認監委2023年第14號公告
近日,國家認監委發布關于修訂網絡關鍵設備和網絡安全專用產品安全認證實施規則的公告,新版規則自發布之日起實施。《關于發布網絡關鍵設備和網絡安全專用產品安全認證實施規則的公告》(國家認監委2018年第28號公告)同時廢止。
2023年第14號
國家認監委關于修訂網絡關鍵設備和網絡安全專用產品安全認證實施規則的公告
根據《中華人民共和國網絡安全法》《中華人民共和國認證認可條例》有關規定,按照《關于調整〈網絡關鍵設備和網絡安全專用產品目錄〉的公告》(國家網信辦、工業和信息化部、公安部、國家認監委2023年第2號公告)要求,國家認監委修訂完善了《網絡關鍵設備和網絡安全專用產品安全認證實施規則》(見附件,以下稱新版規則)。現將有關事項公告如下:
一、新版規則自發布之日起實施。《關于發布網絡關鍵設備和網絡安全專用產品安全認證實施規則的公告》(國家認監委2018年第28號公告)同時廢止。
二、此前已經頒發的有效安全認證證書可繼續使用,證書轉換工作采取到期換證、產品變更、標準換版等自然過渡的方式完成。
附件:網絡關鍵設備和網絡安全專用產品安全認證實施規則(CNCA-CCIS-2023)
1 適用范圍
本規則依據《中華人民共和國網絡安全法》《中華人民共和國認證認可條例》制定,規定了《網絡關鍵設備和網絡安全專用產品目錄》中的產品實施認證的基本原則和要求。本規則適用于國家互聯網信息辦公室、工業和信息化部、公安部、國家認證認可監督管理委員會等部門發布的網絡關鍵設備和網絡安全專用產品。認證機構應當依據本規則要求編制認證實施細則,并配套本規則共同實施。
2 認證依據標準
網絡關鍵設備認證依據的標準為GB 40050,網絡安全專用產品認證依據的標準為GB 42250。上述標準原則上應當執行最新版本,當需要使用標準的其他版本時,按有關主管部門發布的文件要求執行。
3 認證模式
4 認證單元劃分
原則上,按產品型號/版本劃分認證單元。同一認證單元內有多個型號/版本的產品時,需要認證委托人提交型號/版本間的差異說明。
5 認證實施程序
5.1 認證委托
認證機構應當明確認證委托資料要求,至少包括認證委托人信息、產品功能說明書和/或使用手冊、安全保障能力文件、同一認證單元中型號/版本的差異說明(適用時)等。認證委托人應當按認證機構要求提出認證委托,認證機構在對認證委托審核后及時反饋是否受理。
5.2 型式試驗
認證機構應當根據認證委托確定型式試驗方案,包括型式試驗的全部樣品要求和數量、檢測標準項目、實驗室信息等,并告知認證委托人。認證委托人應當按照型式試驗方案向實驗室提供型式試驗樣品。實驗室應當對型式試驗全過程作出完整記錄,并妥善管理、保存、保密相關文件,確保檢測結果可追溯。型式試驗結束后,實驗室應當及時向認證機構和認證委托人出具型式試驗報告。
5.3 認證結果評價與批準
認證機構對型式試驗和相關文件信息進行綜合評價,作出認證決定。對符合認證要求的,頒發認證證書并允許使用認證標志;對暫不符合認證要求的,允許認證委托人限期整改,對整改后仍然不符合認證要求的,認證機構不予批準認證委托,認證終止。
5.4 獲證后監督
認證機構應當根據誠信守法狀況、所生產產品質量狀況等與質量相關的信息進行綜合評價,對生產企業進行分類,從而對不同類別生產企業所生產的產品在獲證后監督等方面實施差異化管理,以實現控制認證風險、提高認證活動的質量和效率、確保獲證產品持續符合認證要求的目標。認證機構應當對獲證產品、生產者和生產企業進行持續監督,并在生產企業分類管理的基礎上合理確定監督頻次,具體要求應當在實施細則中予以明確。獲證后監督的內容為安全質量持續符合能力評價或產品檢測。安全質量持續符合能力評價的內容包括產品一致性、認證標志管理等。認證機構應當在實施細則中對評價內容及評價方式予以明確。認證機構對獲證后監督結論和相關文件信息進行綜合評價,作出認證決定。對符合認證要求的,可繼續保持認證證書、使用認證標志;不符合的,允許認證委托人限期整改,對整改后仍然不符合認證要求的,認證機構應當根據相應情形作出暫停或者撤銷認證證書的處理,停止使用認證標志,并予以公布。
5.5 認證時限
認證機構應當對認證各環節的時限作出明確規定,并確保相關工作按時限要求完成。認證委托人須對認證活動予以積極配合。一般情況下,自受理認證委托起60天內向認證委托人出具認證證書。
6 認證證書