南宁建站程序,搭建跨境电商平台,广告设计与制作培训学校,少儿美术网站建设方案文章目录 一、引言二、《计算机信息系统安全专用产品销售许可证》2.1 背景2.2 法律法规依据2.3 检测机构2.4 检测依据2.5 认证流程2.6 证书样本 三、《网络关键设备和网络安全专用产品安全认证证书》3.1 背景3.2 法律法规依据3.3 检测机构3.4安全认证和安全检测依据标准3.5 认证… 文章目录 一、引言二、《计算机信息系统安全专用产品销售许可证》2.1 背景2.2 法律法规依据2.3 检测机构2.4 检测依据2.5 认证流程2.6 证书样本 三、《网络关键设备和网络安全专用产品安全认证证书》3.1 背景3.2 法律法规依据3.3 检测机构3.4安全认证和安全检测依据标准3.5 认证流程3.5 证书样本3.5.1 检测证书样本3.5.2 认证证书样本 四、《中国国家信息安全产品认证证书》4.1 背景4.2 法律法规要求4.3 检测和认证机构4.4 认证依据和标准4.5 证书样本 五、《IT产品信息安全认证证书》5.1背景5.2法律法规要求5.3 检测和认证机构5.4认证依据5.5证书样本 六、《商用密码产品认证证书》6.1 背景6.2 法律法规要求6.3 检测和认证机构6.4 检测和认证依据6.5 认证流程6.6 认证等级6.7 证书样本 七、《涉密信息系统产品检测证书》7.1 背景7.1 产品检测流程 一、引言
项目中经常会碰到各类产品认证证书根据中国网络安全审查技术与认证中心CCRC官网公布的产品认证包括《网络关键设备和网络安全专用产品安全认证》、《国家信息安全产品认证》、《IT产品信息安全认证》、《中国强制性产品认证CCC》等11类详见https://www.isccc.gov.cn/zxyw/cprz/index.shtml
注中国网络安全审查技术与认证中心CCRC原名为中国信息安全认证中心ISCCC2018年4月完成更名。
除了CCRC的信息安全产品认证本期还对项目中经常遇见的公安部、国家保密局、国家密码管理局等机构的认证进行介绍本期主要介绍的认证证书如下
1.《计算机信息系统安全专用产品销售许可证》 2.《网络关键设备和网络安全专用产品认证证书》 3.《中国国家信息安全产品认证证书》 4.《IT产品信息安全认证证书》 5.《商用密码产品认证证书》 6.《涉密信息系统产品检测证书》 7.《军用信息安全产品认证证书》
上述各种证书的背景和发展是什么有何法律法规依据认证依据标准是什么证书颁发机构有哪些哪些认证是强制的哪些认证是自愿的不同证书之间又有何关系本次花一些时间专门研究一下。
二、《计算机信息系统安全专用产品销售许可证》
根据网信办、工信部、公安部、财政部、认监委五部门联合发布《关于调整网络安全专用产品安全管理有关事项的公告》第二条规定自2023年7月1日起停止颁发《计算机信息系统安全专用产品销售许可证》。 因此销售许可证要寿终正寝、退出历史舞台了但鉴于部分产品《销售许可证》仍在有效期内项目运作过程中可能仍会遇到因此还是写了本内容对销许历史不感兴趣的小伙伴可以直接略过本章节。
2.1 背景
上世纪90年代计算机和互联网开始在国内普及病毒传播等引起人们对信息安全的高度关注。于是
1994年2月中华人民共和国国务院令第147号发布《中华人民共和国计算机信息系统安全保护条例》《条例》第十六条规定国家对计算机信息系统安全专用产品的销售实行许可证制度。 1997年12月公安部令第32号发布《计算机信息系统安全专用产品检测和销售许可证管理办法》《办法》第二条明确了计算机信息系统安全专用产品的范围第三条再次明确对安全专用产品实行销售许可制度强调安全专用产品必须取得《销售许可证》才能进入市场销售第五条则规定由公安部计算机管理监察部门负责《销售许可证》的审批颁发以及安全专用产品功能检测机构的审批工作。 2.2 法律法规依据
国务院第147号令第十六条、公安部第32号令明确规定安全专用产品必须要取得《计算机信息系统安全专用产品销售许可证》才能进入市场销售。虽然销售许可证要退出历史舞台了但是在有效期内的《销售许可证》可继续使用可作为进入市场销售的凭证依据。
2.3 检测机构
根据公安部网站公布的最新2018年06月25日 公布检测机构名单中国信息安全认证中心、公安部计算机信息系统安全产品质量监督检验中心、公安部安全与警用电子产品质量检测中心、国家计算机病毒应急处理中心计算机病毒防治产品检验实验室、信息产业信息安全测评中心共5家单位具备检测资质可以承担安全专用产品检测任务。
2.4 检测依据
为避免混淆这里暂时不对《安全专用产品检测结果报告》的检测依据进行说明解释。
2.5 认证流程
1.产品检测厂商准备好样品和相关材料送交至检测机构进行产品检测 2.申请办证厂商准备好《安全专用产品检测结果报告》和相关材料送交至公安部计算机管理监察部门备案审核 3.审批发证颁发《计算机信息系统安全专用产品销售许可证》。
2.6 证书样本 三、《网络关键设备和网络安全专用产品安全认证证书》
3.1 背景
2017年6月国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会联合发布的《关于发布〈网络关键设备和网络安全专用产品目录第一批〉的公告》2017年第1号。
2023年7月依据《中华人民共和国网络安全法》国家互联网信息办公室会同工业和信息化部、公安部、国家认证认可监督管理委员会等部门更新了《网络关键设备和网络安全专用产品目录》自印发之日起施行。 更新的《网络关键设备和网络安全专用产品目录》包含4类网络关键设备和34类网络安全专用产品。
具体目录见http://www.cac.gov.cn/2023-07/03/c_1690034742530280.htm
3.2 法律法规依据
1.《网络安全法》第二十三条明确规定网络关键设备和网络安全专用产品应当按照国家标准的强制要求通过安全认证合格或者安全检测符合要求后方可销售或者提供。
注意安全认证和安全检测具有同等市场准入效力有其中之一即可产品生产者不必重复申请。。
2.公安部2023年第1号《关于调整网络安全专用产品安全管理有关事项的公告》第一条明确了列入《网络关键设备和网络安全专用产品目录》的网络安全专用产品需要通过安全认证合格或者安全检测符合要求后方可销售或者提供。 3.3 检测机构
截止发稿《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录》第一批只发布一版详见http://www.cac.gov.cn/2022-01/28/c_1644970499612271.htm
3.4安全认证和安全检测依据标准
网络关键设备依据GB 40050-2021《网络关键设备安全通用要求》强制性国家标准开展安全认证和安全检测。
网络安全专用产品依据GB 42250-2022《信息安全技术 网络安全专用产品安全技术要求》强制性国家标准开展安全认证和安全检测。 认证检测过程中也将参考与之相配套的、针对具体产品类别的国家标准。全国信息安全标准化技术委员会已发布一系列具体产品类别的国家标准如GB/T 20281-2020《信息安全技术 防火墙安全技术要求和测试评价方法》、GB/T 20275-2021《信息安全技术 网络入侵检测系统技术要求和测试评价方法》、GB/T 28451-2012《信息安全技术 网络型入侵防御产品技术要求和测试评价方法》、GB/T 30282-2013《信息安全技术 反垃圾邮件产品技术要求和测试评价方法》、GB/T 20278-2022《信息安全技术 网络脆弱性扫描产品安全技术要求和测试评价方法》等。
3.5 认证流程
在产品功能和性能满足条件的情况下《网络关键设备和网络安全专用产品安全认证》《中国国家信息安全产品认证证书》两张证书可以同一产品同时认证同时发证
3.5 证书样本
3.5.1 检测证书样本 网络安全专用产品安全检测证书样本以公安三所证书为例 网络关键设备安全检测证书样本以中国信通院证书为例 3.5.2 认证证书样本 在产品功能和性能满足条件的情况下《网络关键设备和网络安全专用产品安全认证》《中国国家信息安全产品认证证书》两张证书可以同一产品同时认证同时发证。
四、《中国国家信息安全产品认证证书》
4.1 背景
首先介绍下CCC的背景2001年中国加入世贸的背景下CCC认证制度被确立CCC全称为China Compulsory Certification中国强制认证。它是为保护消费者人身安全加强产品质量管理、依照法律法规实施的一种产品合格评定制度。首批《CCC产品强制认证目录》包含19类132种产品。
2008年国家质检总局 国家认监委2008年第7号公告《关于部分信息安全产品实施强制性认证的公告》。要求列入《第一批信息安全产品强制性认证目录》的信息安全产品必须取得强制性产品认证证书方可出厂销售。
2009年国家认监委2009年第33号发布《关于调整信息安全产品强制性认证实施要求的公告》。该《公告》对2008年第7号进行修订主要有两方面 1.强制认证日期由2009年5月1日延期至2010年5月1日 2.在政府采购法规定范围内强制实施相当于缩小了强制范围。
2010年财政部、工信部等部门联合发布 财库〔2010〕48号《财政部 工业和信息化部 质检总局 认监委关于信息安全产品实施政府采购的通知》。 财库〔2010〕48号相当于对国家认监委2009年第33号中的“在政府采购法规定范围内强制实施”进行具像化解释。 2023年公安部、网信办、工信部等多部门联合发布2023年第1号《关于调整网络安全专用产品安全管理有关事项的公告》。自2023年7月1日起停止执行国家认监委2009年第33号、财库〔2010〕48号。这意味着2023年7月1日后《中国国家信息安全产品认证证书》不再是强制认证的证书了。
4.2 法律法规要求
由于2023年4月12日发布的《关于调整网络安全专用产品安全管理有关事项的公告》2023年7月1日后《中国国家信息安全产品认证证书》不再是强制认证证书了。
4.3 检测和认证机构
中国网络安全审查技术与认证中心CCRC是唯一指定为国家信息安全产品认证机构负责实施国家信息安全产品认证。获得国家信息安全产品认证证书的产品表明其符合相应的信息安全规范和标准要求。
4.4 认证依据和标准
《中国国家信息安全产品认证证书》的检测和认证依据在2009年第33号发布《关于调整信息安全产品强制性认证实施要求的公告》附件中有。详见https://www.cnca.gov.cn/hlwfw/ywzl/zyxcprz/zyxcprzjg/xxaqcp/art/2023/art_9d303cade66547c49f8ad8d96a6675fe.html
4.5 证书样本 五、《IT产品信息安全认证证书》
5.1背景
对于没有列入《网络关键设备和网络安全专用产品目录》如需依据认证规则进行产品安全性认证则可申请《IT产品信息安全认证证书》。 根据CCRC官网显示《IT产品信息安全认证证书》分为工控产品认证、物联网终端产品认证、评估保障级EAL等6种类别。
5.2法律法规要求
无
5.3 检测和认证机构
中国网络安全审查技术与认证中心CCRC开展的IT产品信息安全认证业务是依据信息技术安全评估准则和相关技术要求对IT产品的安全性进行评价旨在保护用户信息安全维护用户利益。生产企业的IT产品获得信息安全认证证书表明该产品符合相应的标准和技术要求。
5.4认证依据
依据相关产品对应的国家标准或 GB/T 18336 《信息技术 安全技术 信息 技术安全评估准则》及技术规范等。 具体产品依据标准列表详见CCRC-SL-001《IT 产品信息安全认证依 据标准 一般产品》https://www.isccc.gov.cn/images/zxyw/cprz/zyxcprz/cprzyw/qtitcprz/cpyjbzlb/2023/03/03/0F9D20A908C01464A1BDFCD868AC2758.pdf。
5.5证书样本 六、《商用密码产品认证证书》
6.1 背景
2020年1月1日《中华人民共和国密码法》正式施行。第二十五条规定厂商自愿接受商用密码检测认证。第二十六条规定涉及国家安全、国计民生、社会公共利益的商用密码产品应当依法列入《网络关键设备和网络安全专用产品目录》并由具备资格的机构检测认证合格后方可销售或者提供。
虽然从《密码法》条款中我们知道《商用密码产品认证证书》是自愿认证的但是对特定商用密码产品应用在涉及国家安全、国计民生、社会公共利益领域的商密产品应答实行强制性检测认证由商密检测机构认证合格后方能销售或者提供。各厂商为了提升产品竞争力还是比较愿意去申请《商用密码产品认证证书》的。
注新的《中华人民共和国密码法》实施后原《商用密码产品型号证书》转为《商用密码产品认证证书》详见国家密码管理局、市场监管总局《关于调整商用密码产品管理方式的公告》http://www.sca.gov.cn/sca/xwdt/2019-12/30/content_1057372.shtml 2023年4月中华人民共和国国务院令第760号《商用密码管理条例》发布。第二十条、第二十一条对《商用密码产品认证证书》做出如下规定内容与上文中《密码法》第二十五条、第二十六条基本一致不再赘述。
《商用密码管理条例》第二十条、第二十一条
6.2 法律法规要求
1.《中华人民共和国密码法》第二十五条鼓励商用密码从业单位自愿接受商用密码检测认证提升市场竞争力第二十六条涉及国家安全、国计民生、社会公共利益的商用密码产品应当依法列入网络关键设备和网络安全专用产品目录由具备资格的机构检测认证合格后方可销售或者提供。 2.国务院令第760号《商用密码管理条例》第二十条、第二十一条。
6.3 检测和认证机构
1.检测机构国家密码管理局商用密码检测中心、鼎铉商用密码测评技术深圳有限公司、智巡密码上海检测技术有限公司、豪符密码检测技术成都有限责任公司共4家每家检测业务范围不一样详见https://service.scctc.org.cn/rzyww/ywbl/wyd/c08649e66a7945b09983d8661e1001f2.html 2.认证机构国家密码管理局商用密码检测中心
6.4 检测和认证依据
国家密码管理局、市场监督管理总局先后于2020年5月9日发布《商用密码产品认证目录(第一批)》《商用密码产品认证规则》2022年7月14日发布《商用密码产品认证目录第二批》共计28类商密产品。厂商可以按照商密产品种类申请商密证书。
6.5 认证流程 6.6 认证等级
Q哪些产品涉及等级认定 A市场监管总局和国家密码管理局发布的《商用密码产品认证目录》明确规定了密码模块标准适用的密码产品类型其他产品(如安全芯片密码系统类产品等)则不依据密码模块标准进行检测和认证。需要注意的是虽然密码系统类产品(如电子门禁系统、CA/KM系统、电子签章系统等) 不适用于密码模块标准但作为系统组件的密码产品(如密码机、密码卡等) 则适用于密码模块标准也需要在密评时依据这些密码产品的密码模块安全等级进行判定。
Q为什么要进行登记认定 A不等密码应用等级的系统对其使用的密码产品等级要求是不一样的。GB/T 39786-2021中对采用的密码产品是有相应等级要求的。如第三级密码应用基本要求使用二级以上密码产品如下图所示。
6.7 证书样本 七、《涉密信息系统产品检测证书》
7.1 背景
7.1 产品检测流程
