近日,國家互聯(lián)網信息辦公室、工業(yè)和信息化部�、公安部、財政部��、國家認證認可監(jiān)督管理委員會聯(lián)合發(fā)布《關于調整網絡安全專用產品安全管理有關事項的公告》(以下簡稱《公告》)����。國家互聯(lián)網信息辦公室有關負責人就《公告》相關問題回答了記者提問。
問:請介紹一下《公告》發(fā)布的背景�?
答:1994年,《計算機信息系統(tǒng)安全保護條例》規(guī)定國家對計算機信息系統(tǒng)安全專用產品的銷售實行許可證制度�,公安部自1997年開始實施產品銷售許可行政審批工作。2008年���,原國家質檢總局����、國家認監(jiān)委發(fā)布《關于部分信息安全產品實施強制性認證的公告》�,將13種信息安全產品納入強制性認證管理范圍;2009年���,又聯(lián)合財政部發(fā)布《關于調整信息安全產品強制性認證實施要求的公告》����,將信息安全產品強制性認證要求調整為在政府采購法范圍內實施����。2010年,財政部����、工業(yè)和信息化部���、原國家質檢總局、國家認監(jiān)委聯(lián)合印發(fā)《關于信息安全產品實施政府采購的通知》�����,再次明確使用財政性資金采購信息安全產品的��,應當采購經國家認證的產品��。這兩項制度對規(guī)范管理網絡安全產品發(fā)揮了重要作用�,但管理內容有交叉����,在一定程度上存在重復認證檢測情況。
2017年6月實施的《網絡安全法》明確規(guī)定“網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求���,由具備資格的機構安全認證合格或者安全檢測符合要求后�,方可銷售或者提供�。國家網信部門會同國務院有關部門制定、公布網絡關鍵設備和網絡安全專用產品目錄��,并推動安全認證和安全檢測結果互認��,避免重復認證、檢測”��。為落實《網絡安全法》有關規(guī)定���,國家網信辦會同工業(yè)和信息化部�����、公安部��、國家認監(jiān)委等部門相繼發(fā)布網絡關鍵設備和網絡安全專用產品目錄�,確定承擔安全認證和安全檢測任務的機構����,明確認證檢測結果統(tǒng)一發(fā)布流程,制定《信息安全技術 網絡安全專用產品安全技術要求》強制性國家標準��。
這次五部門聯(lián)合發(fā)布《公告》�,統(tǒng)一網絡安全專用產品認證檢測制度,停止頒發(fā)《計算機信息系統(tǒng)安全專用產品銷售許可證》�����,停止執(zhí)行政府采購領域信息安全產品強制認證要求��,是落實《網絡安全法》關于推動安全認證和安全檢測結果互認規(guī)定的重要舉措,對統(tǒng)一網絡安全產品安全要求��、提升產品整體安全防護能力��,減輕網絡安全企業(yè)負擔��、營造良好產業(yè)發(fā)展環(huán)境�,發(fā)展強大網絡安全產業(yè)、增強國家網絡安全能力具有重要意義�。
問:哪些網絡安全專用產品需要按照《公告》要求開展安全認證或者安全檢測?
答:2017年�����,國家網信辦會同相關部門發(fā)布了《網絡關鍵設備和網絡安全專用產品目錄(第一批)》�,包括數據備份一體機�、防火墻、WEB應用防火墻���、入侵檢測系統(tǒng)�����、入侵防御系統(tǒng)�����、安全隔離與信息交換產品����、反垃圾郵件產品、網絡綜合審計系統(tǒng)����、網絡脆弱性掃描產品、安全數據庫系統(tǒng)�����、網站恢復產品等11類網絡安全專用產品�����,并通過性能指標界定了范圍��。列入這個目錄且在性能指標要求范圍內的網絡安全專用產品�����,需要按照《公告》要求進行安全認證或安全檢測���。
目前�����,國家網信辦正會同工業(yè)和信息化部�、公安部、國家認監(jiān)委等部門��,根據技術發(fā)展情況和監(jiān)管要求���,參考有關國家標準�����,動態(tài)調整《網絡關鍵設備和網絡安全專用產品目錄》�。請大家密切關注國家網信辦后續(xù)發(fā)布的有關公告����。
問:哪些認證檢測機構是具備資格的機構���?
答:具備資格的認證檢測機構是指《國家認監(jiān)委 工業(yè)和信息化部 公安部 國家互聯(lián)網信息辦公室關于發(fā)布承擔網絡關鍵設備和網絡安全專用產品安全認證和安全檢測任務機構名錄(第一批)的公告》中認證檢測范圍包含網絡安全專用產品的機構�。
國家網信辦將會同相關部門建立健全認證檢測機構監(jiān)督管理制度�,對認證檢測機構定期開展評估���,不符合工作要求的,依法依規(guī)進行處罰�����。各認證檢測機構不得要求企業(yè)對多種檢測項目開展捆綁檢測�。企業(yè)發(fā)現(xiàn)認證檢測機構違規(guī)行為的,可以向國家網信辦舉報���。
問:安全認證和安全檢測依據什么標準����?
答:網絡安全專用產品依據GB 42250《信息安全技術 網絡安全專用產品安全技術要求》強制性國家標準開展安全認證和安全檢測�����。
認證檢測過程中也將參考與之相配套的���、針對具體產品類別的國家標準����。全國信息安全標準化技術委員會已發(fā)布一系列具體產品類別的國家標準,如GB/T 20281-2020《信息安全技術 防火墻安全技術要求和測試評價方法》���、GB/T 20275-2021《信息安全技術 網絡入侵檢測系統(tǒng)技術要求和測試評價方法》��、GB/T 28451-2012《信息安全技術 網絡型入侵防御產品技術要求和測試評價方法》���、GB/T 30282-2013《信息安全技術 反垃圾郵件產品技術要求和測試評價方法》、GB/T 20278-2022《信息安全技術 網絡脆弱性掃描產品安全技術要求和測試評價方法》等�。
問:產品生產者是否還需要申請《計算機信息系統(tǒng)安全專用產品銷售許可證》?
答:自2023年7月1日起��,《計算機信息系統(tǒng)安全專用產品銷售許可證》停止頒發(fā)����,產品生產者無需申領。
問:政府采購領域如何執(zhí)行《公告》要求�����?
答:2023年7月1日之前�����,在政府采購活動中采購網絡安全產品的�,仍然執(zhí)行原規(guī)定,即國家信息安全產品認證在政府采購法規(guī)定的范圍內強制實施����,各級國家機關、事業(yè)單位和團體組織使用財政性資金采購信息安全產品的����,應當采購經國家認證的信息安全產品。
2023年7月1日起�,在政府采購活動中采購網絡安全產品的,不需產品提供國家信息安全產品認證證書���。政府采購活動中不得要求或者采取加分等措施變相要求投標產品同時滿足安全認證合格和安全檢測符合要求����。
問:安全認證和安全檢測結果如何發(fā)布�����?
答:認證檢測機構會直接通過網絡關鍵設備和網絡安全專用產品認證檢測結果發(fā)布系統(tǒng)報送安全認證合格或者安全檢測符合要求的網絡安全專用產品清單���,有關主管部門審核后����,由國家網信部門會同工業(yè)和信息化部、公安部�、國家認監(jiān)委統(tǒng)一公布,供社會查詢和使用�。
問:2023年7月1日起,產品生產者是否需要同時進行安全認證和安全檢測��?
答:不需要�����。安全認證合格或者安全檢測符合要求�����,具有同等市場準入效力����,產品生產者不必重復申請。同一款產品在有效期內重復申請的���,國家網信辦不再公布認證檢測結果��。
2023年7月1日起����,列入《網絡關鍵設備和網絡安全專用產品目錄》的網絡安全專用產品應至少符合以下條件之一,方可銷售或者提供:一是依據《公告》要求�����,按照《信息安全技術 網絡安全專用產品安全技術要求》等相關國家標準強制性要求��,由具備資格的機構安全認證合格或安全檢測符合要求的�����;二是此前已經獲得《計算機信息系統(tǒng)安全專用產品銷售許可證》�,且在有效期內的�����。
未列入《網絡關鍵設備和網絡安全專用產品目錄》的其它相關產品�����,如法律法規(guī)沒有特殊規(guī)定���,可按照市場需求銷售或者提供���。
登錄
登錄
還沒賬號?立即注冊
點擊頭像快速登錄
請輸入驗證碼