據(jù)網(wǎng)信中國微信公眾號消息����,近日,國家互聯(lián)網(wǎng)信息辦公室���、工業(yè)和信息化部�����、公安部���、財政部��、國家認證認可監(jiān)督管理委員會聯(lián)合發(fā)布《關于調(diào)整網(wǎng)絡安全專用產(chǎn)品安全管理有關事項的公告》(以下簡稱《公告》)���。國家互聯(lián)網(wǎng)信息辦公室有關負責人就《公告》相關問題回答了記者提問。
問:請介紹一下《公告》發(fā)布的背景��?
答:1994年����,《計算機信息系統(tǒng)安全保護條例》規(guī)定國家對計算機信息系統(tǒng)安全專用產(chǎn)品的銷售實行許可證制度,公安部自1997年開始實施產(chǎn)品銷售許可行政審批工作��。2008年�����,原國家質(zhì)檢總局����、國家認監(jiān)委發(fā)布《關于部分信息安全產(chǎn)品實施強制性認證的公告》,將13種信息安全產(chǎn)品納入強制性認證管理范圍��;2009年,又聯(lián)合財政部發(fā)布《關于調(diào)整信息安全產(chǎn)品強制性認證實施要求的公告》��,將信息安全產(chǎn)品強制性認證要求調(diào)整為在政府采購法范圍內(nèi)實施�。2010年,財政部�、工業(yè)和信息化部���、原國家質(zhì)檢總局�、國家認監(jiān)委聯(lián)合印發(fā)《關于信息安全產(chǎn)品實施政府采購的通知》�,再次明確使用財政性資金采購信息安全產(chǎn)品的,應當采購經(jīng)國家認證的產(chǎn)品���。這兩項制度對規(guī)范管理網(wǎng)絡安全產(chǎn)品發(fā)揮了重要作用�,但管理內(nèi)容有交叉���,在一定程度上存在重復認證檢測情況���。
2017年6月實施的《網(wǎng)絡安全法》明確規(guī)定“網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品應當按照相關國家標準的強制性要求,由具備資格的機構(gòu)安全認證合格或者安全檢測符合要求后���,方可銷售或者提供�����。國家網(wǎng)信部門會同國務院有關部門制定��、公布網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄����,并推動安全認證和安全檢測結(jié)果互認,避免重復認證��、檢測”�����。為落實《網(wǎng)絡安全法》有關規(guī)定�,國家網(wǎng)信辦會同工業(yè)和信息化部、公安部��、國家認監(jiān)委等部門相繼發(fā)布網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄�����,確定承擔安全認證和安全檢測任務的機構(gòu)�����,明確認證檢測結(jié)果統(tǒng)一發(fā)布流程,制定《信息安全技術網(wǎng)絡安全專用產(chǎn)品安全技術要求》強制性國家標準���。
這次五部門聯(lián)合發(fā)布《公告》��,統(tǒng)一網(wǎng)絡安全專用產(chǎn)品認證檢測制度�����,停止頒發(fā)《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》,停止執(zhí)行政府采購領域信息安全產(chǎn)品強制認證要求�,是落實《網(wǎng)絡安全法》關于推動安全認證和安全檢測結(jié)果互認規(guī)定的重要舉措,對統(tǒng)一網(wǎng)絡安全產(chǎn)品安全要求��、提升產(chǎn)品整體安全防護能力�,減輕網(wǎng)絡安全企業(yè)負擔、營造良好產(chǎn)業(yè)發(fā)展環(huán)境����,發(fā)展強大網(wǎng)絡安全產(chǎn)業(yè)、增強國家網(wǎng)絡安全能力具有重要意義����。
問:哪些網(wǎng)絡安全專用產(chǎn)品需要按照《公告》要求開展安全認證或者安全檢測?
答:2017年��,國家網(wǎng)信辦會同相關部門發(fā)布了《網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄(第一批)》,包括數(shù)據(jù)備份一體機�、防火墻、WEB應用防火墻�����、入侵檢測系統(tǒng)��、入侵防御系統(tǒng)���、安全隔離與信息交換產(chǎn)品��、反垃圾郵件產(chǎn)品��、網(wǎng)絡綜合審計系統(tǒng)���、網(wǎng)絡脆弱性掃描產(chǎn)品、安全數(shù)據(jù)庫系統(tǒng)��、網(wǎng)站恢復產(chǎn)品等11類網(wǎng)絡安全專用產(chǎn)品���,并通過性能指標界定了范圍�����。列入這個目錄且在性能指標要求范圍內(nèi)的網(wǎng)絡安全專用產(chǎn)品�,需要按照《公告》要求進行安全認證或安全檢測。
目前��,國家網(wǎng)信辦正會同工業(yè)和信息化部�、公安部、國家認監(jiān)委等部門�����,根據(jù)技術發(fā)展情況和監(jiān)管要求��,參考有關國家標準����,動態(tài)調(diào)整《網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄》����。請大家密切關注國家網(wǎng)信辦后續(xù)發(fā)布的有關公告。
問:哪些認證檢測機構(gòu)是具備資格的機構(gòu)��?
答:具備資格的認證檢測機構(gòu)是指《國家認監(jiān)委工業(yè)和信息化部公安部國家互聯(lián)網(wǎng)信息辦公室關于發(fā)布承擔網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品安全認證和安全檢測任務機構(gòu)名錄(第一批)的公告》中認證檢測范圍包含網(wǎng)絡安全專用產(chǎn)品的機構(gòu)�����。
國家網(wǎng)信辦將會同相關部門建立健全認證檢測機構(gòu)監(jiān)督管理制度,對認證檢測機構(gòu)定期開展評估�����,不符合工作要求的���,依法依規(guī)進行處罰�。各認證檢測機構(gòu)不得要求企業(yè)對多種檢測項目開展捆綁檢測��。企業(yè)發(fā)現(xiàn)認證檢測機構(gòu)違規(guī)行為的��,可以向國家網(wǎng)信辦舉報��。
問:安全認證和安全檢測依據(jù)什么標準���?
答:網(wǎng)絡安全專用產(chǎn)品依據(jù)GB 42250《信息安全技術網(wǎng)絡安全專用產(chǎn)品安全技術要求》強制性國家標準開展安全認證和安全檢測����。
認證檢測過程中也將參考與之相配套的�、針對具體產(chǎn)品類別的國家標準。全國信息安全標準化技術委員會已發(fā)布一系列具體產(chǎn)品類別的國家標準��,如GB/T 20281-2020《信息安全技術防火墻安全技術要求和測試評價方法》、GB/T 20275-2021《信息安全技術網(wǎng)絡入侵檢測系統(tǒng)技術要求和測試評價方法》���、GB/T 28451-2012《信息安全技術網(wǎng)絡型入侵防御產(chǎn)品技術要求和測試評價方法》����、GB/T 30282-2013《信息安全技術反垃圾郵件產(chǎn)品技術要求和測試評價方法》�����、GB/T 20278-2022《信息安全技術網(wǎng)絡脆弱性掃描產(chǎn)品安全技術要求和測試評價方法》等���。
問:產(chǎn)品生產(chǎn)者是否還需要申請《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》���?
答:自2023年7月1日起,《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》停止頒發(fā)�,產(chǎn)品生產(chǎn)者無需申領。
問:政府采購領域如何執(zhí)行《公告》要求�����?
答:2023年7月1日之前�,在政府采購活動中采購網(wǎng)絡安全產(chǎn)品的��,仍然執(zhí)行原規(guī)定,即國家信息安全產(chǎn)品認證在政府采購法規(guī)定的范圍內(nèi)強制實施��,各級國家機關��、事業(yè)單位和團體組織使用財政性資金采購信息安全產(chǎn)品的��,應當采購經(jīng)國家認證的信息安全產(chǎn)品�。
2023年7月1日起,在政府采購活動中采購網(wǎng)絡安全產(chǎn)品的��,不需產(chǎn)品提供國家信息安全產(chǎn)品認證證書���。政府采購活動中不得要求或者采取加分等措施變相要求投標產(chǎn)品同時滿足安全認證合格和安全檢測符合要求��。
問:安全認證和安全檢測結(jié)果如何發(fā)布����?
答:認證檢測機構(gòu)會直接通過網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品認證檢測結(jié)果發(fā)布系統(tǒng)報送安全認證合格或者安全檢測符合要求的網(wǎng)絡安全專用產(chǎn)品清單�����,有關主管部門審核后��,由國家網(wǎng)信部門會同工業(yè)和信息化部����、公安部���、國家認監(jiān)委統(tǒng)一公布,供社會查詢和使用��。
問:2023年7月1日起��,產(chǎn)品生產(chǎn)者是否需要同時進行安全認證和安全檢測����?
答:不需要。安全認證合格或者安全檢測符合要求���,具有同等市場準入效力�,產(chǎn)品生產(chǎn)者不必重復申請�����。同一款產(chǎn)品在有效期內(nèi)重復申請的�,國家網(wǎng)信辦不再公布認證檢測結(jié)果。
2023年7月1日起���,列入《網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄》的網(wǎng)絡安全專用產(chǎn)品應至少符合以下條件之一,方可銷售或者提供:一是依據(jù)《公告》要求,按照《信息安全技術網(wǎng)絡安全專用產(chǎn)品安全技術要求》等相關國家標準強制性要求��,由具備資格的機構(gòu)安全認證合格或安全檢測符合要求的�����;二是此前已經(jīng)獲得《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》���,且在有效期內(nèi)的����。
未列入《網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄》的其它相關產(chǎn)品�,如法律法規(guī)沒有特殊規(guī)定,可按照市場需求銷售或者提供�。
轉(zhuǎn)自:央視網(wǎng)
【版權及免責聲明】凡本網(wǎng)所屬版權作品,轉(zhuǎn)載時須獲得授權并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”����,違者本網(wǎng)將保留追究其相關法律責任的權力。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊����,僅代表作者個人觀點,不代表本網(wǎng)觀點和立場����。版權事宜請聯(lián)系:010-65363056����。
延伸閱讀
