國家互聯(lián)網(wǎng)信息辦公室 工業(yè)和信息化部 公安部 財政部 國家認證認可監(jiān)督管理委員會關(guān)于調(diào)整網(wǎng)絡安全專用產(chǎn)品安全管理有關(guān)事項的公告
時間:2023-06-09 來源:河南省財政廳政府采購監(jiān)督管理處
加強網(wǎng)絡安全專用產(chǎn)品安全管理��,推動安全認證和安全檢測結(jié)果互認���,避免重復認證�、檢測�����,依據(jù)《中華人民共和國網(wǎng)絡安全法》�、《關(guān)于發(fā)布〈網(wǎng)絡關(guān)鍵設(shè)備和網(wǎng)絡安全專用產(chǎn)品目錄(第一批)〉的公告》(2017年第1號)、《國家認監(jiān)委 工業(yè)和信息化部 公安部 國家互聯(lián)網(wǎng)信息辦公室關(guān)于發(fā)布承擔網(wǎng)絡關(guān)鍵設(shè)備和網(wǎng)絡安全專用產(chǎn)品安全認證和安全檢測任務機構(gòu)名錄(第一批)的公告》(2018年第12號)�、《關(guān)于統(tǒng)一發(fā)布網(wǎng)絡關(guān)鍵設(shè)備和網(wǎng)絡安全專用產(chǎn)品安全認證和安全檢測結(jié)果的公告》(2022年第1號),現(xiàn)將調(diào)整網(wǎng)絡安全專用產(chǎn)品安全管理有關(guān)事項公告如下:
一����、自2023年7月1日起,列入《網(wǎng)絡關(guān)鍵設(shè)備和網(wǎng)絡安全專用產(chǎn)品目錄》的網(wǎng)絡安全專用產(chǎn)品應當按照《信息安全技術(shù) 網(wǎng)絡安全專用產(chǎn)品安全技術(shù)要求》等相關(guān)國家標準的強制性要求����,由具備資格的機構(gòu)安全認證合格或者安全檢測符合要求后,方可銷售或者提供�����。
具備資格的機構(gòu)是指列入《承擔網(wǎng)絡關(guān)鍵設(shè)備和網(wǎng)絡安全專用產(chǎn)品安全認證和安全檢測任務機構(gòu)名錄》的機構(gòu)��。
國家互聯(lián)網(wǎng)信息辦公室����、工業(yè)和信息化部、公安部���、國家認證認可監(jiān)督管理委員會發(fā)布更新《網(wǎng)絡關(guān)鍵設(shè)備和網(wǎng)絡安全專用產(chǎn)品目錄》�、《承擔網(wǎng)絡關(guān)鍵設(shè)備和網(wǎng)絡安全專用產(chǎn)品安全認證和安全檢測任務機構(gòu)名錄》。
二���、自2023年7月1日起��,停止頒發(fā)《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》(簡稱銷售許可證),產(chǎn)品生產(chǎn)者無需申領(lǐng)�����。此前已經(jīng)獲得銷售許可證的產(chǎn)品在有效期內(nèi)可繼續(xù)銷售或者提供���。
三�、自2023年7月1日起��,停止執(zhí)行《關(guān)于調(diào)整信息安全產(chǎn)品強制性認證實施要求的公告》(原國家質(zhì)檢總局����、財政部、國家認證認可監(jiān)督管理委員會2009年第33號)和《財政部 工業(yè)和信息化部 質(zhì)檢總局 認監(jiān)委關(guān)于信息安全產(chǎn)品實施政府采購的通知》(財庫〔2010〕48號)�。
四、國家互聯(lián)網(wǎng)信息辦公室會同工業(yè)和信息化部���、公安部�����、國家認證認可監(jiān)督管理委員會統(tǒng)一公布和更新符合要求的網(wǎng)絡關(guān)鍵設(shè)備和網(wǎng)絡安全專用產(chǎn)品清單����,供社會查詢和使用。
特此公告����。
國家互聯(lián)網(wǎng)信息辦公室 工業(yè)和信息化部 公安部 財政部 國家認證認可監(jiān)督管理委員會
2023年4月12日
國家互聯(lián)網(wǎng)信息辦公室有關(guān)負責人就《關(guān)于調(diào)整網(wǎng)絡安全專用產(chǎn)品安全管理有關(guān)事項的公告》答記者問
來源: 網(wǎng)信辦網(wǎng)站
近日,國家互聯(lián)網(wǎng)信息辦公室����、工業(yè)和信息化部、公安部��、財政部���、國家認證認可監(jiān)督管理委員會聯(lián)合發(fā)布《關(guān)于調(diào)整網(wǎng)絡安全專用產(chǎn)品安全管理有關(guān)事項的公告》(以下簡稱《公告》)�。國家互聯(lián)網(wǎng)信息辦公室有關(guān)負責人就《公告》相關(guān)問題回答了記者提問�����。問:請介紹一下《公告》發(fā)布的背景。
答:1994年��,《計算機信息系統(tǒng)安全保護條例》規(guī)定國家對計算機信息系統(tǒng)安全專用產(chǎn)品的銷售實行許可證制度����,公安部自1997年開始實施產(chǎn)品銷售許可行政審批工作。2008年��,原國家質(zhì)檢總局����、國家認監(jiān)委發(fā)布《關(guān)于部分信息安全產(chǎn)品實施強制性認證的公告》���,將13種信息安全產(chǎn)品納入強制性認證管理范圍����;2009年����,又聯(lián)合財政部發(fā)布《關(guān)于調(diào)整信息安全產(chǎn)品強制性認證實施要求的公告》,將信息安全產(chǎn)品強制性認證要求調(diào)整為在政府采購法范圍內(nèi)實施��。2010年��,財政部、工業(yè)和信息化部����、原國家質(zhì)檢總局、國家認監(jiān)委聯(lián)合印發(fā)《關(guān)于信息安全產(chǎn)品實施政府采購的通知》��,再次明確使用財政性資金采購信息安全產(chǎn)品的�����,應當采購經(jīng)國家認證的產(chǎn)品�。這兩項制度對規(guī)范管理網(wǎng)絡安全產(chǎn)品發(fā)揮了重要作用,但管理內(nèi)容有交叉�,在一定程度上存在重復認證檢測情況。
2017年6月實施的《網(wǎng)絡安全法》明確規(guī)定“網(wǎng)絡關(guān)鍵設(shè)備和網(wǎng)絡安全專用產(chǎn)品應當按照相關(guān)國家標準的強制性要求��,由具備資格的機構(gòu)安全認證合格或者安全檢測符合要求后���,方可銷售或者提供��。國家網(wǎng)信部門會同國務院有關(guān)部門制定�、公布網(wǎng)絡關(guān)鍵設(shè)備和網(wǎng)絡安全專用產(chǎn)品目錄���,并推動安全認證和安全檢測結(jié)果互認����,避免重復認證、檢測”�。為落實《網(wǎng)絡安全法》有關(guān)規(guī)定,國家網(wǎng)信辦會同工業(yè)和信息化部�、公安部、國家認監(jiān)委等部門相繼發(fā)布網(wǎng)絡關(guān)鍵設(shè)備和網(wǎng)絡安全專用產(chǎn)品目錄�,確定承擔安全認證和安全檢測任務的機構(gòu),明確認證檢測結(jié)果統(tǒng)一發(fā)布流程��,制定《信息安全技術(shù) 網(wǎng)絡安全專用產(chǎn)品安全技術(shù)要求》強制性國家標準����。
這次五部門聯(lián)合發(fā)布《公告》,統(tǒng)一網(wǎng)絡安全專用產(chǎn)品認證檢測制度�����,停止頒發(fā)《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》�����,停止執(zhí)行政府采購領(lǐng)域信息安全產(chǎn)品強制認證要求��,是落實《網(wǎng)絡安全法》關(guān)于推動安全認證和安全檢測結(jié)果互認規(guī)定的重要舉措���,對統(tǒng)一網(wǎng)絡安全產(chǎn)品安全要求�����、提升產(chǎn)品整體安全防護能力�����,減輕網(wǎng)絡安全企業(yè)負擔��、營造良好產(chǎn)業(yè)發(fā)展環(huán)境��,發(fā)展強大網(wǎng)絡安全產(chǎn)業(yè)�����、增強國家網(wǎng)絡安全能力具有重要意義���。
問:哪些網(wǎng)絡安全專用產(chǎn)品需要按照《公告》要求開展安全認證或者安全檢測?
答:2017年�����,國家網(wǎng)信辦會同相關(guān)部門發(fā)布了《網(wǎng)絡關(guān)鍵設(shè)備和網(wǎng)絡安全專用產(chǎn)品目錄(第一批)》���,包括數(shù)據(jù)備份一體機���、防火墻����、WEB應用防火墻�����、入侵檢測系統(tǒng)���、入侵防御系統(tǒng)�、安全隔離與信息交換產(chǎn)品���、反垃圾郵件產(chǎn)品���、網(wǎng)絡綜合審計系統(tǒng)�、網(wǎng)絡脆弱性掃描產(chǎn)品、安全數(shù)據(jù)庫系統(tǒng)���、網(wǎng)站恢復產(chǎn)品等11類網(wǎng)絡安全專用產(chǎn)品�,并通過性能指標界定了范圍。列入這個目錄且在性能指標要求范圍內(nèi)的網(wǎng)絡安全專用產(chǎn)品����,需要按照《公告》要求進行安全認證或安全檢測。
目前�����,國家網(wǎng)信辦正會同工業(yè)和信息化部��、公安部�����、國家認監(jiān)委等部門��,根據(jù)技術(shù)發(fā)展情況和監(jiān)管要求����,參考有關(guān)國家標準,動態(tài)調(diào)整《網(wǎng)絡關(guān)鍵設(shè)備和網(wǎng)絡安全專用產(chǎn)品目錄》�。請大家密切關(guān)注國家網(wǎng)信辦后續(xù)發(fā)布的有關(guān)公告。
問:哪些認證檢測機構(gòu)是具備資格的機構(gòu)�����?
答:具備資格的認證檢測機構(gòu)是指《國家認監(jiān)委 工業(yè)和信息化部 公安部 國家互聯(lián)網(wǎng)信息辦公室關(guān)于發(fā)布承擔網(wǎng)絡關(guān)鍵設(shè)備和網(wǎng)絡安全專用產(chǎn)品安全認證和安全檢測任務機構(gòu)名錄(第一批)的公告》中認證檢測范圍包含網(wǎng)絡安全專用產(chǎn)品的機構(gòu)。
國家網(wǎng)信辦將會同相關(guān)部門建立健全認證檢測機構(gòu)監(jiān)督管理制度���,對認證檢測機構(gòu)定期開展評估����,不符合工作要求的�,依法依規(guī)進行處罰。各認證檢測機構(gòu)不得要求企業(yè)對多種檢測項目開展捆綁檢測���。企業(yè)發(fā)現(xiàn)認證檢測機構(gòu)違規(guī)行為的��,可以向國家網(wǎng)信辦舉報��。
問:安全認證和安全檢測依據(jù)什么標準�?
答:網(wǎng)絡安全專用產(chǎn)品依據(jù)GB 42250《信息安全技術(shù) 網(wǎng)絡安全專用產(chǎn)品安全技術(shù)要求》強制性國家標準開展安全認證和安全檢測�。
認證檢測過程中也將參考與之相配套的、針對具體產(chǎn)品類別的國家標準�����。全國信息安全標準化技術(shù)委員會已發(fā)布一系列具體產(chǎn)品類別的國家標準���,如GB/T 20281-2020《信息安全技術(shù) 防火墻安全技術(shù)要求和測試評價方法》��、GB/T 20275-2021《信息安全技術(shù) 網(wǎng)絡入侵檢測系統(tǒng)技術(shù)要求和測試評價方法》���、GB/T 28451-2012《信息安全技術(shù) 網(wǎng)絡型入侵防御產(chǎn)品技術(shù)要求和測試評價方法》、GB/T 30282-2013《信息安全技術(shù) 反垃圾郵件產(chǎn)品技術(shù)要求和測試評價方法》�、GB/T 20278-2022《信息安全技術(shù) 網(wǎng)絡脆弱性掃描產(chǎn)品安全技術(shù)要求和測試評價方法》等。
問:產(chǎn)品生產(chǎn)者是否還需要申請《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》�����?
答:自2023年7月1日起����,《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》停止頒發(fā),產(chǎn)品生產(chǎn)者無需申領(lǐng)����。
問:政府采購領(lǐng)域如何執(zhí)行《公告》要求
答:2023年7月1日之前,在政府采購活動中采購網(wǎng)絡安全產(chǎn)品的��,仍然執(zhí)行原規(guī)定����,即國家信息安全產(chǎn)品認證在政府采購法規(guī)定的范圍內(nèi)強制實施,各級國家機關(guān)、事業(yè)單位和團體組織使用財政性資金采購信息安全產(chǎn)品的�,應當采購經(jīng)國家認證的信息安全產(chǎn)品。
2023年7月1日起��,在政府采購活動中采購網(wǎng)絡安全產(chǎn)品的���,不需產(chǎn)品提供國家信息安全產(chǎn)品認證證書�。政府采購活動中不得要求或者采取加分等措施變相要求投標產(chǎn)品同時滿足安全認證合格和安全檢測符合要求����。
問:安全認證和安全檢測結(jié)果如何發(fā)布?
答:認證檢測機構(gòu)會直接通過網(wǎng)絡關(guān)鍵設(shè)備和網(wǎng)絡安全專用產(chǎn)品認證檢測結(jié)果發(fā)布系統(tǒng)報送安全認證合格或者安全檢測符合要求的網(wǎng)絡安全專用產(chǎn)品清單���,有關(guān)主管部門審核后�����,由國家網(wǎng)信部門會同工業(yè)和信息化部�����、公安部����、國家認監(jiān)委統(tǒng)一公布,供社會查詢和使用��。
問:2023年7月1日起���,產(chǎn)品生產(chǎn)者是否需要同時進行安全認證和安全檢測?
答:不需要���。安全認證合格或者安全檢測符合要求��,具有同等市場準入效力����,產(chǎn)品生產(chǎn)者不必重復申請����。同一款產(chǎn)品在有效期內(nèi)重復申請的,國家網(wǎng)信辦不再公布認證檢測結(jié)果��。
2023年7月1日起�����,列入《網(wǎng)絡關(guān)鍵設(shè)備和網(wǎng)絡安全專用產(chǎn)品目錄》的網(wǎng)絡安全專用產(chǎn)品應至少符合以下條件之一��,方可銷售或者提供:一是依據(jù)《公告》要求,按照《信息安全技術(shù) 網(wǎng)絡安全專用產(chǎn)品安全技術(shù)要求》等相關(guān)國家標準強制性要求��,由具備資格的機構(gòu)安全認證合格或安全檢測符合要求的����;二是此前已經(jīng)獲得《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》,且在有效期內(nèi)的�����。
未列入《網(wǎng)絡關(guān)鍵設(shè)備和網(wǎng)絡安全專用產(chǎn)品目錄》的其它相關(guān)產(chǎn)品��,如法律法規(guī)沒有特殊規(guī)定�,可按照市場需求銷售或者提供。
