各省、自治區�、直轄市人民政府,國務院各部委�����、各直屬機構:
隨著信息技術的廣泛應用和迅速發展���,信息安全問題涉及的領域越來越多�,做好信息安全工作是保障國家經濟建設持續健康發展的當務之急。信息安全工作是一項系統工程��,需要多方面綜合管理�。抓好信息安全產品的質量是解決信息安全問題的一項重要措施��。
近年來,國務院有關部門和一些地方政府已對部分信息安全產品實施了一些評價���、許可或采購管理制度,積極推動國家信息安全產品測評認證工作��,已基本具備了對主要的信息安全產品進行測評和認證的能力�,在保障信息安全,推動信息化發展方面發揮了積極的作用����。但還存在一些亟待解決的問題:各部門分別實施的評價�����、許可制度造成的對同一產品檢測標準不一致和重復檢測的問題、對國產品和進口產品的評價制度不一致的問題����、實驗室低水平重復建設造成國家資源浪費且檢測水平不高的問題����、評價活動與行政執法檢查職責混淆的問題���、一種產品為獲得市場準入需獲評價內容基本相同的多張證書的問題�、現行的多種評價體制對安全性能覆蓋不全的問題等,這些問題不僅影響了我國信息安全產業的健康發展����,同時對國家信息安全保障工作也難以提供有效支撐���。借鑒國外的經驗����,我國急需建立統一的適應我國經濟和社會發展需要的國家信息安全產品認證認可體系(以下簡稱體系)��。
根據《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)中提出的“要推進認證認可工作�����,規范和加強信息安全產品測評認證”的要求���,經國家網絡與信息安全協調小組第三次會議討論通過����,現將體系建立的有關問題通知如下:
一��、體系建設的指導思想���、目標和基本原則
(一)指導思想:以“三個代表”重要思想為指導,從維護國家安全和經濟利益的大局出發��,在統一監督��、管理和綜合協調的機制下�����,建立既符合國家利益的需要又遵循國際通行規則的統一的國家信息安全產品認證認可體系��,為國家信息安全保障體系的有效實施提供強有力的技術支撐。
(二)目標:通過建立集中統一、嚴格規范、科學高效的認證認可體系����,徹底解決由于多重行政許可和評價活動導致的重復檢測和一個產品多張證書的問題�����;解決實驗室低水平重復建設及部分產品檢測水平低下的問題��;解決評價標準不一致及覆蓋面不夠的問題;解決企業負擔過重的問題�。從而為信息安全產品的產業發展創造一個良好的環境���,為開發研制自主知識產權的信息安全產品提供保護機制��,切實提高我國的信息安全檢測水平,充分保障國家信息安全�。
?�。ㄈ┗驹瓌t
1.統一管理、共同實施的原則
按照《中華人民共和國認證認可條例》的規定,實行統一管理��、共同實施的工作機制���。統一管理可以解決重復管理����、重復認證的問題�����,共同實施可以確保體系建設的科學性���、滿足各有關部門的管理和使用需要���。
2.統一規范的原則
國家對信息安全產品實施統一的認證制度����。根據信息安全產品的安全性和應用的領域����,統一的認證制度分為強制性認證和自愿性認證兩種認證方式。對于重要的信息安全產品實行強制性認證�,凡列入強制性認證目錄內的產品����,未經認證合格的不得出廠、進口����、銷售和使用�����。對于雖未列入強制性認證目錄,但在特定領域和具有一定等級保護要求的網絡���、系統中應用的信息安全產品,應通過實施自愿性認證保證相應的安全需求�����。因此要求特定領域的用戶�、相關的管理部門(包括政府采購)和具有一定等級保護要求的單位在根據需要制定相應的規定(如政府采購辦法、等級保護規定等)時����,必須明確采購(或使用)通過自愿性認證的信息安全產品���。
信息安全產品認證以國家標準或經國家確認的標準和技術規范為依據�。信息安全產品認證由指定的具備資格的認證機構、檢查機構和檢測實驗室負責具體實施�����。
對信息安全產品的認證�����,按照“統一標準����、技術規范與合格評定程序����;統一認證目錄;統一認證標志���;統一收費標準’的“四統一’原則,保證認證結果的一致性���,保證認證制度對國產品和進口產品的一致性。認證所依據的標準和技術法規及補充技術要求能夠覆蓋不同的用戶需求���,做到一次性受理企業申請�,用一張證書替代目前的多張證書。凡可以通過認證認可解決的檢測、評審�����,原則上不再設立行政許可,特殊情況報經國務院審定后仍需保留的行政許可,應轉變行政許可的方式���,充分利用產品認證、檢查��、檢測的結果�����,不得重復取樣�����、重復檢查、檢測和收費�。
3.政事分開的原則
明確各相關部門和認證機構��、檢查機構和檢測實驗室的權利、義務與責任。國家要建立專門從事信息安全產品認證的認證機構并利用現已存在的多個具備能力的檢查機構、檢測實驗室具體實施認證工作�。認證機構����、檢查機構和檢測實驗室應不以盈利為目的��,并且認證機構要與檢查機構�、檢測實驗室分離?�,F由政府部門執行的發證工作��,逐步過渡到由認證機構去實施�����。對信息安全產品的監督執法工作必須與認證活動分離�,認證機構與相關信息安全產品的執法機關不直存在任何行政隸屬和經濟利益關系。
4.發揮認可制度作用的原則
從事信息安全產品認證活動的認證機構�、檢查機構�����、檢測實驗室和認證。檢查、檢測人員(以下簡稱認證人員)����,應當具備相應的認證�、檢查、檢測能力,由國家認監委授權的國家認可機構依據國際通用的認可要求和相應的補充要求進行認可和注冊����,以規范認證��、檢查��、檢測活動,確保統一的認證制度實施的有效性。
二、體系的構成和工作機制
信息安全產品認證認可工作在國家認監委的統一管理�、監督和綜合協調下�����,由相關政府部門和各有關方面共同實施�����。
?���。ㄒ唬﹪艺J監委會同國務院有關部門,批準發布信息安全產品認證的基本規范與實施規則����,包括確定認證產品目錄和認證依據的標準�����。方法膜式,認證實施機構以及認證人員的要求以及對信息安全產品認證有強制要求的領域等�。
?�。ǘ┯删邆涞谌焦毩⒌匚坏恼J證機構依據國家發布的認證基本規范、認證規則�,開展認證活動���,提供認證服務����。具備相關資質的檢查機構��、檢測實驗室為認證活動提供檢查�����、檢測服務�。
?。ㄈ┯上嚓P的執法部門對認證活動進行執法監督。對于認證機構�、檢查機構和檢測實驗室及認證人員違反國家認證基本規范的����,給予糾正��、處罰直至取消認證機構��、檢查機構、檢測實驗室資格及認證人員注冊資格���。
(四)對列入強制性認證目錄的信息安全產品���,未經認證合格不得出廠�、進口、銷售和在其他經營性活動中使用�����;對于政府采購合同中涉及到認證產品的或法律���、法規規定必須使用認證產品的���,不得采購或使用未經認證合格的產品�。以上執法檢查工作由相關執法機關在各自的職責范圍內負責���。
三�����、體系的建設方案
(一)組織建設
為保證體系建設的科學�、合理和實施的有效性�,成立如下機構:
1.國家信息安全產品認證管理委員會
成立由國務院有關部門(公安部�����、安全部、信息產業部�、保密局�����、國密辦���、國信辦�����、認監委等)、生產方、用戶方、研究開發以及標準等方面的代表共同組成國家信息安全產品認證管理委員會(以下簡稱認證管理委員會)��。具體負責如下事宜:
——提出信息安全產品認證的方針政策并監督其實施�;
——審定、提出開展認證的產品范圍和所依據的標準與技術規范;
——組織起草并審定信息安全產品認證基本規范和認證規則�����;
——提出對信息安全產品認證有強制要求的領域���;
——審定可以承擔信息安全產品認證�、檢查和檢測任務的認證機構、檢查機構和檢測實驗室;
——負責有關方面對信息安全產品認證活動的投訴;
——與信息安全產品認證相關的其他工作�。
委員會的秘書處設在國家認監委���。委員會成立時�����,相關的職責�����、工作程序將在章程中明確����,委員會的章程經全體委員討論通過后,由國家認監委批準發布���。
2.認證機構及與認證有關的檢查機構、檢測實驗室
認證機構是認證務的提供者��。根據信息安全產品的特殊性和我國目前的管理現狀及借鑒國外的一些做法�����,在體系建立的初期階段只設立一個認證機構�����、多個檢查機構和檢測實驗室。
?���。?)認證機構具體負責如下事宜:
——在指定的工作范圍內按照認證實施規則開展認證工作��;
——受理認證委托、實施評價�����、做出認證決定��,向認證合格的產品頒發認證證書���;
——對獲得認證的產品進行跟蹤檢查�����;
——受理有關的認證投訴、申訴工作����;
——依法暫停�、注銷和撤銷認證證書����;
——受認證管理委員會的委托從事與信息安全產品認證相關的其他工作;
——依據法律���、法規及授權從事相關認證工作�����。
?��。?)檢查機構具體負責如下事宜:
——在指定的工作范圍內按照認證實施規則開展檢查工作��;
——向認證機構提供檢查報告;
——受認證管理委員會的委托從事與信息安全產品認證相關的其他工作����。
(3)檢測實驗室具體負責如下事宜:
——在指定的工作范圍內按照認證實施規則開展檢測工作���;
——向認證機構提供檢測報告�����;
——受認證管理委員會的委托對產品認證所依據標準的有效性進行驗證�;
——受認證管理委員會的委托進行檢測方法和檢測工具的研究開發�����;
——受認證管理委員會的委托從事與信息安全產品認證相關的其他工作。
認證機構應為非營利的事業單位并獨立于檢查機構和檢測實驗室,認證機構應與檢查機構��、檢測實驗室簽訂合約以規范��、約束雙方的責任��、義務、檢查、檢測資源社會化化��。檢查����、檢測活動將利用國家有關部門及地方的現有資源,通過進行必要的整合和補充性投入,使其具備相應的能力和資質�����,以滿足認證工作需要。檢查機構和檢測實驗室的使用應遵循公平競爭的原則��,認證委托人可以自由選擇實驗室,認證機構不得干預�����。
國家選擇重點實驗室給予重點投入���,支持其從事標準有效性的驗證及檢測方法和檢測工具的研究開發工作��,以保證信息安全產品檢測結果的有效性和一致性����,并使我國信息安全產品的檢測技術具有一定的先進性和前瞻性,使于國際交流與合作。
3.認可分技術委員會
為保證從事信息安全產品認證的認證機構�、檢查機構和檢測實驗室以及相關的認證人員具有相應的資質能力�,組建由有關專家組成的中國認證機構國家認可委員會(CNAB)的分技術委員會���、實驗室國家認可委員會(CNAL)的分技術委員會和認證人員國家注冊委員會(CNAT)的分技術委員會�����,負責制定信息安全產品認證機構��、檢查機構、檢測實驗室和認證人員的認可準則與注冊要求,并由相應認可機構對認證機構、檢查機構��、檢測實驗室和認證人員實施認可與注冊��。
?�。ǘ┮巹t建設
認證基本規范、認證規則和認可準則的制定屬于體系的規則建設����。
認證管理委員會和認可分技術委員會在批準相關的規則之前�����,應組織行業的專家研究提出認證產品目錄、認證依據的標準清單、強制要求認證的領域�����。認證基本規范����。相關的實施規則以及認證機構�����、檢查機構�����、檢測實驗室及相關認證人員的認可與注冊要求��。
四、體系建設的計劃
體系建設計劃用三年時間完成�,再用兩年的時間鞏固和提高�����。具體步驟分為三個階段。
?�。ㄒ唬┑谝浑A段:用一年時間。成立國家信息安全產品認證管理委員會����、認證機構及與認證有關的檢查機構和檢測實驗室�、認可技術分委員會,并發布產品目錄及認證基本規范����、認證規則和認可準則�。體系建立基本完成并開始實施���。
?���。ǘ┑诙A段:在第一階段基礎上再用兩年時間。體系運作逐步成熟并逐漸開始發揮效力,統一有序的信息安全產品認證認可制度得以實施�����;認證、檢查����、檢測的一致性基本有保證���;完成有關信息安全產品的行政許可向認證認可制度的有效過渡����;標準驗證基準實驗室的作用開始發揮����,總體檢測水平得到提高;認證的有效性得到各有關方面的認同��。
?�。ㄈ┑谌A段:再用兩年時間�。體系的建立達到國際同行的先進水平����;體系有效性的能動作用充分發揮出來��;對產業的發展起到更積極的推進作用��;信息安全產品的認證工作為保障國家的信息安全發揮著積極的作用�����。
五���、認證產品目錄
體系涉及的產品包括為了安全目的在信息的生成����、傳輸����、處理��、存儲等生命周期中使用的硬件、軟件產品和他們的組合�����。認證的內容為產品的信息安全保障功能��。
具體可以開展認證的產品范圍,包括強制性認證的產品范圍將以目錄的形式發布。具體的產品目錄由國務院認證認可監督管理部門會同國務院有關部門制定、調整�����,由國家認證認可監督管理部門發布。
中國國家認證認可監督管理委員會
中華人民共和國公安部
中華人民共和國國家安全部
中華人民共和國信息產業部
國家保密局
國家密碼管理委員會辦公室
中華人民共和國國家質量監督檢驗檢疫總局
國務院信息化工作辦公室
二OO四年十月十八日
京公網安備 11010802044457號
新用戶掃碼下載
