强制性国家标准《网络关键设备安全通用要求》发布:网络关键设备合规要点行业动态新闻资讯

899 916

鉴于网络关键设备的特殊性,识别网络产品是否属于网络关键设备就成为了关键性的第一步。

早在2017年6月《网络安全法》生效伊始,国家互联网信息办公室、工信部、公安部、国家认证认可监督管理委员会就联合发布了《网络关键设备和网络安全专用产品目录(第一批)》:

设备或产品类别

范围

1.路由器

整系统吞吐量(双向)≥12Tbps

整系统路由表容量≥55万条

2.交换机

整系统吞吐量(双向)≥30Tbps

整系统包转发率大于等于10Gpps

3.服务器(机架式)

CPU数量≥8个

单CPU内核数≥14个

内存容量≥256GB

4.可编程逻辑控制器(PLC设备)

尽管四部委公布了目录,但目录中同一产品范围项下的不同门槛是“和”还是“或”并不清晰,需要实践中逐渐予以明确。另外随着技术的发展,后续四部委可能还会就网络关键设备和网络安全专用产品目录进行更新或扩充。

关于《网络关键设备和网络安全专用产品目录》的效力,在“张鑫、陈天明、张朝荣等提供侵入、非法控制计算机信息系统程序、工具案”中((2018)浙0602刑初101号),浙江省绍兴市越城区人民法院进行过认定:

网络关键设备遵守国家强制性标准是一项重要的法律义务,《网络安全法》第23条明确规定:

概言之,网络关键设备的销售需要遵循以下流程:

《密码法》第26条也规定:

涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定,避免重复检测认证。

商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。

可见,后续网络关键设备和网络安全专用产品目录的更新,可能会将更多的商用密码产品列入其中。

在《网络关键设备安全通用要求》中主要分为“安全功能要求”与“安全保障要求”两个大类:

在合规的角度,《网络关键设备安全通用要求》不仅是开发工作中的具体要求,也可以作为合规工作中需要逐一勾选的清单。

明示维护内容、风险以及应对措施;

留存不可更改的远程维护日志记录;

支持用户中止远程维护。

网络关键设备的销售,除了符合强制性国家标准《网络关键设备安全通用要求》,还需要通过安全认证。早在2018年6月,国家认证认可监督管理委员会就发布了《网络关键设备和网络安全专用产品安全认证实施规则》。该规则将认证模式分为型式试验、工厂检查与获证后监督三个阶段:

型式试验采取抽检模式,一般每种产品抽样2套,如有特殊需求会增加样品数量。

获证后监督通常会以每年一次的频率进行,并且可能采取“飞行检查”的模式在不提前通知的情况下进行抽检。

设备通过安全认证以后,可以获得认证证书,有效期为5年。在通过认证产品的本体铭牌应加施认证标志,如果是软件产品,则应当在软件外包装或《许可协议》中显著加施使用标注:

根据2018年6月发布的《网络关键设备和网络安全专用产品安全认证和安全检测任务的机构名录(第一批)》,目前可以承担网络关键设备安全认证和安全检测任务机构包括:

机构名称

网址

中国信息安全认证中心

www.isccc.gov.cn

中国信息通信研究院/中国泰尔实验室

www.caict.ac.cn

国家计算机网络与信息安全管理中心

www.cert.org.cn

国家工业控制系统与产品安全质量监督检验中心

www.etiri.org.cn

中国电子技术标准化研究院赛西实验室

www.cesi.cn

工业和信息化部电子第五研究所

www.ceprei.com

信息产业数据通信产品质量监督检验中心

www.chinawllc.com

www.fritt.com.cn

信息产业无线通信产品质量监督检验中心

www.radio-qtc.com

信息产业有线通信产品质量监督检验中心

www.cdtr-lab.cn

信息产业光通信产品质量监督检验中心

lab.wri.com.cn

www.mctc.org.cn

根据我们的经验,网络关键设备合规工作可以从以下几方面入手:

在此基础上,跟踪《网络关键设备和网络安全专用产品目录》的更新情况,一旦目录更新,及时调整自身的合规目录。

对于网络关键设备生产者,需要从设计环节伊始,就将国家标准的要求嵌入产品中。在功能与形式上达到国家标准的要求,并且通过文件让产品的合规性可以被验证。

对于网络关键设备生产者,通过安全认证是不可或缺的环节,需要及时申请、完成认证。在完成认证后,还应当在产品铭牌、包装或用户协议等合适位置准确进行标识。

除了应当完成安全认证并准确标识,网络关键设备生产者还应当做好安全认证通过后应对“飞行检查”的准备工作。网络关键设备生产者可以通过演练模拟飞行检查,帮助从前台接待到生产现场的每个环节做好准备,形成预案。

史宇航:法学博士,执业律师,注册信息安全专业人员(CISP),注册信息隐私管理人员(CIPM),汇业律师事务所顾问律师。主要执业方向是网络安全与数据保护。

THE END

法律的强制性规定是什么

强制性国家标准《网络关键设备安全通用要求》发布:网络关键设备合规要点行业动态新闻资讯

强制性规范在我国的适用研究理论前沿

最高法:建设工程借用资质的行为违反了法律的强制性规定,被挂靠方要求挂靠方支付挂靠费等无法律依据

民事法律行为的种类范文

法律具有强制性和权威性,是硬要求;道德具有感召力和引导力,是软约束,在国家治理上公考题库

个人信息保护法实施一周年汉盛个人数据保护的法律与合规百问百答(二)汉盛研究

什么是法律法规的强制性规定(什么是法律法规强制性规定)碳链

节能减排技术范文

君合海外投建营系列——境外投资中的国别法律尽调(上)

强制性的定义是什么?它在法律法规中有什么作用?基金频道

YY安全中心APP隐私权保护政策

法律规定的分类

未经全项检验的药品所涉法律责任探析法眼法语人文荟萃律师文化

1.宪法宣传周丨依法治国必须宪法至上不仅要明确宪法监督的对象、范围、方式等,而且要将监督的原则性要求具体化、程序化,使宪法监督更规范、更有效。其中重要的内容和环节就是合宪性审查,对规范性文件备案审查,各级人大及其常委会要切实将依法撤销和纠正违宪违法规范性文件的职权行使到位,做到“有件必备,有备https://mp.weixin.qq.com/s?__biz=MzI1NzgwODkxMg==&mid=2247523857&idx=4&sn=c352fcfd19c0ca31704d5b216c31a913&chksm=eb1db108024b5deef0c95456240810ebe2d65ff2c01513fb3eeb14685e0c80f878a6e948b4b2&scene=27
2.合同效力性强制性规定的判断标准我国《合同法》第五十二条第(五)项规定:“违反法律、行政法规的强制性规定的合同无效。”《最高人民法院关于适用〈中华人民共和国合同法〉若干问题的解释(二)》第十四条规定:“合同法第五十二第(五)项规定的‘强制性规定’,是指效力性强制性规定。”由此可见,只有违反法律、行政法规的效力性强制性规定的合同才无效https://www.chinacourt.org/article/detail/2011/12/id/470299.shtml
3.“法律程序的要求或强制性的政府要求”–隐私权和条款–Google“法律程序的要求或强制性的政府要求” 示例Google 与其他技术公司和通信公司一样,经常会有世界各地的政府和法院要求我们提供用户数据。我们非常重视用户储存在 Google 的数据的隐私权和安全性,因此我们对遵循这些法律要求有自己的方法。无论是何种类型的要求,我们的法律团队都会逐一进行审核。如果相应要求过于宽泛或不符https://policies.google.cn/privacy/example/legal-process?hl=zh-CN
4.管理学法律方法的运用同时,法律方法以严格的规范去处理问题,使人们习惯于在允许和禁止中作简单选择,容易导致人们思想僵化,使管理主体和被管理者的主动性受到抑制。另外,法律方法无法解决思想认识问题,只规范人们可以做什么、不能做什么,而一般并不提供可以做或不可以做的理由和根据。因此,它只能用强制力去要求人们自我抑制不合法行为,而https://www.qinxue365.com/HRP/459494.html
5.NISP一级1.2网络安全法律法规多级立法机制及相关职能(五)法律、行政法规规定的其他义务。 网络产品、服务应当符合相关国家标准的强制性要求 网络关键设备和网络安全专用产品 符合相关国家标准的强制性要求 具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。 网络运营者责任 使命服务:提供服务前要求用户实名 https://blog.csdn.net/qq_40785722/article/details/123151383
6.强制性标准的法律地位该案一、二审法院不同的判决理由与结论,表明了法官们对强制性标准在司法裁判中的适用存在着不同的理解。具体地,前者认为被告对产品的标注符合了强制性标准即履行了法律规定的义务,不构成对原告权益的损害;后者认为被告的行为虽然符合了强制性标准的要求,但并未充分履行法律规定的义务,不足以保护消费者的知情权,https://china.findlaw.cn/xfwq/xiaofeiweiquanlunwen/65879.html
7.2022网络安全运营服务机制及网络反诈应对报告(2)法定培训对象和法定培训学时的要求: 《安全生产法》法定强制性培训对象为企业主要负责人和各副职领导、部门负责人、特殊工种从业人员,均要求通过培训考试持证上岗履职,首次参加培训32学时,每年再教育培训12学时;从业人员接受安全培训。由于各级人员对法制观念、法律法规的认识,因人而异,差异较大,这是事故隐患发生的https://www.rbc.cn/shangxun/2022-12/14/cms1357811article.shtml
8.隐私政策(1)账号注册:依据法律法规及监管要求,当使用智慧云按揭注册智慧云按揭账号时,我们会收集您的姓名、手机号、公司名称。若您为合作方管理员用户或合作方巡视员用户,由招商银行当地分行权限管理人员于行内系统为您完成外部管理员或外部巡视员用户注册;若您为普通用户,由您所属企业的管理员于智慧云按揭PC端为您完成智慧云http://market.cmbchina.com/MPage/online/230425103736673/yunanjie.htm
9.强制性法律规定汇总效力强制性规定与管理性强制性规定之区分管理法》第三十八条关于土地转让时投资应达到开发投资总额25%的规定,是对土地使用权转让合同标的物设定的于物权变动时的限制性条件,转让的土地未达到25%以上的投资,属合同标的物的瑕疵,并不直接影响土地使用权转让合同的效力,《城市房地产管理法》第三十八条中的该项规定,不是认定土地使用权转让合同效力的法律强制性https://www.shangyexinzhi.com/article/4939688.html
10.隐私权政策基于法律、法律程序、诉讼或政府主管部门强制性要求的情况下,我们可能会向有权机关披露您的个人信息。但在上述情况发生时,我们会要求披露请求方出具与之相应的有效法律文件,并对被披露的信息采取符合法律和业界标准的安全防护措施。 (五)共享、转让、公开披露个人信息时征得授权同意的例外 https://app.haiercash.com/static/agreement/PrivacyAgreement.html
11.2024法学考研必背考点:法律规范的种类1、授权性规范:规定人们可以作出一定的行为,或要求他人作出或不作出某种行为的规范。 2、义务性规范:规定人们必须依法作出一定行为的法律规范。 3、禁止性规范:禁止人们作出某种行为或者必须抑制一定行为的法律规范。 (二)强制性规范、任意性规范 1、强制性规范:义务性要求十分明确、人们必须履行、不允许人们以任何方式https://www.gaodun.com/kaoyan/1472891.html
12.论中国《法律适用法》中的“强制性规定”《中华人民共和国涉外民事关系法律适用法》第4条在中国国际私法立法史上第一次明确规定了强制性规定的适用,该条所谓的“法律”并不要求强制性规定必须来自法律与行政法规,但最高人民法院的司法解释明确规定该条中的“强制性规定”一般来自法律与行政法规。尽管如此,我国法院仍然可以利用两个途径考虑地方法规、行政规章和https://journal.ecupl.edu.cn/wap/ch/reader/view_abstract.aspx?file_no=201502013%20