在线人数
1660
Tax100会员
28000
搜索
本版
帖子
用户
注册
登录
帐号
自动登录
找回密码
密码
登录
立即注册
只需一步,快速开始
设为首页
收藏本站
税百:专业税务资讯
国际税收讲解
各种证件
搜索
本版
帖子
用户
x
搜索
Tax100 税百
»
论坛
›
全网热点文章
›
精选公众号
›
网络安全产品管理政策遇重大调整,什么情况?
国务院办公厅印发《重点省份分类加强政府投资项目管理办法(试行
@个体工商户,个税经营所得汇算进行中,这些税惠请收好~
大企业税务新“枫”吹来服务暖风
2023,减税降费这一年
【办税】自助终端--自然人信息登记
退役士兵自主就业,如何填报享受税费优惠政策?
【全网最全】31个省市!残保金政策汇编及申
全网最全|2022年失业保险稳岗补贴政策汇总
2021年个税汇算容易出现哪些错误?税务总局
【全网最全】历史上最高规模退税减税!2022
查看:
99
|
回复:
0
[小贝说安全]
网络安全产品管理政策遇重大调整,什么情况?
[复制链接]
数据安全君
数据安全君
当前离线
积分
86
95
主题
95
帖子
86
积分
一级税友
一级税友, 积分 86, 距离下一级还需 114 积分
一级税友, 积分 86, 距离下一级还需 114 积分
积分
86
发消息
2023-4-21 18:35:16
|
显示全部楼层
|
阅读模式
精选公众号文章
公众号名称:
小贝说安全
标题:
网络安全产品管理政策遇重大调整,什么情况?
作者:
发布时间:
2023-04-19 10:04
原文链接:
http://mp.weixin.qq.com/s?__biz=MzkwMDE0MzAyOQ==&mid=2247486200&idx=1&sn=dd4a117963ed47da9bf58cb15cda9bb9&chksm=c049c822f73e4134f85cdf1ac062889db4939e90a6854af43e2217f58e80ed2d18890067b06c#rd
备注:
-
公众号二维码:
-
|
小贝案语
|
■ 4月17日,国家互联网信息办公室等五部委发布了《关于调整网络安全专用产品安全管理有关事项的公告》,这是我国关于网络安全产品管理的最新政策。涉及产品管理绝非小事,遥想当年多少企业在投标时,栽在了产品资质证书上,又有多少企业将证书作为“控标”手段。为此,无论是甲方还是厂商,对这个文件都不能等闲视之。
但文件仅寥寥数语,而这么专业和技术性的内容又让一众律所公号集体哑火。两天过去了鲜有解读文章,这个重要文件似乎要淡出公众视野。但这样下去最终吃亏的还是企业,且甲方在招标时也可能会困惑于如何对供应商设置资质要求。小贝刚刚发布完了美国大兵的新视频,咱们还是回到老路子,来谈谈这个文件的前世今生。
一、为什么一定是“相关国家标准的强制性要求”?有何深意?
以前人们常在政策法规文件中看到“按照有关标准要求”之类的文字。实际上,这种写法很不严谨,
相当于通过政策法规的引用,使标准成为本政策法规的一部分,
违反标准就是违反本政策法规。但到底是哪部标准呢?不知道,“有关”而已。显然这样不妥。
所以,自从《
网络安全法
》开始(一直延续到了后来的所有法律法规),条款中都使用的是“相关国家标准的强制性要求”。即,
这个标准本来已经是强制性国家标准了,其强制性属性没有因为法律法规的引用而改变。
这样,严肃性问题就解决了。
但具体到网络安全产品上,这个“相关国家标准的强制性要求”到底有没有呢?
很遗憾,
《
网络安全法
》实施时,确实还没有。
而且在整个网络安全领域,也只有一部强制性国标GB 17859《计算机信息系统安全保护等级划分准则》。鉴于此,后来国家抓紧组织制定了两部对应《
网络安全法
》的网络安全强制性国标:
GB 40050-2021
《网络关键设备安全通用要求》和GB 42250-2022
《信息安全技术
网络安全专用产品安全技术要求》。
这是目前仅有的三部网络安全强制性国标中的两部。国家之所以加强了网络安全强标的制定,同全球网络安全形势和大国间贸易纠纷有关,因篇幅关系在此按下不表。
二、为什么是网络安全“专用”产品?“专用”和“不专用”有何区分?
此事说来话长,的确事出有因,且涉及两个不同历史时期的故事,原因各不相同。但这都不是主观原因造成的,而是深刻反映了信息技术的发展规律。
第一个历史时期始自1994
年的国务院147
号令《中华人民共和国计算机信息系统安全保护条例》。
为什么叫“计算机信息系统”?这是因为当时计算机系统应用已开始普及,很多已联网,病毒传播等引起人们对这一领域信息安全的高度关注。
但“IT系统”仅限于此吗?当然不是。此前很多年,电信系统便已存在,不然怎么打电话?此外还有大量的工业控制系统、电子信息处理系统等。大家的工作原理不一样,计算机病毒等威胁主要位于新兴的“计算机信息系统”领域。自然,信息安全产品也专用于这个领域,“计算机信息系统安全专用产品”便由此而来。公安部颁发的销售许可证也是使用这个名字,这就没有丝毫奇怪了。
《
网络安全法
》在起草时,起草组试图通过第二十三条实现统一网络安全产品检测认证的目的,以减少企业负担。“被统一”对象中,计算机信息系统安全专用产品销售许可证制度是147号令确定的行政许可,所以立法者从中借用了“专用”一词。
这便是《
网络安全法
》中“专用”的由来。
问题是,信息技术迅猛发展,以前的各类系统如今都已经融合了,即“IP化”,“专用”的前提已经不存在了。事实上,除了《
网络安全法
》第二十三条的这个场合,人们确实很少说“网络安全‘专用’”产品。
但“专用”二字是否要退出历史舞台呢?这倒不是,因为
历史进入了第二阶段。成也萧何败也萧何,恰恰是“融合”使人们又开始对“专用”进行较真。
原因是,从更好的保护网络安全的角度,人们希望网络安全成为信息系统的内在组成部分,而不是“外置”。即,今后可能没有网络安全产品了,而是所有的信息技术产品都具备网络安全功能。但这样一来,不是成了所有信息技术产品都需要进行安全测试了吗?从许可证管理的角度,这样做不现实。当然,
一些外国机构也拼着命反对,他们自然不希望中国政府把什么都管起来。
各种因素叠加在一起,这个“专用”还是被留下了。但其含义与最初的显然已不同,而是特指“以网络安全为主要功能”,具体清单由网信办等部委共同确定。
三、有的产品证书为什么取消了?这是什么原因?取消后如何?
《关于调整网络安全专用产品安全管理有关事项的公告》指出,自2023年7月1日起,
停止颁发
《计算机信息系统安全专用产品销售许可证》;同时
停止执行
《关于调整信息安全产品强制性认证实施要求的公告》(原国家质检总局、财政部、国家认证认可监督管理委员会2009年第33号)和《财政部工业和信息化部 质检总局 认监委关于信息安全产品实施政府采购的通知》(财库〔2010〕48号)。
这是公告中信息量最大的部分。可以从两个角度去理解。
一是,最初设计的信息安全产品认证制度没有如期实现,但“统一”证书的目标正在接近。
2004年10月,国家认监会、公安部、国家安全部等联合发布《关于建立国家信息安全产品认证认可体系的通知》,目的是建立集中统一、严格规范、科学高效的认证认可体系,彻底解决由于多重行政许可和评价活动导致的重复检测和一个产品多张证书等问题。其基本制度设计是,各家都不再发证了,新设立中国信息安全认证中心负责发证;以前的各家认证或检测机构只负责检测,但在一家检测过后不再重复送检,检测结果均可送认证中心。但根本问题是,各个部委对网络安全产品的管理目标、类型各异,很难将各家证书强制撤销后归为一张。故《关于建立国家信息安全产品认证认可体系的通知》提出的制度设计始终没有落地。不仅如此,中国信息安全认证中心反而多发了一张证,距离减少认证的目标相去甚远。这一现象长期被诟病,直到这次发布《关于调整网络安全专用产品安全管理有关事项的公告》。可以说,该公告的发布是历史上最接近“统一”证书目标的一次。
二是,公安部的销售许可证与信息安全产品认证证书的纠葛终于解决了。
从《关于调整网络安全专用产品安全管理有关事项的公告》看,公安部的“计算机信息系统安全专用产品销售许可证”停发,《关于调整信息安全产品强制性认证实施要求的公告》和《财政部工业和信息化部 质检总局 认监委关于信息安全产品实施政府采购的通知》也被撤销,似乎都“进入历史”了。实际上不是的,在信息安全产品认证认可体系设计之初,目标是建立强制性认证制度。当时的情况下,将销售许可证纳入这一体系是有条件的,由此销售许可证则可相应取消。但事与愿违,由于美国人的阻挠,强制性认证制度调整为了仅在政府采购领域实施,显然已经远远小于销售许可证的实施范围。既然如此,公安部自然不同意取消销售许可证。这导致了这么多年来销售许可证与信息安全产品认证证书共存。《关于调整网络安全专用产品安全管理有关事项的公告》的意思是,信息安全产品认证制度不再仅适用于政府采购领域(撤销了历史上的两个公告),且销售许可证取消。这两个变动都指向同一个结果:只建立一种网络安全专用产品检测认证制度。
这当然是好事。但不能将其解读为网络安全产品不再需要证书了,而是证书换方式了,相关部委的管理职能还在。
四、“网络关键设备”和“网络安全专用产品”有什么区别?当前的工作将两者并列有何深意?
《
网络安全法
》第二十三条中,的确是将“网络关键设备”和“网络安全专用产品”并列,但本次公告中,又只是“调整网络安全专用产品安全管理有关事项”。怎么理解这一情况呢?
事实上,
两者并列并不是技术因素导致的,而完全来自我国曾存在两种权威制度:电信设备进网许可制度和计算机信息系统安全专用产品销售许可证制度。
《
网络安全法
》起草者认为,既然要解决网络安全产品重复检测重复认证的问题,那么就需要考虑到现存这两个制度的存废,故《
网络安全法
》第二十三条必须与上述两项制度关联。这便是“网络关键设备”和“网络安全专用产品”的由来。而且,如果仔细分析前述的两项强制性国标,可以看到GB 40050-2021《网络关键设备安全通用要求》是由工信部归口起草的,GB 42250-2022《信息安全技术网络安全专用产品安全技术要求》则是由公安部归口起草的。
但
电信设备进网许可制度本来就不存在重复检测问题,所以并不在《关于调整网络安全专用产品安全管理有关事项的公告》规范范围之内。
需要注意的是,随着党中央、国务院高度重视“放管服”改革,工信部已经实施了完善进网许可制度的改革举措。如,企业申请办理电信设备进网许可时,
除网络安全等特殊检测项目外,可以采用本企业检测报告替代第三方检测报告。这意味着,电信设备进网许可制度的侧重点已经转向网络安全。
但电信设备进网许可制度只是“检测”,并无引入“认证”机制。那么,一款网络关键设备是否需要进行网络安全认证呢?认证或不认证又有什么区别呢?由于“网络关键设备”的概念引入本来不是来自于技术驱动,所以这个问题目前没有答案,只能有待于今后的制度更加完善。
|
小贝结语
|
■ 喜大普奔之际,企业一定要核对产品目录,防止应检而未检。同时,有必要了解网络安全产品管理政策的前世今生,否则将“乱花渐欲迷人眼”。
总编辑|小贝
微信公众号
微信号|xiaobeisaq
长按二维码关注
官方微信
长按二维码关注
了解更多信息
相关帖子
•
明确了!雇主责任险能否冲抵工伤赔偿?最高法院一锤定音!| 劳动法库
•
员工拒绝调岗不去新岗位报到仍去原岗出勤构成旷工吗?(还有更多)
•
最新!广东高院关于审理机动车交通事故责任纠纷案件的指引(2024)| 劳动法库
•
第五届全国人民代表大会常务委员会关于批准《国务院关于职工探亲待遇的规定》的决议 | 劳动法库
•
收藏!人社部现行有效76件规章汇总(附文号及施行日期)| 劳动法库
•
公开课:入职管理、调岗管理与解雇管理实操技巧(2024)
回复
使用道具
举报
返回列表
官方链接
中国人大网
中国政府网
发改委
国家税务总局
北京市税务局
天津市税务局
河北省税务局
山西省税务局
内蒙古税务局
辽宁省税务局
吉林省税务局
黑龙江税务局
上海市税务局
江苏省税务局
浙江省税务局
安徽省税务局
福建省税务局
山东省税务局
江西省税务局
河南省税务局
湖北省税务局
湖南省税务局
广东省税务局
广西税务总局
海南省税务局
重庆市税务局
四川省税务局
贵州省税务局
云南省税务局
西藏税务总局
甘肃省税务局
陕西省税务局
青海省税务局
宁夏税务总局
新疆税务总局
大连市税务局
宁波市税务局
厦门市税务局
青岛市税务局
深圳市税务局
友情链接
51社保
信用卡申请
Copyright © 2001-2013
Comsenz Inc.
Powered by
Discuz!
X3.4
京公网安备 11010802035448号
(
京ICP备19053597号-1,电话18600416813,邮箱liwei03@51shebao.com
)
了解
Tax100
创始人胡万军
优化与建议
隐私政策
快速回复
返回列表
返回顶部