國傢互聯網信息辦公室有關負責人就《關於調整網絡安全專用產品安全管理有關事項的公告》答記者問

央視網消息：據網信中國微信公眾號消息，近日，國傢互聯網信息辦公室、工業和信息化部、公安部、財政部、國傢認證認可監督管理委員會聯合發佈《關於調整網絡安全專用產品安全管理有關事項的公告》（以下簡稱《公告》）。國傢互聯網信息辦公室有關負責人就《公告》相關問題回答瞭記者提問。

問：請介紹一下《公告》發佈的背景？

答：1994年，《計算機信息系統安全保護條例》規定國傢對計算機信息系統安全專用產品的銷售實行許可證制度，公安部自1997年開始實施產品銷售許可行政審批工作。2008年，原國傢質檢總局、國傢認監委發佈《關於部分信息安全產品實施強制性認證的公告》，將13種信息安全產品納入強制性認證管理范圍；2009年，又聯合財政部發佈《關於調整信息安全產品強制性認證實施要求的公告》，將信息安全產品強制性認證要求調整為在政府采購法范圍內實施。2010年，財政部、工業和信息化部、原國傢質檢總局、國傢認監委聯合印發《關於信息安全產品實施政府采購的通知》，再次明確使用財政性資金采購信息安全產品的，應當采購經國傢認證的產品。這兩項制度對規范管理網絡安全產品發揮瞭重要作用，但管理內容有交叉，在一定程度上存在重復認證檢測情況。

2017年6月實施的《網絡安全法》明確規定“網絡關鍵設備和網絡安全專用產品應當按照相關國傢標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求後，方可銷售或者提供。國傢網信部門會同國務院有關部門制定、公佈網絡關鍵設備和網絡安全專用產品目錄，並推動安全認證和安全檢測結果互認，避免重復認證、檢測”。為落實《網絡安全法》有關規定，國傢網信辦會同工業和信息化部、公安部、國傢認監委等部門相繼發佈網絡關鍵設備和網絡安全專用產品目錄，確定承擔安全認證和安全檢測任務的機構，明確認證檢測結果統一發佈流程，制定《信息安全技術 網絡安全專用產品安全技術要求》強制性國傢標準。

這次五部門聯合發佈《公告》，統一網絡安全專用產品認證檢測制度，停止頒發《計算機信息系統安全專用產品銷售許可證》，停止執行政府采購領域信息安全產品強制認證要求，是落實《網絡安全法》關於推動安全認證和安全檢測結果互認規定的重要舉措，對統一網絡安全產品安全要求、提升產品整體安全防護能力，減輕網絡安全企業負擔、營造良好產業發展環境，發展強大網絡安全產業、增強國傢網絡安全能力具有重要意義。

問：哪些網絡安全專用產品需要按照《公告》要求開展安全認證或者安全檢測？

答：2017年，國傢網信辦會同相關部門發佈瞭《網絡關鍵設備和網絡安全專用產品目錄（第一批）》，包括數據備份一體機、防火墻、WEB應用防火墻、入侵檢測系統、入侵防禦系統、安全隔離與信息交換產品、反垃圾郵件產品、網絡綜合審計系統、網絡脆弱性掃描產品、安全數據庫系統、網站恢復產品等11類網絡安全專用產品，並通過性能指標界定瞭范圍。列入這個目錄且在性能指標要求范圍內的網絡安全專用產品，需要按照《公告》要求進行安全認證或安全檢測。

目前，國傢網信辦正會同工業和信息化部、公安部、國傢認監委等部門，根據技術發展情況和監管要求，參考有關國傢標準，動態調整《網絡關鍵設備和網絡安全專用產品目錄》。請大傢密切關註國傢網信辦後續發佈的有關公告。

問：哪些認證檢測機構是具備資格的機構？

答：具備資格的認證檢測機構是指《國傢認監委 工業和信息化部 公安部 國傢互聯網信息辦公室關於發佈承擔網絡關鍵設備和網絡安全專用產品安全認證和安全檢測任務機構名錄（第一批）的公告》中認證檢測范圍包含網絡安全專用產品的機構。

國傢網信辦將會同相關部門建立健全認證檢測機構監督管理制度，對認證檢測機構定期開展評估，不符合工作要求的，依法依規進行處罰。各認證檢測機構不得要求企業對多種檢測項目開展捆綁檢測。企業發現認證檢測機構違規行為的，可以向國傢網信辦舉報。

問：安全認證和安全檢測依據什麼標準？

答：網絡安全專用產品依據GB 42250《信息安全技術 網絡安全專用產品安全技術要求》強制性國傢標準開展安全認證和安全檢測。

認證檢測過程中也將參考與之相配套的、針對具體產品類別的國傢標準。全國信息安全標準化技術委員會已發佈一系列具體產品類別的國傢標準，如GB/T 20281-2020《信息安全技術 防火墻安全技術要求和測試評價方法》、GB/T 20275-2021《信息安全技術 網絡入侵檢測系統技術要求和測試評價方法》、GB/T 28451-2012《信息安全技術 網絡型入侵防禦產品技術要求和測試評價方法》、GB/T 30282-2013《信息安全技術 反垃圾郵件產品技術要求和測試評價方法》、GB/T 20278-2022《信息安全技術 網絡脆弱性掃描產品安全技術要求和測試評價方法》等。

問：產品生產者是否還需要申請《計算機信息系統安全專用產品銷售許可證》？

答：自2023年7月1日起，《計算機信息系統安全專用產品銷售許可證》停止頒發，產品生產者無需申領。

問：政府采購領域如何執行《公告》要求？

答：2023年7月1日之前，在政府采購活動中采購網絡安全產品的，仍然執行原規定，即國傢信息安全產品認證在政府采購法規定的范圍內強制實施，各級國傢機關、事業單位和團體組織使用財政性資金采購信息安全產品的，應當采購經國傢認證的信息安全產品。

2023年7月1日起，在政府采購活動中采購網絡安全產品的，不需產品提供國傢信息安全產品認證證書。政府采購活動中不得要求或者采取加分等措施變相要求投標產品同時滿足安全認證合格和安全檢測符合要求。

問：安全認證和安全檢測結果如何發佈？

答：認證檢測機構會直接通過網絡關鍵設備和網絡安全專用產品認證檢測結果發佈系統報送安全認證合格或者安全檢測符合要求的網絡安全專用產品清單，有關主管部門審核後，由國傢網信部門會同工業和信息化部、公安部、國傢認監委統一公佈，供社會查詢和使用。

問：2023年7月1日起，產品生產者是否需要同時進行安全認證和安全檢測？

答：不需要。安全認證合格或者安全檢測符合要求，具有同等市場準入效力，產品生產者不必重復申請。同一款產品在有效期內重復申請的，國傢網信辦不再公佈認證檢測結果。

2023年7月1日起，列入《網絡關鍵設備和網絡安全專用產品目錄》的網絡安全專用產品應至少符合以下條件之一，方可銷售或者提供：一是依據《公告》要求，按照《信息安全技術 網絡安全專用產品安全技術要求》等相關國傢標準強制性要求，由具備資格的機構安全認證合格或安全檢測符合要求的；二是此前已經獲得《計算機信息系統安全專用產品銷售許可證》，且在有效期內的。

未列入《網絡關鍵設備和網絡安全專用產品目錄》的其它相關產品，如法律法規沒有特殊規定，可按照市場需求銷售或者提供。