公开征求对《网络关键设备安全检测实施办法(征求意见稿)》的意见
为贯彻落实《中华人民共和国网络安全法》,推进网络关键设备安全检测工作顺利开展,工业和信息化部起草了《网络关键设备安全检测实施办法(征求意见稿)》(见附件),拟以规范性文件形式印发,现面向社会公开征求意见。如有意见或建议,请于2019年7月4日前反馈。
联系电话:010-68206207
传真:010-68206187
邮箱:wangmeifang@miit.gov.cn
地址:北京市西城区西长安街13号工业和信息化部网络安全管理局(邮编:100804)。请在信封上注明“《网络关键设备安全检测实施办法(征求意见稿)》意见反馈”。
附件:《网络关键设备安全检测实施办法(征求意见稿)》.docx
工业和信息化部
2019年6月4日
网络关键设备安全检测实施办法(征求意见稿)
第一章 总 则
第一条 为加强网络关键设备安全管理,维护网络安全,保护网络运营者和用户的合法权益,根据《中华人民共和国网络安全法》《关于发布〈网络关键设备和网络安全专用产品目录(第一批)〉的公告》(国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会公告2017年第1号,以下简称四部委1号文),制定本办法。
第二条 本办法所称网络关键设备是指列入国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会发布的《网络关键设备和网络安全专用产品目录》的网络关键设备。
第三条 企业对其生产的网络关键设备选择安全检测方式的,适用本办法。
第四条 网络关键设备安全检测遵循独立、公正、科学、诚信的原则。
第五条 工业和信息化部负责组织实施网络关键设备安全检测工作。
工业和信息化部网络关键设备安全检测服务窗口(以下简称服务窗口)统一接收网络关键设备安全检测相关材料。
第二章 管理流程
第六条 生产企业选择网络关键设备安全检测的,应在服务窗口进行登记,并提交下列材料:
(一)网络关键设备安全检测登记表。登记表应由生产企业法定代表人或其授权人签字。境外生产企业应委托中国境内的分支机构或代理机构提交登记表,并出具委托书;
(二)生产企业基本信息,包括企业主营业务情况介绍和企业法人营业执照(复印件)。境内生产企业应提供企业法人营业执照。受境外生产企业委托的分支机构或代理机构,应提供分支机构或代理机构有效执照;
(三)网络关键设备基本信息,包括安全特性(如身份鉴别、访问控制、数据加密、安全审计、冗余备份等)、主要部件信息、设备照片等内容;
(四)设备性能参数符合网络关键设备技术指标的声明;
(五)企业安全保证能力相关材料,包括质量保证体系证书(复印件),以及生产企业在制度和组织、设计和开发、测试、生产和交付、运行和维护等环节与设备相关的安全保证能力说明材料。
前列材料均应加盖公章,除证书、执照类材料外,其它材料应使用中文。
第七条 生产企业选取样品,委托具备资格的机构进行安全检测(网络关键设备安全检测依据的标准另行发布)。经安全检测符合要求后,由检测机构向服务窗口提交网络关键设备安全检测报告。
纳入电信设备进网许可制度管理(以下简称进网管理)的网络关键设备,如已在进网管理中由具备资格的机构按照网络关键设备安全检测依据的标准实施检测,且进网许可证仍在有效期内的,不再重复检测,由检测机构向服务窗口提交网络关键设备安全检测报告。
具备资格的机构是指依据《网络安全法》,由国家认证认可监督管理委员会、工业和信息化部、公安部、国家互联网信息办公室共同认定的承担网络关键设备安全检测任务的机构。
第八条 工业和信息化部对网络关键设备安全检测报告及材料进行审核,按照国家有关规定发布通过安全检测的网络关键设备名单(以下简称设备名单),有效期3年。纳入电信设备进网许可制度管理的网络关键设备,通过审核的,有效期届满时间为设备进网许可到期时间。
需要继续销售或者提供已通过安全检测的网络关键设备的,应在有效期届满前三个月内向服务窗口重新登记并实施安全检测。
第九条 通过安全检测的网络关键设备发生设备型号、生产企业基本信息(如企业名称、地址、企业性质、法定代表人、设备产地、联系人等)等非技术性信息变更时,生产企业应在信息变更发生10个工作日内向服务窗口提交变更情况说明。
信息变更涉及设备型号、企业名称等设备名单要素的,经工业和信息化部审核通过后,发布信息变更公告。
通过安全检测的网络关键设备,生产企业提出非技术性变更时,有效期届满时间不变。
第三章 生产企业、检测机构的责任和义务
第十条 网络关键设备生产企业应:
保证质量保证体系和售后服务措施持续有效;
保证通过安全检测的网络关键设备在有效期内的一致性,保证设备持续符合相关标准的要求,质量稳定、安全可靠;
保证提交的材料真实有效;
接受和配合工业和信息化部的监督管理。
第十一条 检测机构应按照检测标准要求和本办法规定执行检测任务。检测机构及其工作人员不得存在弄虚作假、剽窃或泄露生产企业的技术秘密、侵犯生产企业知识产权等行为。
第四章 监督管理
第十二条 工业和信息化部通过组织抽查、接受举报等形式,对通过安全检测的网络关键设备开展持续监督。
第十三条 生产企业违反本办法规定,情节较轻的,工业和信息化部责令其限期改正。生产企业存在以下行为的,工业和信息化部采取暂停安全检测、撤销通过安全检测等处理措施:
(一)在有效期内,不能持续符合相关标准要求,不能保证通过安全检测的网络关键设备的一致性;
(二)以欺骗、贿赂等不正当手段通过安全检测;
(三)拒不接受或拒不配合工业和信息化部的监督管理;
(四)法律法规规定的其他情形。
第十四条 检测机构违反本办法规定,情节较轻的,工业和信息化部责令其限期改正。检测机构存在以下行为的,工业和信息化部采取暂停采信其检测结果等处理措施:
(一)不按照检测标准要求和工业和信息化部规定执行检测任务;
(二)检测机构及其工作人员存在出具虚假检测数据、结果等弄虚作假行为;
(三)检测机构及其工作人员剽窃或泄露生产企业的技术秘密,或侵犯生产企业知识产权;
(四)法律法规规定的其他情形。
第十五条 个人和组织发现网络关键设备生产企业、检测机构等存在违反相关法律、法规及本办法规定的,有权向工业和信息化部举报。
第五章 附 则
第十六条 本办法自 年 月 日起实施。
声明:本文来自工信部,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。