一、引言

项目中经常会碰到各类产品认证证书，根据中国网络安全审查技术与认证中心（CCRC）官网公布的产品认证包括：《网络关键设备和网络安全专用产品安全认证》、《国家信息安全产品认证》、《IT产品信息安全认证》、《中国强制性产品认证（CCC）》等11类，详见：https://www.isccc.gov.cn/zxyw/cprz/index.shtml

注：中国网络安全审查技术与认证中心（CCRC）原名为中国信息安全认证中心（ISCCC），2018年4月完成更名。

除了CCRC的信息安全产品认证，本期还对项目中经常遇见的公安部、国家保密局、国家密码管理局等机构的认证进行介绍，本期主要介绍的认证证书如下：

1.《计算机信息系统安全专用产品销售许可证》
2.《网络关键设备和网络安全专用产品认证证书》
3.《中国国家信息安全产品认证证书》
4.《IT产品信息安全认证证书》
5.《商用密码产品认证证书》
6.《涉密信息系统产品检测证书》
7.《军用信息安全产品认证证书》

上述各种证书的背景和发展是什么？有何法律法规依据？认证依据标准是什么？证书颁发机构有哪些？哪些认证是强制的？哪些认证是自愿的？不同证书之间又有何关系？本次花一些时间专门研究一下。

二、《计算机信息系统安全专用产品销售许可证》

根据网信办、工信部、公安部、财政部、认监委五部门联合发布《关于调整网络安全专用产品安全管理有关事项的公告》第二条规定：自2023年7月1日起，停止颁发《计算机信息系统安全专用产品销售许可证》。
因此销售许可证要寿终正寝、退出历史舞台了，但鉴于部分产品《销售许可证》仍在有效期内，项目运作过程中可能仍会遇到，因此还是写了本内容，对销许历史不感兴趣的小伙伴可以直接略过本章节。

2.1 背景

上世纪90年代，计算机和互联网开始在国内普及，病毒传播等引起人们对信息安全的高度关注。于是：

1994年2月，中华人民共和国国务院令第147号发布《中华人民共和国计算机信息系统安全保护条例》，《条例》第十六条规定：国家对计算机信息系统安全专用产品的销售实行许可证制度。

1997年12月，公安部令第32号发布《计算机信息系统安全专用产品检测和销售许可证管理办法》，《办法》第二条明确了计算机信息系统安全专用产品的范围；第三条再次明确对安全专用产品实行销售许可制度，强调安全专用产品必须取得《销售许可证》才能进入市场销售；第五条则规定由公安部计算机管理监察部门负责《销售许可证》的审批颁发，以及安全专用产品功能检测机构的审批工作。

2.2 法律法规依据

国务院第147号令第十六条、公安部第32号令，明确规定安全专用产品必须要取得《计算机信息系统安全专用产品销售许可证》才能进入市场销售。虽然销售许可证要退出历史舞台了，但是在有效期内的《销售许可证》可继续使用，可作为进入市场销售的凭证依据。

2.3 检测机构

根据公安部网站公布的最新（2018年06月25日 公布）检测机构名单，中国信息安全认证中心、公安部计算机信息系统安全产品质量监督检验中心、公安部安全与警用电子产品质量检测中心、国家计算机病毒应急处理中心计算机病毒防治产品检验实验室、信息产业信息安全测评中心共5家单位具备检测资质，可以承担安全专用产品检测任务。

2.4 检测依据

为避免混淆，这里暂时不对《安全专用产品检测结果报告》的检测依据进行说明解释。

2.5 认证流程

1.产品检测：厂商准备好样品和相关材料，送交至检测机构进行产品检测；
2.申请办证：厂商准备好《安全专用产品检测结果报告》和相关材料，送交至公安部计算机管理监察部门备案审核；
3.审批发证：颁发《计算机信息系统安全专用产品销售许可证》。

2.6 证书样本

三、《网络关键设备和网络安全专用产品安全认证证书》

3.1 背景

2017年6月，国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会联合发布的《关于发布〈网络关键设备和网络安全专用产品目录（第一批）〉的公告》（2017年第1号）。

2023年7月，依据《中华人民共和国网络安全法》，国家互联网信息办公室会同工业和信息化部、公安部、国家认证认可监督管理委员会等部门更新了《网络关键设备和网络安全专用产品目录》，自印发之日起施行。

更新的《网络关键设备和网络安全专用产品目录》包含4类网络关键设备和34类网络安全专用产品。

具体目录见：http://www.cac.gov.cn/2023-07/03/c_1690034742530280.htm

3.2 法律法规依据

1.《网络安全法》第二十三条明确规定网络关键设备和网络安全专用产品应当按照国家标准的强制要求，通过安全认证合格或者安全检测符合要求后，方可销售或者提供。

注意：安全认证和安全检测具有同等市场准入效力，有其中之一即可，产品生产者不必重复申请。。

2.公安部2023年第1号《关于调整网络安全专用产品安全管理有关事项的公告》，第一条明确了列入《网络关键设备和网络安全专用产品目录》的网络安全专用产品需要通过安全认证合格或者安全检测符合要求后，方可销售或者提供。

3.3 检测机构

截止发稿，《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录》（第一批）只发布一版，详见：http://www.cac.gov.cn/2022-01/28/c_1644970499612271.htm

3.4安全认证和安全检测依据标准

网络关键设备依据GB 40050-2021《网络关键设备安全通用要求》强制性国家标准开展安全认证和安全检测。

网络安全专用产品依据GB 42250-2022《信息安全技术 网络安全专用产品安全技术要求》强制性国家标准开展安全认证和安全检测。
认证检测过程中也将参考与之相配套的、针对具体产品类别的国家标准。全国信息安全标准化技术委员会已发布一系列具体产品类别的国家标准，如GB/T 20281-2020《信息安全技术 防火墙安全技术要求和测试评价方法》、GB/T 20275-2021《信息安全技术 网络入侵检测系统技术要求和测试评价方法》、GB/T 28451-2012《信息安全技术 网络型入侵防御产品技术要求和测试评价方法》、GB/T 30282-2013《信息安全技术 反垃圾邮件产品技术要求和测试评价方法》、GB/T 20278-2022《信息安全技术 网络脆弱性扫描产品安全技术要求和测试评价方法》等。

3.5 认证流程

在产品功能和性能满足条件的情况下，《网络关键设备和网络安全专用产品安全认证》《中国国家信息安全产品认证证书》两张证书可以同一产品同时认证同时发证

3.5 证书样本

3.5.1 检测证书样本

网络安全专用产品安全检测证书样本（以公安三所证书为例）

网络关键设备安全检测证书样本（以中国信通院证书为例）

3.5.2 认证证书样本

（在产品功能和性能满足条件的情况下，《网络关键设备和网络安全专用产品安全认证》《中国国家信息安全产品认证证书》两张证书可以同一产品同时认证同时发证。）

四、《中国国家信息安全产品认证证书》

4.1 背景

首先介绍下CCC的背景，2001年，中国加入世贸的背景下CCC认证制度被确立，CCC全称为China Compulsory Certification（中国强制认证）。它是为保护消费者人身安全加强产品质量管理、依照法律法规实施的一种产品合格评定制度。首批《CCC产品强制认证目录》包含19类132种产品。

2008年，国家质检总局 国家认监委2008年第7号公告《关于部分信息安全产品实施强制性认证的公告》。要求列入《第一批信息安全产品强制性认证目录》的信息安全产品，必须取得强制性产品认证证书，方可出厂销售。

2009年，国家认监委2009年第33号发布《关于调整信息安全产品强制性认证实施要求的公告》。该《公告》对2008年第7号进行修订，主要有两方面：
1.强制认证日期由2009年5月1日，延期至2010年5月1日；
2.在政府采购法规定范围内强制实施（相当于缩小了强制范围）。

2010年，财政部、工信部等部门联合发布 财库〔2010〕48号《财政部 工业和信息化部 质检总局 认监委关于信息安全产品实施政府采购的通知》。
财库〔2010〕48号相当于对国家认监委2009年第33号中的“在政府采购法规定范围内强制实施”进行具像化解释。

2023年，公安部、网信办、工信部等多部门联合发布2023年第1号《关于调整网络安全专用产品安全管理有关事项的公告》。自2023年7月1日起，停止执行国家认监委2009年第33号、财库〔2010〕48号。这意味着2023年7月1日后《中国国家信息安全产品认证证书》不再是强制认证的证书了。

4.2 法律法规要求

由于2023年4月12日发布的《关于调整网络安全专用产品安全管理有关事项的公告》，2023年7月1日后，《中国国家信息安全产品认证证书》不再是强制认证证书了。

4.3 检测和认证机构

中国网络安全审查技术与认证中心（CCRC）是唯一指定为国家信息安全产品认证机构，负责实施国家信息安全产品认证。获得国家信息安全产品认证证书的产品表明其符合相应的信息安全规范和标准要求。

4.4 认证依据和标准

《中国国家信息安全产品认证证书》的检测和认证依据在2009年第33号发布《关于调整信息安全产品强制性认证实施要求的公告》附件中有。详见：https://www.cnca.gov.cn/hlwfw/ywzl/zyxcprz/zyxcprzjg/xxaqcp/art/2023/art_9d303cade66547c49f8ad8d96a6675fe.html

4.5 证书样本

五、《IT产品信息安全认证证书》

5.1背景

对于没有列入《网络关键设备和网络安全专用产品目录》，如需依据认证规则进行产品安全性认证，则可申请《IT产品信息安全认证证书》。
根据CCRC官网显示，《IT产品信息安全认证证书》分为工控产品认证、物联网终端产品认证、评估保障级（EAL）等6种类别。

5.2法律法规要求

无

5.3 检测和认证机构

中国网络安全审查技术与认证中心（CCRC）开展的IT产品信息安全认证业务，是依据信息技术安全评估准则和相关技术要求，对IT产品的安全性进行评价，旨在保护用户信息安全，维护用户利益。生产企业的IT产品获得信息安全认证证书，表明该产品符合相应的标准和技术要求。

5.4认证依据

依据相关产品对应的国家标准，或 GB/T 18336 《信息技术 安全技术 信息
技术安全评估准则》及技术规范等。
具体产品依据标准列表详见：CCRC-SL-001《IT 产品信息安全认证依
据标准 一般产品》（https://www.isccc.gov.cn/images/zxyw/cprz/zyxcprz/cprzyw/qtitcprz/cpyjbzlb/2023/03/03/0F9D20A908C01464A1BDFCD868AC2758.pdf）。

5.5证书样本

六、《商用密码产品认证证书》

6.1 背景

2020年1月1日，《中华人民共和国密码法》正式施行。第二十五条规定厂商自愿接受商用密码检测认证。第二十六条规定涉及国家安全、国计民生、社会公共利益的商用密码产品，应当依法列入《网络关键设备和网络安全专用产品目录》，并由具备资格的机构检测认证合格后，方可销售或者提供。

虽然从《密码法》条款中我们知道《商用密码产品认证证书》是自愿认证的，但是对特定商用密码产品（应用在涉及国家安全、国计民生、社会公共利益领域的商密产品），应答实行强制性检测认证，由商密检测机构认证合格后方能销售或者提供。各厂商为了提升产品竞争力，还是比较愿意去申请《商用密码产品认证证书》的。

注：新的《中华人民共和国密码法》实施后，原《商用密码产品型号证书》转为《商用密码产品认证证书》，详见：国家密码管理局、市场监管总局《关于调整商用密码产品管理方式的公告》http://www.sca.gov.cn/sca/xwdt/2019-12/30/content_1057372.shtml

2023年4月，中华人民共和国国务院令第760号《商用密码管理条例》发布。第二十条、第二十一条对《商用密码产品认证证书》做出如下规定，内容与上文中《密码法》第二十五条、第二十六条基本一致，不再赘述。

《商用密码管理条例》第二十条、第二十一条：

6.2 法律法规要求

1.《中华人民共和国密码法》第二十五条：鼓励商用密码从业单位自愿接受商用密码检测认证，提升市场竞争力；第二十六条：涉及国家安全、国计民生、社会公共利益的商用密码产品，应当依法列入网络关键设备和网络安全专用产品目录，由具备资格的机构检测认证合格后，方可销售或者提供。
2.国务院令第760号《商用密码管理条例》第二十条、第二十一条。

6.3 检测和认证机构

1.检测机构：国家密码管理局商用密码检测中心、鼎铉商用密码测评技术（深圳）有限公司、智巡密码（上海）检测技术有限公司、豪符密码检测技术（成都）有限责任公司共4家（每家检测业务范围不一样，详见：https://service.scctc.org.cn/rzyww/ywbl/wyd/c08649e66a7945b09983d8661e1001f2.html）
2.认证机构：国家密码管理局商用密码检测中心

6.4 检测和认证依据

国家密码管理局、市场监督管理总局先后于2020年5月9日发布《商用密码产品认证目录(第一批)》《商用密码产品认证规则》，2022年7月14日发布《商用密码产品认证目录（第二批）》，共计28类商密产品。厂商可以按照商密产品种类申请商密证书。

6.5 认证流程

6.6 认证等级

Q：哪些产品涉及等级认定？
A：市场监管总局和国家密码管理局发布的《商用密码产品认证目录》明确规定了密码模块标准适用的密码产品类型，其他产品(如安全芯片，密码系统类产品等)则不依据密码模块标准进行检测和认证。需要注意的是，虽然密码系统类产品(如电子门禁系统、CA/KM系统、电子签章系统等) 不适用于密码模块标准，但作为系统组件的密码产品(如密码机、密码卡等) 则适用于密码模块标准，也需要在密评时依据这些密码产品的密码模块安全等级进行判定。

Q：为什么要进行登记认定？
A：不等密码应用等级的系统，对其使用的密码产品等级要求是不一样的。GB/T 39786-2021中对采用的密码产品，是有相应等级要求的。如第三级密码应用基本要求使用二级以上密码产品，如下图所示。

6.7 证书样本

七、《涉密信息系统产品检测证书》

7.1 背景

7.1 产品检测流程