以網絡關鍵設備安全認證和安全檢測維護網絡安全的基本盤 作者:劉雲 清華大學(xué)智能(néng)法治研究院院長(cháng)助理、助理研究員
随著(zhe)信息和通信技術的進(jìn)化和全領域的數字化轉型,公共機構、企業、個人使用的網絡産品和信息服務日益增多,網絡設備在政務、通信、衛生、能(néng)源、金融和運輸等重要部門領域中發(fā)揮的核心作用也不斷增強。數字化和連接性是萬物互聯時代的網絡設備基本屬性,也讓整個社會更容易遭受網絡安全威脅;個别網絡設備的漏洞可能(néng)成(chéng)爲影響網絡系統安全的薄弱環節而被(bèi)利用,網絡關鍵設備則成(chéng)爲網絡風險的主要來源和網絡攻擊的重點對(duì)象,將(jiāng)網絡關鍵設備納入重點管理對(duì)象成(chéng)爲國(guó)内外的普遍做法。我國(guó)2016年11月頒布的《網絡安全法》第二十三條提出了網絡關鍵設備安全認證和安全檢測制度,歐盟在2019年4月頒布的《歐洲網絡安全法》和美國(guó)在2020年12月頒布的《物聯網網絡安全改進(jìn)法》也建立了類似的網絡安全認證制度。爲了落實我國(guó)《網絡安全法》,國(guó)家互聯網信息辦公室協調多部委開(kāi)展了一系列貫徹落實工作,網絡關鍵設備的首批安全認證和安全檢測結果近日統一公布,該制度的法律實施效果將(jiāng)日益顯現。
網絡攻擊正在增加,更容易受到網絡威脅和攻擊的關鍵領域需要更強大的防禦。網絡關鍵設備采取依标生産、安全認證和安全檢測制度,在流通銷售之前進(jìn)行産品質量管理,以假定網絡攻擊發(fā)生而在設計和開(kāi)發(fā)的最初階段采取策略將(jiāng)影響降到最低,從而減少惡意利用造成(chéng)的危害風險并确保我國(guó)網絡安全關鍵領域的穩定有序。根據《網絡安全法》《密碼法》等法規,網絡關鍵設備已經(jīng)被(bèi)列爲專門對(duì)象進(jìn)行管理。在《網絡安全法》第二十三條中,網絡關鍵設備和網絡安全專用産品應當按照相關國(guó)家标準的強制性要求,由具備資格的機構安全認證合格或者安全檢測符合要求後(hòu),方可銷售或者提供。在《密碼法》第二十六條中,涉及國(guó)家安全、國(guó)計民生、社會公共利益的商用密碼産品,應當依法列入網絡關鍵設備和網絡安全專用産品目錄,由具備資格的機構檢測認證合格後(hòu),方可銷售或者提供。 2017年6月,國(guó)家互聯網信息辦公室會同工業和信息化部、公安部和國(guó)家認證認可監督管理委員會發(fā)布了《網絡關鍵設備和網絡安全專用産品目錄(第一批)》,將(jiāng)4類網絡關鍵設備(路由器、交換機、機架式服務器、PLC設備)和11類網絡安全專用産品(數據備份一體機、硬件防火牆、入侵檢測、防禦系統、安全隔離與信息交換産品、安全數據庫等)納入安全認證和安全檢測對(duì)象,列入目錄的設備和産品需要按照相關國(guó)家标準的強制性要求,由具備資格的機構安全認證合格或者安全檢測符合要求後(hòu),方可銷售或者提供。總體而言,第一批産品目錄主要集中在系統組網所必須的IT基礎硬件設施,屬于國(guó)家安全和社會管理的基本需要,也是保障工業互聯網安全的主要對(duì)象。 網絡關鍵設備和網絡安全專用産品目錄在目前隻發(fā)布了第一批,後(hòu)續還(hái)應當新增其它關涉國(guó)家安全和社會管理的基本需要的産品,這(zhè)也是各國(guó)保持網絡安全管理彈性的基本做法。爲了履行安全義務,相關方應當跟蹤《網絡關鍵設備和網絡安全專用産品目錄》的更新情況。與此同時,無論是對(duì)于網絡設備的生産者還(hái)是相關領域的用戶,都(dōu)應當對(duì)自己生産或使用的産品進(jìn)行梳理,判斷是否有産品落入《網絡關鍵設備和網絡安全專用産品目錄》的範圍,對(duì)此類産品開(kāi)展專項合規工作。 二、制定網絡關鍵設備的技術标準,形成(chéng)統一規範 技術标準是安全認證和安全檢測的評判依據,《歐洲網絡安全法》就提出,在準備歐洲網絡安全認證計劃時,歐盟網絡安全局(ENISA)應定期咨詢标準化組織,特别是歐洲标準化組織。我國(guó)《網絡安全法》第二十三條也規定,對(duì)網絡關鍵設備和網絡安全專用産品依據國(guó)家标準強制性要求開(kāi)展安全認證和安全檢測。網絡關鍵設備有标可循,可以劃定網絡安全的底線,將(jiāng)爲落實《網絡安全法》關于網絡關鍵設備安全認證和安全檢測工作提供重要技術依據、明确網絡關鍵設備應具備的基本安全能(néng)力、爲各類網絡關鍵設備制修訂推薦性标準提供安全要求框架和指導,最終形成(chéng)産品生産銷售依據和消費購買的辨别指南。 2021年2月20日,國(guó)家市場監督管理總局(國(guó)家标準化管理委員會)發(fā)布2021年第1号公告,批準了《網絡關鍵設備安全通用要求》(GB 40050-2021),這(zhè)是我國(guó)網絡安全領域爲數不多的強制性标準之一,將(jiāng)成(chéng)爲網絡關鍵設備安全認證和安全檢測的統一規範。 《網絡關鍵設備安全通用要求》爲不同類型的網絡關鍵設備建立統一的安全技術要求,可适用于當前和未來的各類網絡關鍵設備,同時也有利于建立統一的安全管理體系。該強制性标準的主要内容包括安全功能(néng)要求和安全保障要求兩(liǎng)個部分。其一,安全功能(néng)要求聚焦于保障和提升設備的安全技術能(néng)力,主要包括設備标識安全、冗餘備份恢複與異常檢測、漏洞和惡意程序防範、預裝軟件啓動及更新安全、用戶身份标識與鑒别、訪問控制安全、日志審計安全、通信安全、數據安全以及密碼要求10個部分。其二,安全保障要求聚焦于規範網絡關鍵設備提供者在設備全生命周期的安全保障能(néng)力,主要包括設計和開(kāi)發(fā)、生産和交付、運行和維護三個環節的要求。以上安全要求形成(chéng)了網絡關鍵硬件産品的安全治理體系。在智能(néng)網聯汽車、電子醫療設備、工業自動化控制系統和智能(néng)電網等領域,網絡關鍵設備的統一要求還(hái)將(jiāng)對(duì)下遊産品開(kāi)發(fā)和應用提供顯著的便利,爲集成(chéng)應用的開(kāi)發(fā)者提供生産便利。 三、開(kāi)展網絡關鍵設備的安全認證和安全檢測,樹立社會公信 認證檢測在提高數字世界重要産品和服務的信任度和安全性方面(miàn)發(fā)揮著(zhe)至關重要的作用,隻有公衆和各類用戶普遍相信此網絡關鍵設備能(néng)夠提供必要的網絡安全,能(néng)夠以第三方監督的方式彌合買賣雙方的信息不對(duì)稱,以合格評定的方式樹立社會公信力,數字經(jīng)濟和物聯網才能(néng)蓬勃發(fā)展。在自願性檢測和認證的階段,企業通過(guò)第三方合格評定來展示安全服務能(néng)力或者産品的安全質量。根據《網絡安全法》的要求,未來沒(méi)有通過(guò)安全認證或安全檢測的設備和産品將(jiāng)不能(néng)在國(guó)内市場銷售。近期,國(guó)家互聯網信息辦公室協調多個部門根據《網絡關鍵設備安全通用要求》開(kāi)展了首批安全認證和安全檢測,這(zhè)标志著(zhe)網絡關鍵設備的安全認證和安全檢測正式開(kāi)花結果。 2018年3月,國(guó)家認證認可監督管理委員會、工業和信息化部、公安部、國(guó)家互聯網信息辦公室就聯合發(fā)布了《關于發(fā)布承擔網絡關鍵設備和網絡安全專用産品安全認證和安全檢測任務機構名錄(第一批)的公告》,确立了16家認證和檢測機構。企業可自主選擇實施一種(zhǒng)第三方評定方式,也即由委托人自行選擇具備資格的機構進(jìn)行安全認證或者安全檢測。根據管理職責分工,選擇認證方式的網絡關鍵設備和網絡安全專用産品,安全認證合格後(hòu),由認證機構報國(guó)家認證認可監督管理委員會;選擇檢測方式的網絡關鍵設備,安全檢測符合要求後(hòu),由檢測機構報工業和信息化部;選擇檢測方式的網絡安全專用産品,安全檢測符合要求後(hòu),由檢測機構報公安部。爲了整合各部委職責,實現歸口管理,最終結果由國(guó)家互聯網信息辦公室彙總三方統一公布。事(shì)實上,檢測、檢驗、認證、認可均屬于《合格評定 詞彙和通用原則》(ISO/IEC17000)所認可的合格評定形式,其中的檢測(Testing)是“按照程序确定合格評定對(duì)象一個或多個特性的活動”。換而言之,就是依據技術标準和規範,使用儀器設備,進(jìn)行評價的活動,其評價結果爲測試數據。認證(Certification)是“與産品、過(guò)程、體系或人員有關的第三方證明”;換而言之,就是指由具備第三方性質的認證機構證明産品、服務、管理體系、人員符合相關标準和技術規範的合格評定活動。爲了支撐認證工作的開(kāi)展,國(guó)家認證認可監督管理委員會在2018年還(hái)發(fā)布了《網絡關鍵設備和網絡安全專用産品安全認證實施規則》(CNCA-CCIS-2018),規定了開(kāi)展網絡關鍵設備和網絡安全專用産品安全認證的基本原則和要求。 在《網絡安全法》立法過(guò)程中,立法部門注意到我國(guó)有多個政府部門依據各自職責開(kāi)展網絡相關設備和産品的安全認證和安全檢測,産品範圍有重複,認證檢測的項目有交叉,要求和标準也不統一,緻使需要重複認證、檢測,造成(chéng)資源浪費,增加企業負擔。統一的市場需要統一的認證機制,網絡安全認證也需要對(duì)生産者和全社會形成(chéng)統一的适用口徑。針對(duì)這(zhè)種(zhǒng)情況,《網絡安全法》第二十三條規定,國(guó)家網信部門會同國(guó)務院有關部門制定、公布網絡關鍵設備和網絡安全專用産品目錄,并推動安全認證和安全檢測結果互認,避免重複認證、檢測。同時,按照《關于發(fā)布〈網絡關鍵設備和網絡安全專用産品目錄(第一批)〉的公告》(國(guó)家互聯網信息辦公室、工業和信息化部、公安部、國(guó)家認證認可監督管理委員會公告 2017年第1号)和《關于統一發(fā)布網絡關鍵設備和網絡安全專用産品安全認證和安全檢測結果的公告》(國(guó)家互聯網信息辦公室、工業和信息化部、公安部、國(guó)家認證認可監督管理委員會公告 2022年第1号)要求,國(guó)家互聯網信息辦公室會同工業和信息化部、公安部、國(guó)家認證認可監督管理委員會統一發(fā)布網絡關鍵設備和網絡安全專用産品的安全認證和安全檢測結果,有利于掌握、監督和協調各部門之間的職責劃分,對(duì)社會形成(chéng)一個權威的信息獲取渠道(dào)。 面(miàn)向(xiàng)未來,越來越多的産品和服務將(jiāng)在全國(guó)和全球範圍内産生數量極多的連接性數字設備,萬物互聯、數字孿生的數字空間將(jiāng)關系到個人利益、組織利益和國(guó)家利益的方方面(miàn)面(miàn),構建以網絡關鍵設備和網絡安全專用産品的安全認證和安全檢測爲代表的安全監督機制,將(jiāng)成(chéng)爲維護網絡安全的基本盤的基石。網絡關鍵設備與安全專用産品安全認證和安全檢測助力網信産業發(fā)展 近期,國(guó)家互聯網信息辦公室發(fā)布首批通過(guò)網絡關鍵設備和網絡安全專用産品安全認證和安全檢測的設備和産品名單,是國(guó)家全面(miàn)推進(jìn)國(guó)家網絡安全認證檢測工作,落實《中華人民共和國(guó)網絡安全法》第二十三條以及《關于發(fā)布〈網絡關鍵設備和網絡安全專用産品目錄(第一批)〉的公告》(國(guó)家互聯網信息辦公室、工業和信息化部、公安部、國(guó)家認證認可監督管理委員會公告 2017年第1号)相關要求的重要标志。 2017年6月1日,《中華人民共和國(guó)網絡安全法》正式實施,明确了網絡關鍵設備和網絡安全專用産品應當按照相關國(guó)家标準的強制性要求,由具備資格的機構安全認證合格或者安全檢測符合要求後(hòu),方可銷售或者提供。將(jiāng)網絡關鍵設備和網絡安全專用産品安全認證和安全檢測工作提升到了國(guó)家法律層面(miàn),奠定了工作基礎。同期,國(guó)家互聯網信息辦公室會同工業和信息化部、公安部、國(guó)家認證認可監督管理委員會聯合發(fā)布了《網絡關鍵設備和網絡安全專用産品目錄(第一批)》的公告,爲網絡關鍵設備和網絡安全專用産品安全認證和安全檢測工作提供了工作依據。 網絡關鍵設備和網絡安全專用産品作爲國(guó)家網絡安全建設的基礎核心設備,其認證和檢測工作是服務國(guó)家經(jīng)濟發(fā)展、保障國(guó)家網絡安全總體質量、實現國(guó)家網絡安全監管的重要手段。同時,也對(duì)加強質量安全、促進(jìn)産業發(fā)展、維護消費者合法權益、準确把握産品生态環境起(qǐ)著(zhe)顯著作用。主要體現在: 一是堅持維護用戶切實利益,促進(jìn)社會創新發(fā)展 網絡關鍵設備和網絡安全專用産品安全認證和安全檢測采用的标準是我國(guó)自主制定的針對(duì)具體産品的國(guó)家标準,通過(guò)認證檢測的反饋作用,引導消費和采購,形成(chéng)有效的選擇機制,維護了用戶的合法權益,向(xiàng)消費者、企業、政府、社會傳遞信任。推動認證檢測,能(néng)夠激發(fā)市場自主選擇的活力,調動網絡關鍵設備和網絡安全專用産品行業“敢爲争先”的主動性。認證、檢測機構立足經(jīng)濟社會發(fā)展需要,發(fā)揮專業技術優勢,在提升産品質量、推動産業升級、促進(jìn)經(jīng)濟社會創新發(fā)展等方面(miàn)作出了積極貢獻。 二是健全完善網絡關鍵設備和網絡安全專用産品生态環境,優化提升企業品質 認證檢測是市場經(jīng)濟條件下加強質量管理、提高市場效率的基礎性制度,是市場經(jīng)濟活動的必要環節,不走彎路,指路引航。能(néng)夠在市場中起(qǐ)到源頭把關、淨化市場的作用,緊扣“高質量”這(zhè)一關鍵詞,解放思想、開(kāi)闊視野,更加科學(xué)地算好(hǎo)“加法”和“減法”。傳遞權威可靠信息,建立市場信任機制,實現互信互任,有效降低市場風險。持續推進(jìn)企業研發(fā)産品的力度、全面(miàn)提升産品設計的高度、不斷拓寬産品聯動的寬度、推動持久産品品牌積澱的厚度,促進(jìn)企業提升自身的競争力,完善自身管理水平、服務意識,緊跟時代,精準發(fā)力。更加利于企業間的良性競争,穩步激發(fā)網絡關鍵設備和網絡安全專用産品行業的無限生機。 三是全面(miàn)落實國(guó)家監管機制,提高市場監管效能(néng) 認證檢測爲監管部門提供了法律法規和實現公共政策目标的手段,優化市場準入,規範市場秩序,使監管部門能(néng)夠運籌帷幄,總覽全局。政府部門在進(jìn)行監管時,采納第三方認證檢測機構專業化的評測結果,做到有理可依、有據可循,體現監管過(guò)程的嚴謹性、科學(xué)性、公正性,同時大大降低了潛在的監管成(chéng)本,達到事(shì)半功倍的效果。 本次網絡關鍵設備和網絡安全專用産品安全認證和安全檢測結果公布之後(hòu),國(guó)家可通過(guò)開(kāi)展安全認證和安全檢測的網絡關鍵設備和網絡安全專用産品持續監管,不斷鞏固國(guó)家網絡安全認證檢測工作取得的成(chéng)果。通過(guò)認證檢測工作,推進(jìn)網絡關鍵設備和網絡安全專用産品企業持續做好(hǎo)産品和服務,促進(jìn)行業的蓬勃發(fā)展。 作者:吳沈括 北京師範大學(xué)互聯網發(fā)展研究院院長(cháng)助理、博導,中國(guó)互聯網協會研究中心副主任 放眼今日中國(guó),新一代網絡信息技術的應用呈現廣泛普及和快速叠代的顯著态勢,社會運行和經(jīng)濟發(fā)展的各個方面(miàn)已經(jīng)普遍駛入全要素數字化轉型的曆史快車道(dào),由此催生新的技術架構、新的業務模式和新的應用場景,讓各方擁抱著(zhe)更爲多樣(yàng)的發(fā)展機遇;同時也引發(fā)新的技術要素風險、組織管理風險和信息内容風險,使公衆面(miàn)對(duì)著(zhe)更爲廣泛的安全威脅。 我國(guó)已經(jīng)全面(miàn)進(jìn)入高質量發(fā)展新階段,特别是在網絡強國(guó)和數字中國(guó)等戰略的引領下,做強做優數字經(jīng)濟的重要前提條件是構築高效可用的基礎設施、建設安全可信的網絡空間,而确保網絡關鍵設備和網絡安全專用産品的安全屬性自是題中應有之義,也成(chéng)爲法律法規和執法工作中的重要命題。 一方面(miàn),立法上,作爲頂層制度設計的《中華人民共和國(guó)網絡安全法》第二十三條明确規定,網絡關鍵設備和網絡安全專用産品應當按照相關國(guó)家标準的強制性要求,由具備資格的機構安全認證合格或者安全檢測符合要求後(hòu),方可銷售或者提供。國(guó)家網信部門會同國(guó)務院有關部門制定、公布網絡關鍵設備和網絡安全專用産品目錄,并推動安全認證和安全檢測結果互認,避免重複認證、檢測。 另一方面(miàn),執法上,爲落實《中華人民共和國(guó)網絡安全法》的制度要求,加強網絡關鍵設備和網絡安全專用産品安全管理,國(guó)家互聯網信息辦公室會同工業和信息化部、公安部、國(guó)家認證認可監督管理委員會等部門于2017年6月1日制定發(fā)布了《網絡關鍵設備和網絡安全專用産品目錄(第一批)》。與此相應地,2021年2月20日,國(guó)家市場監督管理總局(國(guó)家标準化管理委員會)發(fā)布2021年第1号公告,正式推出網絡安全領域強制性國(guó)家标準《網絡關鍵設備安全通用要求》(GB 40050-2021)。 而此次由國(guó)家互聯網信息辦公室會同工業和信息化部、公安部、國(guó)家認證認可監督管理委員會統一發(fā)布首批網絡關鍵設備安全認證和安全檢測結果,具有重要的制度意義、實務意義和生态意義: 其一,就制度建設而言,首批網絡關鍵設備安全認證和安全檢測結果的發(fā)布意味著(zhe)實現了從法律到目錄、從标準到清單的制度閉環,是推動法律規範的各項規則要求切實落地的重要舉措,進(jìn)一步提升了我國(guó)網絡安全法治水平。 其二,就執法實務而言,網絡關鍵設備安全認證和安全檢測工作的常态化展開(kāi),是強化網絡關鍵設備和網絡安全專用産品安全的日常管理工作的必要配套,特别是能(néng)夠有效助力于緩解實務中存在的重複認證、重複檢測現象,提高網絡安全執法工作的權威性、統一性和适用性,也有助于降低企業單位的經(jīng)營成(chéng)本與合規負擔。 其三,就生态培育而言,随著(zhe)網絡關鍵設備和網絡安全專用産品安全認證和安全檢測工作的持續推進(jìn),一批優秀的設備産品生産商、供應商將(jiāng)會憑借自身實力脫穎而出,并在市場環境中産生廣泛的示範、引領和帶動效應,吸引更多的利益相關方向(xiàng)先進(jìn)标準看齊,拉高産業鏈和供應鏈的整體安全水準,進(jìn)而形成(chéng)可持續的良性數字安全生态。做好(hǎo)網絡關鍵設備和網絡安全專用産品安全認證和安全檢測工作 促進(jìn)網絡安全産業高質量發(fā)展 作者:劉思蓉 中國(guó)網絡安全審查技術與認證中心高級工程師 近期,國(guó)家互聯網信息辦公室發(fā)布首批通過(guò)網絡關鍵設備和網絡安全專用産品安全認證和安全檢測的設備和産品名單,是國(guó)家全面(miàn)推進(jìn)網絡安全認證檢測工作,落實《中華人民共和國(guó)網絡安全法》第二十三條以及《關于發(fā)布〈網絡關鍵設備和網絡安全專用産品目錄(第一批)〉的公告》(國(guó)家互聯網信息辦公室、工業和信息化部、公安部、國(guó)家認證認可監督管理委員會公告 2017年第1号)相關要求的重要标志。認證和檢測是合格評定的重要内容,也是國(guó)家質量基礎設施(NQI)中不可或缺的重要組成(chéng)部分,在國(guó)民經(jīng)濟和社會發(fā)展中發(fā)揮著(zhe)重要的作用。運用認證和檢測的手段對(duì)網絡關鍵設備和網絡安全專用産品的安全性實施評價,是順應産業發(fā)展需要,保障重要信息系統安全的一項具有重要意義的制度安排。 依據《中華人民共和國(guó)網絡安全法》第二十三條要求,“網絡關鍵設備和網絡安全專用産品應當按照相關國(guó)家标準的強制性要求,由具備資格的機構安全認證合格或者安全檢測符合要求後(hòu),方可銷售或者提供”。安全認證和安全檢測的落實要具備三個關鍵要素,即實施範圍、實施主體和實施依據。2017年6月,國(guó)家互聯網信息辦公室、工業和信息化部、公安部、國(guó)家認證認可監督管理委員會四部委發(fā)布《網絡關鍵設備和網絡安全專用産品目錄(第一批)》,确定對(duì)4類網絡關鍵設備和11類網絡安全專用産品實施安全認證和安全檢測,明确了制度實施範圍。2018年3月,發(fā)布了《關于發(fā)布承擔網絡關鍵設備和網絡安全專用産品安全認證和安全檢測任務機構名錄(第一批)的公告》,明确了實施主體。同年5月,國(guó)家認證認可監督管理委員會和國(guó)家互聯網信息辦公室聯合發(fā)布的《關于網絡關鍵設備和網絡安全專用産品安全認證實施要求的公告》中,進(jìn)一步明确了爲安全認證機構提供檢測服務的實驗室名錄。2018年發(fā)布的《網絡關鍵設備和網絡安全專用産品安全認證實施規則》(CNCA-CCIS-2018),爲安全認證的實施提供了依據。2021年,《網絡關鍵設備安全通用要求》(GB 40050-2021)的發(fā)布,爲網絡關鍵設備安全認證和安全檢測的落地,提供了技術标準。 網絡關鍵設備和網絡安全專用産品安全認證和安全檢測制度的建立,是我國(guó)在網絡安全領域,依法建立産品認證制度,建設認證體系的卓有成(chéng)效的嘗試。主要體現在以下方面(miàn): 網絡關鍵設備和網絡安全專用産品安全認證和安全檢測,相關管理部門涉及工業和信息化部、公安部、國(guó)家認證認可監督管理委員會,在現有相關行政審批、安全認證制度項下,爲适應相應領域管理要求,形成(chéng)了不同的産品标準。在國(guó)家互聯網信息辦公室的協調下,安全認證和安全檢測各實施機構使用統一的技術标準對(duì)網絡關鍵設備和網絡安全專用産品進(jìn)行安全性評價,爲推動安全認證和安全檢測結果互認,避免重複認證、檢測奠定了基礎。 安全認證和安全檢測制度選取了現有相關管理制度項下的認證和檢測機構作爲實施單位,既充分發(fā)揮了專業機構的技術優勢,有效利用現有認證和檢測資源,又避免了網絡安全領域合格評定能(néng)力低水平重複建設,爲網絡關鍵設備和網絡安全專用産品安全認證和安全檢測與現有管理制度的協同推進(jìn)創造了條件。 三是紮實推進(jìn)安全認證,發(fā)揮持續監管作用 網絡關鍵設備和網絡安全專用産品安全認證的實施,在産品合規性持續監管方面(miàn)發(fā)揮了重要作用。依據《網絡關鍵設備和網絡安全專用産品安全認證實施規則》,認證模式爲“型式試驗+工廠檢查+獲證後(hòu)監督”的認證模式。在型式試驗階段,檢測機構對(duì)企業提供的樣(yàng)品進(jìn)行檢測,以判斷其是否符合标準要求;在工廠檢查階段,認證機構對(duì)制造商和生産企業的安全保障能(néng)力和質量保證能(néng)力進(jìn)行審核,以判斷其是否具備持續生産出符合标準要求的産品的能(néng)力;在企業獲得認證證書後(hòu),證書有效期内,認證機構通過(guò)持續的跟蹤檢查,對(duì)獲證産品符合性進(jìn)行監督。 認證作爲國(guó)際通行的合格評定手段,在産品合規性管理及質量提升方面(miàn)正發(fā)揮著(zhe)日益重要的作用。對(duì)信息技術産品實施安全認證已經(jīng)成(chéng)爲歐洲、美國(guó)等國(guó)家和地區網絡安全和隐私保護的重要内容。網絡關鍵設備和網絡安全專用産品安全認證的實施,爲國(guó)家對(duì)産品的質量監管提供了有力的抓手和重要支撐。
