家網(wǎng)信部門(mén)會(huì )同工業(yè)和信息化部�、公安部�����、國家認監委統一公布�����,供社會(huì )查詢(xún)和使用���。
問(wèn):2023年7月1日起�����,產(chǎn)品生產(chǎn)者是否需要同時(shí)進(jìn)行安全認證和安全檢測�����?
答:不需要�����。安全認證合格或者安全檢測符合要求�,具有同等市場(chǎng)準入效力���,產(chǎn)品生產(chǎn)者不必重復申請��。同一款產(chǎn)品在有效期內重復申請的���,國家網(wǎng)信辦不再公布認證檢測結果����。
2023年7月1日起����,列入《網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品目錄》的網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品應至少符合以下條件之一�,方可銷(xiāo)售或者提供:一是依據《公告》要求����,按照《信息安全技術(shù)網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品安全技術(shù)要求》等相關(guān)國家標準強制性要求���,由具備資格的機構安全認證合格或安全檢測符合要求的����;二是此前已經(jīng)獲得《計算機信息系統安全專(zhuān)用產(chǎn)品銷(xiāo)售許可證》�����,且在有效期內的���。
未列入《網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品目錄》的其它相關(guān)產(chǎn)品���,如法律法規沒(méi)有特殊規定��,可按照市場(chǎng)需求銷(xiāo)售或者提供��。
售前咨詢(xún)專(zhuān)員
