網絡關鍵設備和網絡安全專用產品政府采購怎么采？

網絡關鍵設備和網絡安全專用產品政府采購怎么采？

■ 鄧亞林

隨著全領域數字化轉型深入推進，政府采購網絡產品和信息服務日益增多。與此同時，與網絡設備和安全產品相關的采購也越來越多。

我國網絡安全領域的基本法——《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）于2017年實施。《網絡安全法》第23條明確提出網絡關鍵設備和網絡安全專用產品執行強制認證和檢測制度。2022年1月，隨著第一批網絡關鍵設備和網絡安全專用產品認證和檢測結果發布，該制度正式落地，為國家網絡安全產業蓬勃發展提供了有力的保障。

網絡關鍵設備和網絡安全專用產品認證和檢測制度成功落地運行后，網絡關鍵設備和安全專用產品生產和銷售都有了明確可行的強制性標準。采購符合《網絡安全法》第二十三條規定的網絡關鍵設備和網絡安全專用產品，發揮采購調控功能，督促網絡關鍵設備和網絡安全專用產品企業持續做好產品和服務，引領國家網絡安全產業高質量發展，是政府采購的重要職能。

政府采購涉及相關產品時該如何采購？如何按照《網絡安全法》第23條的規定，在采購相應的產品時提出明確的實質性要求？這需要我們深入了解《網絡安全法》并在理解的基礎上，在政府采購活動中進一步落實。

    何為網絡關鍵設備和網絡安全專用產品？

為了厘清網絡關鍵設備和網絡安全專用產品的概念，筆者對網絡關鍵設備和網絡安全專用產品認證和檢測制度的發展過程進行了梳理。

2016年11月，《網絡安全法》頒布，從系統安全、產品和服務安全、數據安全以及網絡安全監測評估等方面出臺了近二十項配套制度，其第23條規定，網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷售或者提供。

網絡關鍵設備和網絡安全專用產品是國家網絡安全建設的基礎核心設備，其安全性至關重要。從法律層面建立強制安全認證和安全檢測制度，是國家保障網絡安全總體質量、實現網絡安全監管的必要手段。但要落實這一制度，還需具備三個關鍵要素：實施范圍、實施主體和實施依據。

    明確制度實施范圍、實施主體及實施依據

2017年6月，國家互聯網信息辦公室會同工業和信息化部、公安部、國家認證認可監督管理委員會等（以下簡稱四部門）部門聯合制定并發布了《網絡關鍵設備和網絡安全專用產品目錄（第一批）》，將4類網絡關鍵設備和11類網絡安全專用產品納入安全認證和安全檢測對象。4類網絡關鍵設備包括指定參數范圍內的路由器、交換機、服務器（機架式）、可編輯邏輯控制器（PLC設備），11類網絡安全專用產品包括指定參數范圍內的數據備份一體機、防火墻（硬件）、WEB應用防火墻（WAF）、入侵檢測系統（IDS）、入侵防御系統（IPS）、安全隔離與信息交換產品（網閘）、反垃圾郵件產品、網絡綜合審計系統、網絡脆弱性掃描產品、安全數據庫系統、網站恢復產品（硬件）。

總體而言，第一批目錄內產品主要涵蓋系統組網所必須的信息技術基礎設施，是實現國家安全和社會管理的基本需要，也是保障工業互聯網安全的主要對象。該目錄目前只發布了第一批，后續還會新增其他關系國家安全和社會管理的基本需要的網絡產品。

2018年3月，四部門公布了《關于發布承擔網絡關鍵設備和網絡安全專用產品安全認證和安全檢測任務機構名錄（第一批）的公告》，確定了第一批有資格承擔安全認證和安全檢測任務的機構。

同年5月，國家認證認可監督管理委員會和國家互聯網信息辦公室聯合發布《關于網絡關鍵設備和網絡安全專用產品安全認證實施要求的公告》，進一步明確了為安全認證機構提供檢測服務的實驗室名錄。

2018年7月，中國國家認證認可監督管理委員會發布《網絡關鍵設備和網絡安全專用產品安全認證實施規則（CNCA-CCIS-2018）》，為安全認證的實施提供了依據。

2021年8月，國家市場監督管理總局（國家標準化管理委員會）發布《網絡關鍵設備安全通用要求》（GB 40050-2021），為網絡關鍵設備安全認證和安全檢測提供了統一規范。

截至筆者發稿，經在全國標準信息公共服務平臺查詢，網絡安全專用產品強制性國家標準《信息安全技術 網絡安全專用產品安全技術要求》已進入批準流程，發布時間指日可待。

2022年1月，為解決網絡安全重復檢測、重復認證問題，實現安全認證和安全檢測結果互認。四部門聯合發布《關于統一發布網絡關鍵設備和網絡安全專用產品安全認證和安全檢測結果的公告》。該公告還附上了首批網絡關鍵設備和網絡安全專用產品安全認證和安全檢測結果，該結果的發布，意味著強制認證和檢測制度從制度設立到配套建設到成果落地，實現了制度閉環。

截至目前，最新的網絡關鍵設備和網絡安全專用產品安全認證和安全檢測結果2022年在9月29日發布。網絡關鍵設備和網絡安全專用產品認證和檢測制度已經有效運行，為國家全面推進國家網絡安全認證檢測工作，促進網絡安全產業高質量發展起到了有力的推動作用。

在政府采購活動中如何落實

回到政府采購實務中，如何落實《網絡安全法》第23條的強制性規定呢？

筆者認為，首先，若采購標的屬于《網絡關鍵設備和網絡安全專用產品目錄》中的設備或產品，則應在政府采購文件中將產品具備安全認證或安全檢測作為實質性要求。需要提醒的是，根據《關于統一發布網絡關鍵設備和網絡安全專用產品安全認證和安全檢測結果的公告》的規定，所有認證和檢測結果均會統一在網上發布，基于優化營商環境及優化政府采購活動辦事程序的要求，采購文件可要求提供認證或檢測結果的查詢網址作為替代，以便評審委員會評審時在線查詢。

其次，根據《中華人民共和國計算機信息系統安全保護條例》第十六條和《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》規定，網絡關鍵設備和網絡安全專用產品同時也屬于計算機信息系統安全專用產品，因此還需將產品具備《計算機信息系統安全專用產品》作為實質性條款。

最后，《網絡關鍵設備和網絡安全專用產品目錄》中的多個產品同時也屬于實行強制性認證的國家信息安全專用產品，如服務器安全隔離與信息交換產品、網絡脆弱性掃描產品、入侵檢測系統等。根據《關于信息安全產品實施政府采購的通知》的要求，還應當將產品具備有效的國家信息安全產品認證作為實質性條款。

當然，以上要求僅針對采購網絡關鍵設備和網絡安全專用產品，若采購項目中還涉及其他國家強制性的規定，還應同步執行。

（作者單位：四川國際招標有限責任公司）

法規鏈接

1.《中華人民共和國網絡安全法》

第二十三條：網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷售或者提供。國家網信部門會同國務院有關部門制定、公布網絡關鍵設備和網絡安全專用產品目錄，并推動安全認證和安全檢測結果互認，避免重復認證、檢測。

2.《關于統一發布網絡關鍵設備和網絡安全專用產品安全認證和安全檢測結果的公告》

國家互聯網信息辦公室會同工業和信息化部、公安部、國家認證認可監督管理委員會統一發布網絡關鍵設備和網絡安全專用產品安全認證和安全檢測結果（以下簡稱認證和檢測結果），對經具備資格的機構安全認證或檢測，符合相關國家標準強制性要求的產品予以公布。

認證和檢測結果通過中國網信網、工業和信息化部網站、公安部網站和認監委網站同步公布和更新。

3.《中華人民共和國計算機信息系統安全保護條例》

第十六條：國家對計算機信息系統安全專用產品的銷售實行許可證制度。具體辦法由公安部會同有關部門制定。

4.《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》（公安部令第32號）

第二條：本辦法所稱計算機信息系統安全專用產品, 是指用于保護計算機信息系統安全的專用硬件和軟件產品。

第三條：中華人民共和國境內的安全專用產品進入市場銷售, 實行銷售許可證制度。安全專用產品的生產者在其產品進入市場銷售之前, 必須申領《計算機信息系統安全專用產品銷售許可證》。

5.《財政部關于信息安全產品實施政府采購的通知》 （財庫【2010】48號）

一、各級國家機關、事業單位和團體組織（以下統稱采購人）使用財政性資金采購信息安全產品的，應當采購經國家認證的信息安全產品。

二、在政府采購活動中，采購人或其委托的采購代理機構按照政府采購法的規定，在政府采購招標文件（包括談判文件、詢價文件）中應當載明對產品獲得信息安全認證的要求，并要求產品供應商提供由中國信息安全認證中心按國家標準認證頒發的有效認證證書。

三、對采購人或其委托的采購代理機構未按上述要求采購的，有關部門要按照有關法律、法規和規章予以處理，財政部門視情況可以拒付采購資金。

本報擁有此文版權，若需轉載或復制，請注明來源于中國政府采購報，標注作者，并保持文章的完整性。否則，將追究法律責任。