国家网信办就《关于调整网络安全专用产品安全管理有关事项的公告》答问_中国政库
近日,国家互联网信息办公室、工业和信息化部、公安部、财政部、国家认监委联合发布《关于调整网络安全专用产品安全管理的公告》(以下简称《公告》)。国家互联网信息办公室有关负责人就《公告》回答了记者提问。
问:请介绍一下该公告的背景?
答:1994年《计算机信息系统安全保护条例》规定,国家对计算机信息系统安全专用产品的销售实行许可制度。从1997年开始,公安部实施产品销售许可行政审批。2008年,原国家质检总局、国家认监委发布《关于部分信息安全产品强制认证的公告》,将13种信息安全产品纳入强制认证管理范围。2009年,财政部发布《关于调整信息安全产品强制性认证实施要求的公告》,将信息安全产品强制性认证要求调整为在政府采购法范围内实施。2010年,财政部、工业和信息化部、原国家质检总局、国家认监委联合发布《关于实施信息安全产品政府采购的通知》,再次明确使用财政性资金采购信息安全产品的,应当采购国家认证的产品。这两个体系在规范网络安全产品管理方面发挥了重要作用,但管理内容重叠,一定程度上存在重复认证和检测。
2017年6月实施的《网络安全法》明确规定,“网络关键设备、网络安全专用产品应当按照国家有关标准的强制性要求,经有资质的机构安全认证或者安全检测符合要求后,方可销售或者提供。国家网信部门要会同国务院有关部门制定并公布网络安全重点网络设备和专用产品目录,推进安全认证和安全检测结果互认,避免重复认证和检测。”。为落实网络安全法相关规定,国家网信办会同工业和信息化部、公安部、国家认监委等部门,先后发布了网络安全关键设备和专用产品目录,确定了承担安全认证和安全检测任务的机构,明确了认证和检测结果的统一发布流程,制定了强制性国家标准《信息安全技术网络安全专用产品安全技术要求》。
此次,五部门联合发布公告,统一网络安全产品认证检测制度,停止发放计算机信息系统安全产品销售许可证,停止在政府采购领域实施信息安全产品强制性认证要求,是落实网络安全法关于推进安全认证和安全检测结果互认规定的重要举措, 以及统一网络安全产品的安全需求,提升产品整体安全防护能力,减轻网络安全企业负担,营造良好的产业发展环境,发展壮大网络安全产业。
问:根据《公告》要求,哪些网络安全产品需要进行认证或检测?
答:2017年,国家网信办会同有关部门公布了《网络安全重点网络设备和专用产品目录(第一批)》,包括数据备份机、防火墙、WEB应用防火墙、入侵检测系统、入侵防御系统、安全隔离与信息交换产品、反垃圾邮件产品、网络综合审计系统、网络漏洞扫描产品、安全数据库系统、网站恢复产品等11种网络安全专用产品,并通过了性能测试。列入本目录并在性能指标范围内的网络安全专用产品,需要按照公告要求进行认证或检测。
目前,国家网信办正会同工信部、公安部、国家认监委等部门,根据技术发展和监管要求,参照国家相关标准,动态调整《网络关键设备和网络安全专用产品目录》。请密切关注国家网信办发布的相关公告。
问:哪些认证检测机构有资质?
答:合格认证检测机构是指《CNCA、工业和信息化部、公安部、国家互联网信息办公室关于发布承担网络关键设备和网络安全专用产品安全认证检测机构名录(第一批)》公告中认证检测范围包括网络安全产品的机构。
国家网信办将会同有关部门建立健全认证检测机构监督管理制度,定期对认证检测机构进行评估。对不符合工作要求的,将依法依规进行处罚。认证检测机构不得要求企业对各种检测项目进行捆绑检测。发现认证检测机构违规行为的企业,可以向国家网信办举报。
问:安全认证和安全检测的标准是什么?
答:网络安全专用产品按照GB 42250《信息安全技术网络安全专用产品安全技术要求》强制性国家标准进行安全认证和安全检验。
在认证和检测的过程中,我们还会针对具体的产品类别参考相应的国家标准。国家信息安全标准化技术委员会发布了一系列针对特定产品类别的国家标准。比如GB/T 20281-2020信息安全技术防火墙安全技术要求和测试评价方法GB/T 20275-2021信息安全技术网络入侵检测系统技术要求和测试评价方法GB/T 28451-2012信息安全技术网络入侵防御产品技术要求和测试评价方法GB/ T 30282-2013信息安全技术反垃圾邮件产品技术要求和测试评价方法GB/T 20278-2022安全技术
问:产品生产者还需要申请《计算机信息系统安全专用产品销售许可证》吗?
答:自2023年7月1日起,停止发放计算机信息系统安全专用产品销售许可证,产品生产者无需申请。
问:如何在政府采购领域落实《公告》的要求?
答:2023年7月1日前,在政府采购活动中采购网络安全产品的,仍执行原规定,即在政府采购法规定的范围内,国家信息安全产品认证是强制性的。各级国家机关、事业单位和团体组织使用财政性资金采购信息安全产品的,应当采购经过国家认证的信息安全产品。
2023年7月1日起,在政府采购活动中采购网络安全产品的,无需提供国家信息安全产品认证。在政府采购活动中,不得要求或采取加分等措施要求投标产品同时满足安全认证和安全检测要求。
问:安全认证和安全检查的结果是如何发布的?
答:认证检测机构将通过网络关键设备和网络安全专用产品认证检测结果公布系统,直接提交安全认证合格或安全检测合格的网络安全专用产品名单。经相关主管部门审核后,由国家网信部会同工业和信息化部、公安部、国家认监委联合发布,供公众查询和使用。
问:2023年7月1日起,产品生产者是否需要同时进行安全认证和安全检测?
答:不会,安全认证合格或安全检查符合要求的,具有相同的市场准入效果,产品生产企业不必重复申请。同一产品在有效期内重复申请的,国家网信办不再公布认证检测结果。
自2023年7月1日起,列入《网络关键设备和网络安全专用产品目录》的网络安全专用产品,应当至少符合下列条件之一,方可销售或者提供:一是根据公告要求,按照《信息安全技术网络安全专用产品安全技术要求》等相关国家标准的强制性要求,产品经有资质的机构进行安全认证或者安全检测合格;二是此前已取得计算机信息系统安全专用产品销售许可,且在有效期内。
未列入《网络关键设备和网络安全专用产品目录》的其他相关产品,在法律法规无特殊规定的情况下,可根据市场需求销售或提供。
责任编辑:王卉图片编辑:李晶昀