信息安全产品不能随便乱买，买错要负法律责任的

随着《网络安全法》的实施， 全国各地相关主管部门在对各类违反《网络安全法》行为进行严厉查处，《网络安全法》实施的一年多来，各地各部门整体对网络安全的认识更深刻，对网络安全的重视程度明显提高。现在很多用户单位都知道需要及时开展等级保护工作，那么在开展等级保护工作的过程中或多或少都要进行安全整改工作，安全整改工作里面可能就会牵涉到安全产品的购买问题。那么如何购买一个合规有保障的安全产品呢？

 

 

我们首先看看《信息安全等级保护管理办法》里面对安全产品相关的要求。在管理办法里的：“第十六条 办理信息系统安全保护等级备案手续时，应当填写《信息系统安全等级保护备案表》，第三级以上信息系统应当同时提供以下材料：（四）系统使用的信息安全产品清单及其认证、销售许可证明；”，这里是明确要求提供信息安全产品清单及其认证、销售许可证明，销售许可证很明确的就是公安部的《计算机信息系统安全专用产品销售许可证》。那么及其认证到底是哪些认证呢？在管理办法21条给出了明确说明：

第二十一条 第三级以上信息系统应当选择使用符合以下条件的信息安全产品：（一）产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民共和国境内具有独立的法人资格；（二）产品的核心技术、关键部件具有我国自主知识产权；（三）产品研制、生产单位及其主要业务、技术人员无犯罪记录； （四）产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能；（五）对国家安全、社会秩序、公共利益不构成危害；（六）对已列入信息安全产品认证目录的，应当取得国家信息安全产品认证机构颁发的认证证书。

 

21条总结下主要要求有：1、要求国内控股且在国内有独立法人资格的单位；2、核心技术、关键部件具有我国自主知识产品；3、单位及主要人员无犯罪记录；4、已列入信息安全产品认证目录的，应当取得国家信息安全产品认证机构颁发的认证证书。前三个要求相对比较容易理解，第四个信息安全认证目录的要经过认证。首先看看哪些信息安全产品需要经过认证，根据国家质检总局 国家认监委2008年第7号公告《关于部分信息安全产品实施强制性认证的公告》公布的：

第一批信息安全产品强制性认证目录

 

 

 

购买以上这些信息安全产品，一定要有国家信息安全产品认证机构颁发的认证证书，那么哪个认证机构颁发的证书是有效的呢？国家认监委公布了信息安全产品强制性认证1家指定认证机构及首批7家指定实验室名单。国家认监委指定中国信息安全认证中心为信息安全产品强制性认证指定认证机构；信息产业部计算机安全技术检测中心、国家保密局涉密信息系统安全保密测评中心、公安部计算机信息系统安全产品质量监督检验中心、国家密码管理局商用密码检测中心、中国信息安全测评中心信息安全实验室、北京信息安全测评中心、上海市信息安全测评认证中心等7家实验室为信息安全产品强制性认证第一批指定实验室。也就是说通过以上7家认证单位之一认证后的信息安全产品才能在三级及以上信息系统里使用。

 

最后总结下：三级及以上信息系统的使用信息安全产品必须要具备：1、公安部销售许可证；2、信息安全产品强制性认证证书；3、国产、核心技术、关键部件具有我国知识产权。

只有同时具有这两个证书的国产信息安全产品，我们才能购买，不然就是给我们日后的工作留下了一定的安全隐患，要负一定法律责任的。不买有要出事，买错也要出事，请各位网络运营者要注意了，不要迷恋国外的产品，自主可控很重要。

 

本文来源：等级测评保护

获取更多网络安全行业资讯，请关注e安在线微信给公众号：