国认证联[2004]57号
颁布时间:2004-10-18 09:02:31.000 发文单位:质量监督检验检疫总局
各省、自治区、直辖市人民政府,国务院各部委、各直属机构:
随着信息技术的广泛应用和迅速发展,信息安全问题涉及的领域越来越多,做好信息安全工作是保障国家经济建设持续健康发展的当务之急。信息安全工作是一项系统工程,需要多方面综合管理。抓好信息安全产品的质量是解决信息安全问题的一项重要措施。
近年来,国务院有关部门和一些地方政府已对部分信息安全产品实施了一些评价、许可或采购管理制度,积极推动国家信息安全产品测评认证工作,已基本具备了对主要的信息安全产品进行测评和认证的能力,在保障信息安全,推动信息化发展方面发挥了积极的作用。但还存在一些亟待解决的问题:各部门分别实施的评价、许可制度造成的对同一产品检测标准不一致和重复检测的问题、对国产品和进口产品的评价制度不一致的问题、实验室低水平重复建设造成国家资源浪费且检测水平不高的问题、评价活动与行政执法检查职责混淆的问题、一种产品为获得市场准入需获评价内容基本相同的多张证书的问题、现行的多种评价体制对安全性能覆盖不全的问题等,这些问题不仅影响了我国信息安全产业的健康发展,同时对国家信息安全保障工作也难以提供有效支撑。借鉴国外的经验,我国急需建立统一的适应我国经济和社会发展需要的国家信息安全产品认证认可体系(以下简称体系)。
根据《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)中提出的“要推进认证认可工作,规范和加强信息安全产品测评认证”的要求,经国家网络与信息安全协调小组第三次会议讨论通过,现将体系建立的有关问题通知如下:
一、体系建设的指导思想、目标和基本原则
(一)指导思想:以“三个代表”重要思想为指导,从维护国家安全和经济利益的大局出发,在统一监督、管理和综合协调的机制下,建立既符合国家利益的需要又遵循国际通行规则的统一的国家信息安全产品认证认可体系,为国家信息安全保障体系的有效实施提供强有力的技术支撑。
(二)目标:通过建立集中统一、严格规范、科学高效的认证认可体系,彻底解决由于多重行政许可和评价活动导致的重复检测和一个产品多张证书的问题;解决实验室低水平重复建设及部分产品检测水平低下的问题;解决评价标准不一致及覆盖面不够的问题;解决企业负担过重的问题。从而为信息安全产品的产业发展创造一个良好的环境,为开发研制自主知识产权的信息安全产品提供保护机制,切实提高我国的信息安全检测水平,充分保障国家信息安全。
(三)基本原则
1.统一管理、共同实施的原则
按照《中华人民共和国认证认可条例》的规定,实行统一管理、共同实施的工作机制。统一管理可以解决重复管理、重复认证的问题,共同实施可以确保体系建设的科学性、满足各有关部门的管理和使用需要。
2.统一规范的原则
国家对信息安全产品实施统一的认证制度。根据信息安全产品的安全性和应用的领域,统一的认证制度分为强制性认证和自愿性认证两种认证方式。对于重要的信息安全产品实行强制性认证,凡列入强制性认证目录内的产品,未经认证合格的不得出厂、进口、销售和使用。对于虽未列入强制性认证目录,但在特定领域和具有一定等级保护要求的网络、系统中应用的信息安全产品,应通过实施自愿性认证保证相应的安全需求。因此要求特定领域的用户、相关的管理部门(包括政府采购)和具有一定等级保护要求的单位在根据需要制定相应的规定(如政府采购办法、等级保护规定等)时,必须明确采购(或使用)通过自愿性认证的信息安全产品。
信息安全产品认证以国家标准或经国家确认的标准和技术规范为依据。信息安全产品认证由指定的具备资格的认证机构、检查机构和检测实验室负责具体实施。
对信息安全产品的认证,按照“统一标准、技术规范与合格评定程序;统一认证目录;统一认证标志;统一收费标准’的“四统一’原则,保证认证结果的一致性,保证认证制度对国产品和进口产品的一致性。认证所依据的标准和技术法规及补充技术要求能够覆盖不同的用户需求,做到一次性受理企业申请,用一张证书替代目前的多张证书。凡可以通过认证认可解决的检测、评审,原则上不再设立行政许可,特殊情况报经国务院审定后仍需保留的行政许可,应转变行政许可的方式,充分利用产品认证、检查、检测的结果,不得重复取样、重复检查、检测和收费。
3.政事分开的原则
明确各相关部门和认证机构、检查机构和检测实验室的权利、义务与责任。国家要建立专门从事信息安全产品认证的认证机构并利用现已存在的多个具备能力的检查机构、检测实验室具体实施认证工作。认证机构、检查机构和检测实验室应不以盈利为目的,并且认证机构要与检查机构、检测实验室分离。现由政府部门执行的发证工作,逐步过渡到由认证机构去实施。对信息安全产品的监督执法工作必须与认证活动分离,认证机构与相关信息安全产品的执法机关不直存在任何行政隶属和经济利益关系。
4.发挥认可制度作用的原则
从事信息安全产品认证活动的认证机构、检查机构、检测实验室和认证。检查、检测人员(以下简称认证人员),应当具备相应的认证、检查、检测能力,由国家认监委授权的国家认可机构依据国际通用的认可要求和相应的补充要求进行认可和注册,以规范认证、检查、检测活动,确保统一的认证制度实施的有效性。
二、体系的构成和工作机制
信息安全产品认证认可工作在国家认监委的统一管理、监督和综合协调下,由相关政府部门和各有关方面共同实施。
(一)国家认监委会同国务院有关部门,批准发布信息安全产品认证的基本规范与实施规则,包括确定认证产品目录和认证依据的标准。方法膜式,认证实施机构以及认证人员的要求以及对信息安全产品认证有强制要求的领域等。
(二)由具备第三方公正独立地位的认证机构依据国家发布的认证基本规范、认证规则,开展认证活动,提供认证服务。具备相关资质的检查机构、检测实验室为认证活动提供检查、检测服务。
(三)由相关的执法部门对认证活动进行执法监督。对于认证机构、检查机构和检测实验室及认证人员违反国家认证基本规范的,给予纠正、处罚直至取消认证机构、检查机构、检测实验室资格及认证人员注册资格。
(四)对列入强制性认证目录的信息安全产品,未经认证合格不得出厂、进口、销售和在其他经营性活动中使用;对于政府采购合同中涉及到认证产品的或法律、法规规定必须使用认证产品的,不得采购或使用未经认证合格的产品。以上执法检查工作由相关执法机关在各自的职责范围内负责。
三、体系的建设方案
(一)组织建设
为保证体系建设的科学、合理和实施的有效性,成立如下机构:
1.国家信息安全产品认证管理委员会
成立由国务院有关部门(公安部、安全部、信息产业部、保密局、国密办、国信办、认监委等)、生产方、用户方、研究开发以及标准等方面的代表共同组成国家信息安全产品认证管理委员会(以下简称认证管理委员会)。具体负责如下事宜:
——提出信息安全产品认证的方针政策并监督其实施;
——审定、提出开展认证的产品范围和所依据的标准与技术规范;
——组织起草并审定信息安全产品认证基本规范和认证规则;
——提出对信息安全产品认证有强制要求的领域;
——审定可以承担信息安全产品认证、检查和检测任务的认证机构、检查机构和检测实验室;
——负责有关方面对信息安全产品认证活动的投诉;
——与信息安全产品认证相关的其他工作。
委员会的秘书处设在国家认监委。委员会成立时,相关的职责、工作程序将在章程中明确,委员会的章程经全体委员讨论通过后,由国家认监委批准发布。
2.认证机构及与认证有关的检查机构、检测实验室
认证机构是认证务的提供者。根据信息安全产品的特殊性和我国目前的管理现状及借鉴国外的一些做法,在体系建立的初期阶段只设立一个认证机构、多个检查机构和检测实验室。
(1)认证机构具体负责如下事宜:
——在指定的工作范围内按照认证实施规则开展认证工作;
——受理认证委托、实施评价、做出认证决定,向认证合格的产品颁发认证证书;
——对获得认证的产品进行跟踪检查;
——受理有关的认证投诉、申诉工作;
——依法暂停、注销和撤销认证证书;
——受认证管理委员会的委托从事与信息安全产品认证相关的其他工作;
——依据法律、法规及授权从事相关认证工作。
(2)检查机构具体负责如下事宜:
——在指定的工作范围内按照认证实施规则开展检查工作;
——向认证机构提供检查报告;
——受认证管理委员会的委托从事与信息安全产品认证相关的其他工作。
(3)检测实验室具体负责如下事宜:
——在指定的工作范围内按照认证实施规则开展检测工作;
——向认证机构提供检测报告;
——受认证管理委员会的委托对产品认证所依据标准的有效性进行验证;
——受认证管理委员会的委托进行检测方法和检测工具的研究开发;
——受认证管理委员会的委托从事与信息安全产品认证相关的其他工作。
认证机构应为非营利的事业单位并独立于检查机构和检测实验室,认证机构应与检查机构、检测实验室签订合约以规范、约束双方的责任、义务、检查、检测资源社会化化。检查、检测活动将利用国家有关部门及地方的现有资源,通过进行必要的整合和补充性投入,使其具备相应的能力和资质,以满足认证工作需要。检查机构和检测实验室的使用应遵循公平竞争的原则,认证委托人可以自由选择实验室,认证机构不得干预。
国家选择重点实验室给予重点投入,支持其从事标准有效性的验证及检测方法和检测工具的研究开发工作,以保证信息安全产品检测结果的有效性和一致性,并使我国信息安全产品的检测技术具有一定的先进性和前瞻性,使于国际交流与合作。
3.认可分技术委员会
为保证从事信息安全产品认证的认证机构、检查机构和检测实验室以及相关的认证人员具有相应的资质能力,组建由有关专家组成的中国认证机构国家认可委员会(CNAB)的分技术委员会、实验室国家认可委员会(CNAL)的分技术委员会和认证人员国家注册委员会(CNAT)的分技术委员会,负责制定信息安全产品认证机构、检查机构、检测实验室和认证人员的认可准则与注册要求,并由相应认可机构对认证机构、检查机构、检测实验室和认证人员实施认可与注册。
(二)规则建设
认证基本规范、认证规则和认可准则的制定属于体系的规则建设。
认证管理委员会和认可分技术委员会在批准相关的规则之前,应组织行业的专家研究提出认证产品目录、认证依据的标准清单、强制要求认证的领域。认证基本规范。相关的实施规则以及认证机构、检查机构、检测实验室及相关认证人员的认可与注册要求。
四、体系建设的计划
体系建设计划用三年时间完成,再用两年的时间巩固和提高。具体步骤分为三个阶段。
(一)第一阶段:用一年时间。成立国家信息安全产品认证管理委员会、认证机构及与认证有关的检查机构和检测实验室、认可技术分委员会,并发布产品目录及认证基本规范、认证规则和认可准则。体系建立基本完成并开始实施。
(二)第二阶段:在第一阶段基础上再用两年时间。体系运作逐步成熟并逐渐开始发挥效力,统一有序的信息安全产品认证认可制度得以实施;认证、检查、检测的一致性基本有保证;完成有关信息安全产品的行政许可向认证认可制度的有效过渡;标准验证基准实验室的作用开始发挥,总体检测水平得到提高;认证的有效性得到各有关方面的认同。
(三)第三阶段:再用两年时间。体系的建立达到国际同行的先进水平;体系有效性的能动作用充分发挥出来;对产业的发展起到更积极的推进作用;信息安全产品的认证工作为保障国家的信息安全发挥着积极的作用。
五、认证产品目录
体系涉及的产品包括为了安全目的在信息的生成、传输、处理、存储等生命周期中使用的硬件、软件产品和他们的组合。认证的内容为产品的信息安全保障功能。
具体可以开展认证的产品范围,包括强制性认证的产品范围将以目录的形式发布。具体的产品目录由国务院认证认可监督管理部门会同国务院有关部门制定、调整,由国家认证认可监督管理部门发布。
中国国家认证认可监督管理委员会
中华人民共和国公安部
中华人民共和国国家安全部
中华人民共和国信息产业部
国家保密局
国家密码管理委员会办公室
中华人民共和国国家质量监督检验检疫总局
国务院信息化工作办公室
二OO四年十月十八日