2021年11月19日,國家網絡安全等級保護工作協調小組辦公室發布了《關于撤銷網絡安全等級測評機構推薦證書的公告》,公告指出:自即日起,國家網絡安全等級保護工作協調小組辦公室撤銷網絡安全等級測評機構推薦證書,不再發布《全國網絡安全等級測評機構推薦目錄》,相關工作納入國家認證體系。同時中關村信息安全測評聯盟發布了關于啟用《網絡安全等級測評與檢測評估機構服務認證證書》的公告,明確了經公安部第三研究所認證發放的《網絡安全等級測評與檢測評估機構服務認證證書》自頒發之日起即可使用。
根據此次發布的相關通知,一哥針對大家可能有疑問的一些問題做了一個小結,僅供大家參考,覺得有用就看看,覺得沒用就不要看了。等保測評肯定是還要繼續做的,現在只是測評機構認證納入國家認證體系,等級保護制度是《網絡安全法》明確提出的,不會因為某一項規定的改變而廢止。等保測評當然還是找測評機構去做,目前就是找持有經公安部第三研究所認證發放的《網絡安全等級測評與檢測評估機構服務認證證書》的相關單位。這個目錄見上周發布的相關文章,同時網絡安全等級保護網也發布了,具體可以自己去查詢。網絡安全等級測評機構此次是由公安部第三研究所認證發放的,為什么是公安部第三研究所?通知里明確說了公安部第三研究所是由國家認證認可委員會批準的認證機構。那么未來國家認證認可委員會會不會批準其他認證機構呢?網絡安全等級測評機構的認證未來會不會像ISO9000等認證一樣呢?這些都是未知數,我們拭目以待。但是可以肯定的是這項工作將會更加規范化、專業化和社會化,不然何必這樣改革,在沒有明確通知的情況下,系統定級備案工作還是去各地公安機關網安部門去辦理。這次只是測評機構認證改革,并沒有涉及到定級備案的事。系統的定級備案工作由各地公安網安部門負責,所以公安網安部門對等保工作肯定還是監管的,但是對測評機構監不監管這個事不好說,看各地網安部門,可以肯定的是在測評機構資質這塊與公安網安部門無關,這是國家認證認可委員會做的事。目前全國各地測評機構整體以區域測評機構為主,在本省開展業務,在全國都開展業務的除了電力等特定行業,其他的應該沒有,一部分機構在部分外省開展業務。為什么是這樣,各種原因都有,一方面大部分測評機構規模較小,不足以去外地開展業務;另一方面各地政策不一樣,去外省開展業務有一定條件限制。當然之前主管部門從來沒有限制過測評機構去外地,甚至是想讓更多測評機構走向全國的。那么測評機構認證劃到國家認證認可委員來管理認證的話,應該會有更多測評機構走向外省,走向全國。政策有了,測評機構不知道有沒有準備好。在之前測評機構的申請要求中安全廠商、集成商是不能參與的,因為它們一旦參與可能會打破等保測評第三方的公正性。它們參與項目集成,涉及到各類安全產品,如果再參與等保測評確實不合適。那么未來呢?一哥認為依然不會允許安全廠商、集成商參與測評機構的申請。就像軟件測試機構不能有軟件產品銷售一樣的道理,測評機構也應當不能有安全產品的銷售。前文多處提到測評機構認證納入國家認證體系,那么什么是國家認證體系?通俗點說就是由國家牽頭的各類認證認可體系。牽頭的是國家認證認可委員會,國家認證認可委員會全稱國家認證認可監督管理委員會。國家認證認可監督管理委員會是國務院授權的履行行政管理職能,統一管理、監督和綜合協調全國認證認可工作的主管機構,為國家市場監督管理總局管理。也就是說未來的等保測評機構的認證及管理工作將由國家認證認可監督管理委員會及國家市場監督管理總局來進行統一管理。此次測評機構認證的改革對測評機構行業乃至整個網絡安全行業的影響到底怎樣,誰也不好說,得看主管部門的進一步動作,開弓沒有回頭箭,做就好了,一切都是最好的安排。可以確定的是測評機構的認證將會越來越規范,申請的機構也將會越來越多,未來的測評機構一定也會越來越多,大的測評機構走向全國也不會遙遠。隨著測評機構的增多,測評機構之間的競爭也必然會更加激烈。
文章來源:等級保護測評
