认监委2023年第14号公告
近日,国家认监委发布关于修订网络关键设备和网络安全专用产品安全认证实施规则的公告,新版规则自发布之日起实施。《关于发布网络关键设备和网络安全专用产品安全认证实施规则的公告》(国家认监委2018年第28号公告)同时废止。
2023年第14号
国家认监委关于修订网络关键设备和网络安全专用产品安全认证实施规则的公告
根据《中华人民共和国网络安全法》《中华人民共和国认证认可条例》有关规定,按照《关于调整〈网络关键设备和网络安全专用产品目录〉的公告》(国家网信办、工业和信息化部、公安部、国家认监委2023年第2号公告)要求,国家认监委修订完善了《网络关键设备和网络安全专用产品安全认证实施规则》(见附件,以下称新版规则)。现将有关事项公告如下:
一、新版规则自发布之日起实施。《关于发布网络关键设备和网络安全专用产品安全认证实施规则的公告》(国家认监委2018年第28号公告)同时废止。
二、此前已经颁发的有效安全认证证书可继续使用,证书转换工作采取到期换证、产品变更、标准换版等自然过渡的方式完成。
附件:网络关键设备和网络安全专用产品安全认证实施规则(CNCA-CCIS-2023)
1 适用范围
本规则依据《中华人民共和国网络安全法》《中华人民共和国认证认可条例》制定,规定了《网络关键设备和网络安全专用产品目录》中的产品实施认证的基本原则和要求。本规则适用于国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会等部门发布的网络关键设备和网络安全专用产品。认证机构应当依据本规则要求编制认证实施细则,并配套本规则共同实施。
2 认证依据标准
网络关键设备认证依据的标准为GB 40050,网络安全专用产品认证依据的标准为GB 42250。上述标准原则上应当执行最新版本,当需要使用标准的其他版本时,按有关主管部门发布的文件要求执行。
3 认证模式
4 认证单元划分
原则上,按产品型号/版本划分认证单元。同一认证单元内有多个型号/版本的产品时,需要认证委托人提交型号/版本间的差异说明。
5 认证实施程序
5.1 认证委托
认证机构应当明确认证委托资料要求,至少包括认证委托人信息、产品功能说明书和/或使用手册、安全保障能力文件、同一认证单元中型号/版本的差异说明(适用时)等。认证委托人应当按认证机构要求提出认证委托,认证机构在对认证委托审核后及时反馈是否受理。
5.2 型式试验
认证机构应当根据认证委托确定型式试验方案,包括型式试验的全部样品要求和数量、检测标准项目、实验室信息等,并告知认证委托人。认证委托人应当按照型式试验方案向实验室提供型式试验样品。实验室应当对型式试验全过程作出完整记录,并妥善管理、保存、保密相关文件,确保检测结果可追溯。型式试验结束后,实验室应当及时向认证机构和认证委托人出具型式试验报告。
5.3 认证结果评价与批准
认证机构对型式试验和相关文件信息进行综合评价,作出认证决定。对符合认证要求的,颁发认证证书并允许使用认证标志;对暂不符合认证要求的,允许认证委托人限期整改,对整改后仍然不符合认证要求的,认证机构不予批准认证委托,认证终止。
5.4 获证后监督
认证机构应当根据诚信守法状况、所生产产品质量状况等与质量相关的信息进行综合评价,对生产企业进行分类,从而对不同类别生产企业所生产的产品在获证后监督等方面实施差异化管理,以实现控制认证风险、提高认证活动的质量和效率、确保获证产品持续符合认证要求的目标。认证机构应当对获证产品、生产者和生产企业进行持续监督,并在生产企业分类管理的基础上合理确定监督频次,具体要求应当在实施细则中予以明确。获证后监督的内容为安全质量持续符合能力评价或产品检测。安全质量持续符合能力评价的内容包括产品一致性、认证标志管理等。认证机构应当在实施细则中对评价内容及评价方式予以明确。认证机构对获证后监督结论和相关文件信息进行综合评价,作出认证决定。对符合认证要求的,可继续保持认证证书、使用认证标志;不符合的,允许认证委托人限期整改,对整改后仍然不符合认证要求的,认证机构应当根据相应情形作出暂停或者撤销认证证书的处理,停止使用认证标志,并予以公布。
5.5 认证时限
认证机构应当对认证各环节的时限作出明确规定,并确保相关工作按时限要求完成。认证委托人须对认证活动予以积极配合。一般情况下,自受理认证委托起60天内向认证委托人出具认证证书。
6 认证证书
