2021年(nián)11月19日,國家(jiā)網絡安全等級保護工作協調小組辦公室發(fā/fà)布了《關于(yú)撤銷網絡安全等級測評機構推薦證書的公告》,公告指出:自(zì)即日起,國家(jiā)網絡安全等級保護工作協調小組辦公室撤銷網絡安全等級測評機構推薦證書,不再發(fā/fà)布《全國網絡安全等級測評機構推薦目錄》,相關工作納入國家(jiā)認證體系。同時中關村信息安全測評聯盟發(fā/fà)布了關于(yú)啓用(yòng)《網絡安全等級測評與檢測評估機構服務認證證書》的公告,明确了經公安部第三研究所(suǒ)認證發(fā/fà)放的《網絡安全等級測評與檢測評估機構服務認證證書》自(zì)頒發(fā/fà)之日起即可(kě)使用(yòng)。
根據此次發(fā/fà)布的相關通知,一哥針對(duì)大家(jiā)可(kě)能(néng)有疑問的一些問題做了一個小結,僅供大家(jiā)參考,覺得(dé / de / děi)有用(yòng)就(jiù)看看,覺得(dé / de / děi)沒用(yòng)就(jiù)不要(yào / yāo)看了。1、等保測評還要(yào / yāo)不要(yào / yāo)做了?等保測評肯定是還要(yào / yāo)繼續做的,現在隻是測評機構認證納入國家(jiā)認證體系,等級保護制度是《網絡安全法》明确提出的,不會(huì)因爲某一項規定的改變而(ér)廢止。等保測評當然還是找測評機構去(qù)做,目前就(jiù)是找持有經公安部第三研究所(suǒ)認證發(fā/fà)放的《網絡安全等級測評與檢測評估機構服務認證證書》的相關單位。這個目錄見上周發(fā/fà)布的相關文章,同時網絡安全等級保護網也發(fā/fà)布了,具體可(kě)以自(zì)己去(qù)查詢。網絡安全等級測評機構此次是由公安部第三研究所(suǒ)認證發(fā/fà)放的,爲什麽是公安部第三研究所(suǒ)?通知裏(lǐ)明确說了公安部第三研究所(suǒ)是由國家(jiā)認證認可(kě)委員會(huì)批準的認證機構。那(nà)麽未來國家(jiā)認證認可(kě)委員會(huì)會(huì)不會(huì)批準其(qí)他認證機構呢?網絡安全等級測評機構的認證未來會(huì)不會(huì)像ISO9000等認證一樣呢?這些都是未知數,我們拭目以待。但是可(kě)以肯定的是這項工作将會(huì)更加規範化、專業化和社會(huì)化,不然何必這樣改革,4、系統需要(yào / yāo)定級備案去(qù)哪裏(lǐ)?在沒有明确通知的情況下(xià),系統定級備案工作還是去(qù)各地公安機關網安部門去(qù)辦理。這次隻是測評機構認證改革,并沒有涉及到定級備案的事(shì)。系統的定級備案工作由各地公安網安部門負責,所(suǒ)以公安網安部門對(duì)等保工作肯定還是監管的,但是對(duì)測評機構監不監管這個事(shì)不好說,看各地網安部門,可(kě)以肯定的是在測評機構資質這塊與公安網安部門無關,這是國家(jiā)認證認可(kě)委員會(huì)做的事(shì)。目前全國各地測評機構整體以區域測評機構爲主,在本省開展業務,在全國都開展業務的除了電力等特定行(háng / xíng)業,其(qí)他的應該沒有,一部分機構在部分外省開展業務。爲什麽是這樣,各種原因都有,一方面大部分測評機構規模較小,不足以去(qù)外地開展業務;另一方面各地政策不一樣,去(qù)外省開展業務有一定條件限制。當然之前主管部門從來沒有限制過(guò)測評機構去(qù)外地,甚至是想讓更多測評機構走向全國的。那(nà)麽測評機構認證劃到國家(jiā)認證認可(kě)委員來管理認證的話,應該會(huì)有更多測評機構走向外省,走向全國。政策有了,測評機構不知道有沒有準備好。7、安全廠商、集成商能(néng)否直接申請測評機構資質?在之前測評機構的申請要(yào / yāo)求中安全廠商、集成商是不能(néng)參與的,因爲它們一旦參與可(kě)能(néng)會(huì)打破等保測評第三方的公正性。它們參與項目集成,涉及到各類安全産品,如(rú)果再參與等保測評确實不合适。那(nà)麽未來呢?一哥認爲依然不會(huì)允許安全廠商、集成商參與測評機構的申請。就(jiù)像軟件測試機構不能(néng)有軟件産品銷售一樣的道理,測評機構也應當不能(néng)有安全産品的銷售。前文多處提到測評機構認證納入國家(jiā)認證體系,那(nà)麽什麽是國家(jiā)認證體系?通俗點說就(jiù)是由國家(jiā)牽頭的各類認證認可(kě)體系。牽頭的是國家(jiā)認證認可(kě)委員會(huì),國家(jiā)認證認可(kě)委員會(huì)全稱國家(jiā)認證認可(kě)監督管理委員會(huì)。國家(jiā)認證認可(kě)監督管理委員會(huì)是國務院授權的履行(háng / xíng)行(háng / xíng)政管理職能(néng),統一管理、監督和綜合協調全國認證認可(kě)工作的主管機構,爲國家(jiā)市場監督管理總局管理。也就(jiù)是說未來的等保測評機構的認證及管理工作将由國家(jiā)認證認可(kě)監督管理委員會(huì)及國家(jiā)市場監督管理總局來進行(háng / xíng)統一管理。此次測評機構認證的改革對(duì)測評機構行(háng / xíng)業乃至整個網絡安全行(háng / xíng)業的影響到底怎樣,誰也不好說,得(dé / de / děi)看主管部門的進一步動作,開弓沒有回頭箭,做就(jiù)好了,一切都是最好的安排。可(kě)以确定的是測評機構的認證将會(huì)越來越規範,申請的機構也将會(huì)越來越多,未來的測評機構一定也會(huì)越來越多,大的測評機構走向全國也不會(huì)遙遠。随着(zhe/zhuó/zhāo/zháo)測評機構的增多,測評機構之間的競争也必然會(huì)更加激烈。
文章來源:等級保護測評
