日前，國家互聯網信息辦公室、工業和信息化部、公安部、財政部、國家認證認可監督管理委員會聯合發布《關于調整網路安全專用產品安全管理有關事項的公告》（以下簡稱《公告》）。國家互聯網信息辦公室有關負責人就《公告》相關問題回答了記者提問。

問：請介紹一下《公告》發布的背景？

答：1994年，《計算機信息系統安全保護細則》規定國家對計算機信息系統安全專用產品的銷售推行許可證制度，公安部自1997年開始施行產品銷售許可行政審批工作。2008年，原國家質檢總局、國家認監委發布《關于部份信息安全產品施行強制性認證的公告》，將13種信息安全產品列入強制性認證管理范圍；2009年，又聯合財政部發布《關于調整信息安全產品強制性認證施行要求的公告》，將信息安全產品強制性認證要求調整為在政府采購法范圍內施行。2010年，財政部、工業和信息化部、原國家質檢總局、國家認監委聯合印發《關于信息安全產品施行政府采購的通知》，再度明晰使用財政性資金采購信息安全產品的，應該采購經國家認證的產品。這兩項制度對規范管理網路安全產品發揮了重要作用，但管理內容有交叉，在一定程度上存在重復認證檢查情況。

2017年6月施行的《網絡安全法》明確規定“網絡關鍵設備和網路安全專用產品應該依照相關國家標準的強制性要求安全生產資格證書查詢系統，由具備資格的機構安全認證合格或則安全檢查符合要求后，方可銷售或則提供。國家網信部門會同國務院有關部門制訂、公布網路關鍵設備和網路安全專用產品目錄，并促使安全認證和安全檢查結果互認，防止重復認證、檢測”。為落實《網絡安全法》有關規定，國家網信辦會同工業和信息化部、公安部、國家認監委等部門相繼發布網路關鍵設備和網路安全專用產品目錄，確定承當安全認證和安全檢查任務的機構，明晰認證檢查結果統一發布流程，擬定《信息安全技術網路安全專用產品安全技術要求》強制性國家標準。

此次五部門聯合發布《公告》，統一網路安全專用產品認證檢查制度，停止頒授《計算機信息系統安全專用產品銷售許可證》，停止執行政府采購領域信息安全產品強制認證要求，是落實《網絡安全法》關于促進安全認證和安全檢查結果互認規定的重要措施，對統一網路安全產品安全要求、提升產品整體安全防護能力，減少網路安全企業負擔、營造良好產業發展環境，發展強悍網路安全產業、增強國家網路安全能力具有重要意義。

問：什么網路安全專用產品須要根據《公告》要求舉辦安全認證或則安全檢查？

答：2017年，國家網信辦會同相關部門發布了《網絡關鍵設備和網路安全專用產品目錄（第一批）》，包括數據備份一體機、防火墻、WEB應用防火墻、入侵監測系統、入侵防御系統、安全隔離與信息交換產品、反垃圾電郵產品、網絡綜合審計系統、網絡脆弱性掃描產品、安全數據庫系統、網站恢復產品等11類網路安全專用產品，并通過性能指標劃分了范圍。納入這個目錄且在性能指標要求范圍內的網路安全專用產品，須要根據《公告》要求進行安全認證或安全檢查。

目前，國家網信辦正會同工業和信息化部、公安部、國家認監委等部門，按照技術發展情況和監管要求，參考有關國家標準，動態調整《網絡關鍵設備和網路安全專用產品目錄》。請你們密切關注國家網信辦后續發布的有關公告。

問：什么認證檢查機構是具備資格的機構？

答：具備資格的認證檢查機構是指《國家認監委工業和信息化部公安部國家互聯網信息辦公室關于發布承當網路關鍵設備和網路安全專用產品安全認證和安全檢查任務機構名錄（第一批）的公告》中認證檢查范圍包含網路安全專用產品的機構。

國家網信辦將會同相關部門構建完善認證檢查機構監督管理制度，對認證檢查機構定期舉辦評估，不符合工作要求的，依法依規進行處罰。各認證檢查機構不得要求企業對多種檢查項目舉辦捆綁檢查。企業發覺認證檢查機構違法行為的，可以向國家網信辦舉報。

問：安全認證和安全檢查根據哪些標準？

答：網路安全專用產品根據GB42250《信息安全技術網路安全專用產品安全技術要求》強制性國家標準舉辦安全認證和安全檢查。

認證檢查過程中也將參考與之相配套的、針對具體產品類別的國家標準。全省信息安全標準化技術委員會已發布一系列具體產品類別的國家標準，如GB/T20281-2020《信息安全技術防火墻安全技術要求和測試評價方式》、GB/T20275-2021《信息安全技術網路入侵測量系統技術要求和測試評價方式》、GB/T28451-2012《信息安全技術網路型入侵防御產品技術要求和測試評價方式》、GB/T30282-2013《信息安全技術反垃圾電郵產品技術要求和測試評價方式》、GB/T20278-2022《信息安全技術網路脆弱性掃描產品安全技術要求和測試評價方式》等。

問：產品生產者是否還須要申請《計算機信息系統安全專用產品銷售許可證》？

答：自2023年7月1日起，《計算機信息系統安全專用產品銷售許可證》停止頒授，產品生產者無需辦理。

問：政府采購領域怎樣執行《公告》要求？

答：2023年7月1日之前，在政府采購活動中采購網路安全產品的，一直執行原規定，即國家信息安全產品認證在政府采購法規定的范圍內強制施行，各級國家機關、事業單位和團體組織使用財政性資金采購信息安全產品的，應該采購經國家認證的信息安全產品。

2023年7月1日起，在政府采購活動中采購網路安全產品的，不需產品提供國家信息安全產品認證證書。政府采購活動中不得要求或則采取加分等舉措變相要求投標產品同時滿足安全認證合格和安全檢查符合要求。

問：安全認證和安全檢查結果怎樣發布？

答：認證檢查機構會直接通過網路關鍵設備和網路安全專用產品認證檢查結果發布系統報送安全認證合格或則安全檢查符合要求的網路安全專用產品清單安全生產資格證書查詢系統，有關主管部門初審后，由國家網信部門會同工業和信息化部、公安部、國家認監委統一公布，供社會查詢和使用。

問：2023年7月1日起，產品生產者是否須要同時進行安全認證和安全檢查？

答：不須要。安全認證合格或則安全檢查符合要求，具有同等市場準入效力，產品生產者毋須重復申請。同一款產品在有效期內重復申請的，國家網信辦不再公布認證檢查結果。

2023年7月1日起，納入《網絡關鍵設備和網路安全專用產品目錄》的網路安全專用產品應起碼符合以下條件之一，方可銷售或則提供：一是根據《公告》要求，根據《信息安全技術網路安全專用產品安全技術要求》等相關國家標準強制性要求，由具備資格的機構安全認證合格或安全檢查符合要求的；二是此前早已獲得《計算機信息系統安全專用產品銷售許可證》，且在有效期內的。

未納入《網絡關鍵設備和網路安全專用產品目錄》的其它相關產品，如法律法規沒有特殊規定，可根據市場需求銷售或則提供。

產品方案、產品相關銷售方案

有須要私信聯系下方客服