五部门印发的《关于调整网络安全专用产品安全管理有关事项的公告》明确,自7月1日起,在政府采购活动中采购网络安全产品的,不需提供国家信息安全产品认证证书
近日,国家互联网信息办公室有关负责人就《关于调整网络安全专用产品安全管理有关事项的公告》(以下简称《公告》)相关问题回答了记者提问,明确自7月起停止执行政府采购领域信息安全产品强制认证要求。
据了解,国家互联网信息办公室、工业和信息化部、公安部、财政部、国家认证认可监督管理委员会近日联合发布《公告》,明确自2023年7月1日起,列入《网络关键设备和网络安全专用产品目录》的网络安全专用产品应当按照《信息安全技术 网络安全专用产品安全技术要求》等相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。自2023年7月1日起,停止颁发《计算机信息系统安全专用产品销售许可证》(简称销售许可证),产品生产者无需申领。自2023年7月1日起,停止执行《关于调整信息安全产品强制性认证实施要求的公告》和《财政部 工业和信息化部 质检总局 认监委关于信息安全产品实施政府采购的通知》。
针对政府采购领域的具体执行要求,上述负责人表示,7月1日之前,在政府采购活动中采购网络安全产品的,仍然执行原规定,即国家信息安全产品认证在政府采购法规定的范围内强制实施,各级国家机关、事业单位和团体组织使用财政性资金采购信息安全产品的,应当采购经国家认证的信息安全产品。自7月1日起,在政府采购活动中采购网络安全产品的,不需提供国家信息安全产品认证证书。政府采购活动不得要求或者采取加分等措施变相要求投标产品同时满足安全认证合格和安全检测符合要求。
据介绍,1994年,《计算机信息系统安全保护条例》规定国家对计算机信息系统安全专用产品的销售实行许可证制度,公安部自1997年开始实施产品销售许可行政审批工作。2008年,原国家质检总局、国家认监委发布《关于部分信息安全产品实施强制性认证的公告》,将13种信息安全产品纳入强制性认证管理范围;2009年,又联合财政部发布《关于调整信息安全产品强制性认证实施要求的公告》,将信息安全产品强制性认证要求调整为在政府采购法范围内实施。2010年,财政部、工业和信息化部、原国家质检总局、国家认监委联合印发《关于信息安全产品实施政府采购的通知》,再次明确使用财政性资金采购信息安全产品的,应当采购经国家认证的产品。这两项制度对规范管理网络安全产品发挥了重要作用,但管理内容有交叉,在一定程度上存在重复认证检测情况。2017年6月实施的网络安全法规定“网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测”。为落实网络安全法有关规定,国家网信办会同工业和信息化部、公安部、国家认监委等部门相继发布网络关键设备和网络安全专用产品目录,确定承担安全认证和安全检测任务的机构,明确认证检测结果统一发布流程,制定《信息安全技术 网络安全专用产品安全技术要求》强制性国家标准。
上述负责人还表示,此次五部门联合发布《公告》,统一网络安全专用产品认证检测制度,停止颁发《计算机信息系统安全专用产品销售许可证》,停止执行政府采购领域信息安全产品强制认证要求,是落实网络安全法关于推动安全认证和安全检测结果互认规定的重要举措,对统一网络安全产品安全要求、提升产品整体安全防护能力,减轻网络安全企业负担、营造良好产业发展环境,发展强大网络安全产业、增强国家网络安全能力具有重要意义。