近日,国家互联网信息办公室、工业和信息化部、公安部、财政部、国家认证认可监督管理委员会联合发布了“关于调整网络安全专用产品安全管理有关事项的公告”(以下简称公告),相信大家都读到了相关内容。
公告发布后,不少从业者表示这是网络安全行业中的大动作,但因为公告中的许多细则尚未明确,大家也存在一些疑问。本篇文章我们将先针对公告中的一些重点帮助读者进行要点提示,再提出从业者们关心的一些问题。
要点 1:
公告指出: 自2023年7月1日起,列入《网络关键设备和网络安全专用产品目录》的网络安全专用产品应当按照《信息安全技术 网络安全专用产品安全技术要求》等相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。
图片来源:http://www.cac.gov.cn/2017-06/09/c_1121113591.htm
要点 2:
公告指出:具备资格的机构是指列入《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录》的机构。
图片来源:http://www.cac.gov.cn/2022-01/28/c_1644970499612271.htm
要点 3:
公告指出:国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会发布更新《网络关键设备和网络安全专用产品目录》、《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录》。
三、自2023年7月1日起,停止执行《关于调整信息安全产品强制性认证实施要求的公告》(原国家质检总局、财政部、国家认证认可监督管理委员会2009年第33号)和《财政部 工业和信息化部质检总局认监委关于信息安全产品实施政府采购的通知》(财库〔2010〕48号)。
- 销售许可证是行业内大家比较熟悉的资质,由公安部颁发,在国内从事信息安全产品销售的厂商必须具备相应的销售许可证资质。
- 《关于调整信息安全产品强制性认证实施要求的公告》(原国家质检总局、财政部、国家认证认可监督管理委员会2009年第33号)原文内容如下图:国家质量监督检验检疫总局、国家认证认可监督管理委员会2008年第7号公告中涉及的信息安全产品强制性认证(自2009年5月1日起,凡列入本强制性认证目录内的信息安全产品,未获得强制性产品认证证书和未加施中国强制性认证标志的,不得出厂、销售、进口或在其他经营活动中使用)的强制实施时间延至2010年5月1日,在政府采购法规定的范围内强制实施。目录共包含13个产品类别,包括安全操作系统产品、安全隔离与信息交换产品、安全路由器产品、安全审计产品、安全数据库系统产品、反垃圾邮件产品、防火墙产品、入侵检测系统产品、数据备份与恢复产品、网络安全隔离卡与线路选择器产品、网络脆弱性扫描产品、网站恢复产品、智能卡cos产品。
图片来源:https://www.isccc.gov.cn/zxyw/cprz/gjxxaqcprz/zyxcprztzgg/09/314483.shtml
-
《财政部 工业和信息化部 质检总局 认监委关于信息安全产品实施政府采购的通知》(财库〔2010〕48号)。该通知于2010年4月28日发布,规定通知的主要内容如下:
以上是针对《关于调整网络安全专用产品安全管理有关事项的公告2023年第1号》的延展内容介绍。
公告的初衷是为了加强网络安全专用产品安全管理,推动安全认证和安全检测结果互认,避免重复认证、检测,公告的推出可以减轻网络安全厂商产品资质管理的压力与成本,推动行业有序发展。
作为行业从业者来说,对于后续具体工作如何执行也存在一些疑问,在此也一并提出,欢迎大家讨论、转发,并一起寻求答案,期待更多官方回答。
- 问题1、 国内网络安全产品种类已达到一百余种,如果产品不属于《网络关键设备和网络安全专用产品目的(第一批)》目录,是否需要继续申请销售许可证和信息安全产品强制性认证?
- 问题2、 如果产品属于《网络关键设备和网络安全专用产品目的(第一批)》目录,但不在其要求的产品指标范围内,例如网络安全专用产品防火墙要求吞吐量≥80Gbps,那么对于吞吐量为40G的防火墙产品,是否仍然需要申请销售许可证和信息安全产品强制性认证?
- 问题3、 列入《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录》的机构说明中,关于安全认证和安全检测两种模式有什么不同?测评合格后获得的产品资质效果是否等同?
- 问题4、 作为网络安全产品生产商,在新的目录发布前的这个窗口期,需要做哪些具体的准备工作?
- 问题5、 对于采购网络安全产品的项目,过渡期的项目中招标文件中是否还可以要求供应商提供《计算机信息系统安全销售许可证》?
评论