近日，國家互聯網信息辦公室、工業(ye) 和信息化部、公安部、財政部、國家認證認可監督管理委員會(hui) 聯合發布《關(guan) 於(yu) 調整網絡安全專(zhuan) 用產(chan) 品安全管理有關(guan) 事項的公告》(以下簡稱《公告》)。國家互聯網信息辦公室有關(guan) 負責人就《公告》相關(guan) 問題回答了記者提問。

　　問：請介紹一下《公告》發布的背景。

　　答：1994年，《計算機信息係統安全保護條例》規定國家對計算機信息係統安全專(zhuan) 用產(chan) 品的銷售實行許可證製度，公安部自1997年開始實施產(chan) 品銷售許可行政審批工作。2008年，原國家質檢總局、國家認監委發布《關(guan) 於(yu) 部分信息安全產(chan) 品實施強製性認證的公告》，將13種信息安全產(chan) 品納入強製性認證管理範圍;2009年，又聯合財政部發布《關(guan) 於(yu) 調整信息安全產(chan) 品強製性認證實施要求的公告》，將信息安全產(chan) 品強製性認證要求調整為(wei) 在政府采購法範圍內(nei) 實施。2010年，財政部、工業(ye) 和信息化部、原國家質檢總局、國家認監委聯合印發《關(guan) 於(yu) 信息安全產(chan) 品實施政府采購的通知》，再次明確使用財政性資金采購信息安全產(chan) 品的，應當采購經國家認證的產(chan) 品。這兩(liang) 項製度對規範管理網絡安全產(chan) 品發揮了重要作用，但管理內(nei) 容有交叉，在一定程度上存在重複認證檢測情況。

　　2017年6月實施的《網絡安全法》明確規定“網絡關(guan) 鍵設備和網絡安全專(zhuan) 用產(chan) 品應當按照相關(guan) 國家標準的強製性要求，由具備資格的機構安全認證合格或者安全檢測符合要求後，方可銷售或者提供。國家網信部門會(hui) 同國務院有關(guan) 部門製定、公布網絡關(guan) 鍵設備和網絡安全專(zhuan) 用產(chan) 品目錄，並推動安全認證和安全檢測結果互認，避免重複認證、檢測”。為(wei) 落實《網絡安全法》有關(guan) 規定，國家網信辦會(hui) 同工業(ye) 和信息化部、公安部、國家認監委等部門相繼發布網絡關(guan) 鍵設備和網絡安全專(zhuan) 用產(chan) 品目錄，確定承擔安全認證和安全檢測任務的機構，明確認證檢測結果統一發布流程，製定《信息安全技術 網絡安全專(zhuan) 用產(chan) 品安全技術要求》強製性國家標準。

　　這次五部門聯合發布《公告》，統一網絡安全專(zhuan) 用產(chan) 品認證檢測製度，停止頒發《計算機信息係統安全專(zhuan) 用產(chan) 品銷售許可證》，停止執行政府采購領域信息安全產(chan) 品強製認證要求，是落實《網絡安全法》關(guan) 於(yu) 推動安全認證和安全檢測結果互認規定的重要舉(ju) 措，對統一網絡安全產(chan) 品安全要求、提升產(chan) 品整體(ti) 安全防護能力，減輕網絡安全企業(ye) 負擔、營造良好產(chan) 業(ye) 發展環境，發展強大網絡安全產(chan) 業(ye) 、增強國家網絡安全能力具有重要意義(yi) 。

　　問：哪些網絡安全專(zhuan) 用產(chan) 品需要按照《公告》要求開展安全認證或者安全檢測?

　　答：2017年，國家網信辦會(hui) 同相關(guan) 部門發布了《網絡關(guan) 鍵設備和網絡安全專(zhuan) 用產(chan) 品目錄(第一批)》，包括數據備份一體(ti) 機、防火牆、WEB應用防火牆、入侵檢測係統、入侵防禦係統、安全隔離與(yu) 信息交換產(chan) 品、反垃圾郵件產(chan) 品、網絡綜合審計係統、網絡脆弱性掃描產(chan) 品、安全數據庫係統、網站恢複產(chan) 品等11類網絡安全專(zhuan) 用產(chan) 品，並通過性能指標界定了範圍。列入這個(ge) 目錄且在性能指標要求範圍內(nei) 的網絡安全專(zhuan) 用產(chan) 品，需要按照《公告》要求進行安全認證或安全檢測。

　　目前，國家網信辦正會(hui) 同工業(ye) 和信息化部、公安部、國家認監委等部門，根據技術發展情況和監管要求，參考有關(guan) 國家標準，動態調整《網絡關(guan) 鍵設備和網絡安全專(zhuan) 用產(chan) 品目錄》。請大家密切關(guan) 注國家網信辦後續發布的有關(guan) 公告。

　　問：哪些認證檢測機構是具備資格的機構?

　　答：具備資格的認證檢測機構是指《國家認監委 工業(ye) 和信息化部 公安部 國家互聯網信息辦公室關(guan) 於(yu) 發布承擔網絡關(guan) 鍵設備和網絡安全專(zhuan) 用產(chan) 品安全認證和安全檢測任務機構名錄(第一批)的公告》中認證檢測範圍包含網絡安全專(zhuan) 用產(chan) 品的機構。

　　國家網信辦將會(hui) 同相關(guan) 部門建立健全認證檢測機構監督管理製度，對認證檢測機構定期開展評估，不符合工作要求的，依法依規進行處罰。各認證檢測機構不得要求企業(ye) 對多種檢測項目開展捆綁檢測。企業(ye) 發現認證檢測機構違規行為(wei) 的，可以向國家網信辦舉(ju) 報。

　　問：安全認證和安全檢測依據什麽(me) 標準?

　　答：網絡安全專(zhuan) 用產(chan) 品依據GB 42250《信息安全技術 網絡安全專(zhuan) 用產(chan) 品安全技術要求》強製性國家標準開展安全認證和安全檢測。

　　認證檢測過程中也將參考與(yu) 之相配套的、針對具體(ti) 產(chan) 品類別的國家標準。全國信息安全標準化技術委員會(hui) 已發布一係列具體(ti) 產(chan) 品類別的國家標準，如GB/T 20281-2020《信息安全技術 防火牆安全技術要求和測試評價(jia) 方法》、GB/T 20275-2021《信息安全技術 網絡入侵檢測係統技術要求和測試評價(jia) 方法》、GB/T 28451-2012《信息安全技術 網絡型入侵防禦產(chan) 品技術要求和測試評價(jia) 方法》、GB/T 30282-2013《信息安全技術 反垃圾郵件產(chan) 品技術要求和測試評價(jia) 方法》、GB/T 20278-2022《信息安全技術 網絡脆弱性掃描產(chan) 品安全技術要求和測試評價(jia) 方法》等。

　　問：產(chan) 品生產(chan) 者是否還需要申請《計算機信息係統安全專(zhuan) 用產(chan) 品銷售許可證》?

　　答：自2023年7月1日起，《計算機信息係統安全專(zhuan) 用產(chan) 品銷售許可證》停止頒發，產(chan) 品生產(chan) 者無需申領。

　　問：政府采購領域如何執行《公告》要求?

　　答：2023年7月1日之前，在政府采購活動中采購網絡安全產(chan) 品的，仍然執行原規定，即國家信息安全產(chan) 品認證在政府采購法規定的範圍內(nei) 強製實施，各級國家機關(guan) 、事業(ye) 單位和團體(ti) 組織使用財政性資金采購信息安全產(chan) 品的，應當采購經國家認證的信息安全產(chan) 品。

　　2023年7月1日起，在政府采購活動中采購網絡安全產(chan) 品的，不需產(chan) 品提供國家信息安全產(chan) 品認證證書(shu) 。政府采購活動中不得要求或者采取加分等措施變相要求投標產(chan) 品同時滿足安全認證合格和安全檢測符合要求。

　　問：安全認證和安全檢測結果如何發布?

　　答：認證檢測機構會(hui) 直接通過網絡關(guan) 鍵設備和網絡安全專(zhuan) 用產(chan) 品認證檢測結果發布係統報送安全認證合格或者安全檢測符合要求的網絡安全專(zhuan) 用產(chan) 品清單，有關(guan) 主管部門審核後，由國家網信部門會(hui) 同工業(ye) 和信息化部、公安部、國家認監委統一公布，供社會(hui) 查詢和使用。

　　問：2023年7月1日起，產(chan) 品生產(chan) 者是否需要同時進行安全認證和安全檢測?

　　答：不需要。安全認證合格或者安全檢測符合要求，具有同等市場準入效力，產(chan) 品生產(chan) 者不必重複申請。同一款產(chan) 品在有效期內(nei) 重複申請的，國家網信辦不再公布認證檢測結果。

　　2023年7月1日起，列入《網絡關(guan) 鍵設備和網絡安全專(zhuan) 用產(chan) 品目錄》的網絡安全專(zhuan) 用產(chan) 品應至少符合以下條件之一，方可銷售或者提供：一是依據《公告》要求，按照《信息安全技術 網絡安全專(zhuan) 用產(chan) 品安全技術要求》等相關(guan) 國家標準強製性要求，由具備資格的機構安全認證合格或安全檢測符合要求的;二是此前已經獲得《計算機信息係統安全專(zhuan) 用產(chan) 品銷售許可證》，且在有效期內(nei) 的。

　　未列入《網絡關(guan) 鍵設備和網絡安全專(zhuan) 用產(chan) 品目錄》的其它相關(guan) 產(chan) 品，如法律法規沒有特殊規定，可按照市場需求銷售或者提供。