2023年第14号

根据《中华人民共和国网络安全法》《中华人民共和国认证认可条例》有关规定，按照《关于调整〈网络关键设备和网络安全专用产品目录〉的公告》（国家网信办、工业和信息化部、公安部、国家认监委2023年第2号公告）要求，国家认监委修订完善了《网络关键设备和网络安全专用产品安全认证实施规则》（见附件，以下称新版规则）。现将有关事项公告如下：

一、新版规则自发布之日起实施。《关于发布网络关键设备和网络安全专用产品安全认证实施规则的公告》（家认监委2018年第28号公告）同时废止。

二、此前已经颁发的有效安全认证证书可继续使用，证书转换工作采取到期换证、产品变更、标准换版等自然过渡的方式完成。

附件：

网络关键设备和网络安全专用产品安全认证实施规则（CNCA-CCIS-2023）

国家认监委

2023年8月8日

1 适用范围

本规则依据《中华人民共和国网络安全法》《中华人民共和国认证认可条例》制定，规定了《网络关键设备和网络安全专用产品目录》中的产品实施认证的基本原则和要求。

本规则适用于国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会等部门发布的网络关键设备和网络安全专用产品。

认证机构应当依据本规则要求编制认证实施细则，并配套本规则共同实施。

2 认证依据标准

网络关键设备认证依据的标准为GB 40050，网络安全专用产品认证依据的标准为GB 42250。

上述标准原则上应当执行最新版本，当需要使用标准的其他版本时，按有关主管部门发布的文件要求执行。

3 认证模式

型式试验 + 获证后监督

4 认证单元划分

原则上，按产品型号/版本划分认证单元。同一认证单元内有多个型号/版本的产品时，需要认证委托人提交型号/版本间的差异说明。

5 认证实施程序

5.1 认证委托

认证机构应当明确认证委托资料要求，至少包括认证委托人信息、产品功能说明书和/或使用手册、安全保障能力文件、同一认证单元中型号/版本的差异说明（适用时）等。

认证委托人应当按认证机构要求提出认证委托，认证机构在对认证委托审核后及时反馈是否受理。

5.2 型式试验

认证机构应当根据认证委托确定型式试验方案，包括型式试验的全部样品要求和数量、检测标准项目、实验室信息等，并告知认证委托人。

实验室应当对型式试验全过程作出完整记录，并妥善管理、保存、保密相关文件，确保检测结果可追溯。型式试验结束后，实验室应当及时向认证机构和认证委托人出具型式试验报告。

5.3 认证结果评价与批准

认证机构对型式试验和相关文件信息进行综合评价，作出认证决定。对符合认证要求的，颁发认证证书并允许使用认证标志；对暂不符合认证要求的，允许认证委托人限期整改，对整改后仍然不符合认证要求的，认证机构不予批准认证委托，认证终止。

5.4 获证后监督

5.4.1 生产企业分类管理

认证机构对获证后监督结论和相关文件信息进行综合评价，作出认证决定。对符合认证要求的，可继续保持认证证书、使用认证标志；不符合的，允许认证委托人限期整改，对整改后仍然不符合认证要求的，认证机构应当根据相应情形作出暂停或者撤销认证证书的处理，停止使用认证标志，并予以公布。

5.5 认证时限

6 认证证书

6.1 认证证书的保持

6.2 认证证书的变更

获证产品、生产者、生产企业等发生变化，或认证要求发生变更时，认证委托人应当向认证机构提出变更委托。

认证机构根据变更的内容，对委托文件进行评价，作出认证决定。

6.3 认证证书覆盖产品的扩展

认证委托人需要扩展已经获得的认证证书覆盖的产品范围时，应当向认证机构提出扩展委托，并提供扩展产品和获证产品之间的差异说明。

认证机构根据扩展的内容，对委托文件进行评价，确认原认证结果对扩展产品的有效性，作出认证决定。

6.4 认证证书的暂停、注销和撤销

认证证书的暂停、注销和撤销依据有关规定执行。在认证证书暂停期间及认证证书注销和撤销后，获证机构不得继续使用证书。

7 认证标志

7.1 认证标志的样式

7.2认证标志的使用

认证标志在使用时可以等比例的放大或缩小，不允许变形。

7.3 加施方式

可以采用统一印制的标准规格标志，或模压、铭牌印刷、软件加施等方式。

7.4 标志位置

硬件产品应当在本体的铭牌附近加施认证标志。

软件产品应当在其软件包装/载体上加施认证标志，如该软件产品不使用包装/载体，则应当在软件使用的许可协议中的显著位置明确该产品已经获得认证。

8 认证实施细则

认证机构应当依据本规则有关要求，细化认证实施程序，制定科学、合理、可操作的认证实施细则，并对外公布实施。

9 认证责任

认证机构应当对其作出的认证结论负责。

实验室应当对其检测结果和检测报告负责。

认证委托人应当对其所提交的认证委托文件及样品的真实性、合法性负责。