近日,国家互联网信息办公室、工业和信息化部、公安部、财政部、国家认证认可监督管理委员会联合发布《关于调整网络安全专用产品安全管理有关事项的公告》(以下简称《公告》)。国家互联网信息办公室有关负责人就《公告》相关问题回答了记者提问。
问:请介绍一下《公告》发布的背景。
答:1994年,《计算机信息系统安全保护条例》规定国家对计算机信息系统安全专用产品的销售实行许可证制度,公安部自1997年开始实施产品销售许可行政审批工作。2008年,原国家质检总局、国家认监委发布《关于部分信息安全产品实施强制性认证的公告》,将13种信息安全产品纳入强制性认证管理范围;2009年,又联合财政部发布《关于调整信息安全产品强制性认证实施要求的公告》,将信息安全产品强制性认证要求调整为在政府采购法范围内实施。2010年,财政部、工业和信息化部、原国家质检总局、国家认监委联合印发《关于信息安全产品实施政府采购的通知》,再次明确使用财政性资金采购信息安全产品的,应当采购经国家认证的产品。这两项制度对规范管理网络安全产品发挥了重要作用,但管理内容有交叉,在一定程度上存在重复认证检测情况。
2017年6月实施的《网络安全法》明确规定“网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测”。为落实《网络安全法》有关规定,国家网信办会同工业和信息化部、公安部、国家认监委等部门相继发布网络关键设备和网络安全专用产品目录,确定承担安全认证和安全检测任务的机构,明确认证检测结果统一发布流程,制定《信息安全技术 网络安全专用产品安全技术要求》强制性国家标准。
这次五部门联合发布《公告》,统一网络安全专用产品认证检测制度,停止颁发《计算机信息系统安全专用产品销售许可证》,停止执行政府采购领域信息安全产品强制认证要求,是落实《网络安全法》关于推动安全认证和安全检测结果互认规定的重要举措,对统一网络安全产品安全要求、提升产品整体安全防护能力,减轻网络安全企业负担、营造良好产业发展环境,发展强大网络安全产业、增强国家网络安全能力具有重要意义。
问:哪些网络安全专用产品需要按照《公告》要求开展安全认证或者安全检测?
答:2017年,国家网信办会同相关部门发布了《网络关键设备和网络安全专用产品目录(第一批)》,包括数据备份一体机、防火墙、WEB应用防火墙、入侵检测系统、入侵防御系统、安全隔离与信息交换产品、反垃圾邮件产品、网络综合审计系统、网络脆弱性扫描产品、安全数据库系统、网站恢复产品等11类网络安全专用产品,并通过性能指标界定了范围。列入这个目录且在性能指标要求范围内的网络安全专用产品,需要按照《公告》要求进行安全认证或安全检测。
目前,国家网信办正会同工业和信息化部、公安部、国家认监委等部门,根据技术发展情况和监管要求,参考有关国家标准,动态调整《网络关键设备和网络安全专用产品目录》。请大家密切关注国家网信办后续发布的有关公告。
问:哪些认证检测机构是具备资格的机构?
答:具备资格的认证检测机构是指《国家认监委 工业和信息化部 公安部 国家互联网信息办公室关于发布承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)的公告》中认证检测范围包含网络安全专用产品的机构。
国家网信办将会同相关部门建立健全认证检测机构监督管理制度,对认证检测机构定期开展评估,不符合工作要求的,依法依规进行处罚。各认证检测机构不得要求企业对多种检测项目开展捆绑检测。企业发现认证检测机构违规行为的,可以向国家网信办举报。
问:安全认证和安全检测依据什么标准?
答:网络安全专用产品依据GB 42250《信息安全技术 网络安全专用产品安全技术要求》强制性国家标准开展安全认证和安全检测。
认证检测过程中也将参考与之相配套的、针对具体产品类别的国家标准。全国信息安全标准化技术委员会已发布一系列具体产品类别的国家标准,如GB/T 20281-2020《信息安全技术 防火墙安全技术要求和测试评价方法》、GB/T 20275-2021《信息安全技术 网络入侵检测系统技术要求和测试评价方法》、GB/T 28451-2012《信息安全技术 网络型入侵防御产品技术要求和测试评价方法》、GB/T 30282-2013《信息安全技术 反垃圾邮件产品技术要求和测试评价方法》、GB/T 20278-2022《信息安全技术 网络脆弱性扫描产品安全技术要求和测试评价方法》等。
问:产品生产者是否还需要申请《计算机信息系统安全专用产品销售许可证》?
答:自2023年7月1日起,《计算机信息系统安全专用产品销售许可证》停止颁发,产品生产者无需申领。
问:政府采购领域如何执行《公告》要求?
答:2023年7月1日之前,在政府采购活动中采购网络安全产品的,仍然执行原规定,即国家信息安全产品认证在政府采购法规定的范围内强制实施,各级国家机关、事业单位和团体组织使用财政性资金采购信息安全产品的,应当采购经国家认证的信息安全产品。
2023年7月1日起,在政府采购活动中采购网络安全产品的,不需产品提供国家信息安全产品认证证书。政府采购活动中不得要求或者采取加分等措施变相要求投标产品同时满足安全认证合格和安全检测符合要求。
问:安全认证和安全检测结果如何发布?
答:认证检测机构会直接通过网络关键设备和网络安全专用产品认证检测结果发布系统报送安全认证合格或者安全检测符合要求的网络安全专用产品清单,有关主管部门审核后,由国家网信部门会同工业和信息化部、公安部、国家认监委统一公布,供社会查询和使用。
问:2023年7月1日起,产品生产者是否需要同时进行安全认证和安全检测?
答:不需要。安全认证合格或者安全检测符合要求,具有同等市场准入效力,产品生产者不必重复申请。同一款产品在有效期内重复申请的,国家网信办不再公布认证检测结果。
2023年7月1日起,列入《网络关键设备和网络安全专用产品目录》的网络安全专用产品应至少符合以下条件之一,方可销售或者提供:一是依据《公告》要求,按照《信息安全技术 网络安全专用产品安全技术要求》等相关国家标准强制性要求,由具备资格的机构安全认证合格或安全检测符合要求的;二是此前已经获得《计算机信息系统安全专用产品销售许可证》,且在有效期内的。