2021年11月19日,国家网络安全等级保护工作协调小组办公室发布了《关于撤销网络安全等级测评机构推荐证书的公告》,公告指出:自即日起,国家网络安全等级保护工作协调小组办公室撤销网络安全等级测评机构推荐证书,不再发布《全国网络安全等级测评机构推荐目录》,相关工作纳入国家认证体系。同时中关村信息安全测评联盟发布了关于启用《网络安全等级测评与检测评估机构服务认证证书》的公告,明确了经公安部第三研究所认证发放的《网络安全等级测评与检测评估机构服务认证证书》自颁发之日起即可使用。
《网络安全等级测评与检测评估机构服务认证证书》参考样证
根据此次发布的相关通知,一哥针对大家可能有疑问的一些问题做了一个小结,仅供大家参考,觉得有用就看看,觉得没用就不要看了。等保测评肯定是还要继续做的,现在只是测评机构认证纳入国家认证体系,等级保护制度是《网络安全法》明确提出的,不会因为某一项规定的改变而废止。等保测评当然还是找测评机构去做,目前就是找持有经公安部第三研究所认证发放的《网络安全等级测评与检测评估机构服务认证证书》的相关单位。这个目录见上周发布的相关文章,同时网络安全等级保护网也发布了,具体可以自己去查询。网络安全等级测评机构此次是由公安部第三研究所认证发放的,为什么是公安部第三研究所?通知里明确说了公安部第三研究所是由国家认证认可委员会批准的认证机构。那么未来国家认证认可委员会会不会批准其他认证机构呢?网络安全等级测评机构的认证未来会不会像ISO9000等认证一样呢?这些都是未知数,我们拭目以待。但是可以肯定的是这项工作将会更加规范化、专业化和社会化,不然何必这样改革,在没有明确通知的情况下,系统定级备案工作还是去各地公安机关网安部门去办理。这次只是测评机构认证改革,并没有涉及到定级备案的事。系统的定级备案工作由各地公安网安部门负责,所以公安网安部门对等保工作肯定还是监管的,但是对测评机构监不监管这个事不好说,看各地网安部门,可以肯定的是在测评机构资质这块与公安网安部门无关,这是国家认证认可委员会做的事。目前全国各地测评机构整体以区域测评机构为主,在本省开展业务,在全国都开展业务的除了电力等特定行业,其他的应该没有,一部分机构在部分外省开展业务。为什么是这样,各种原因都有,一方面大部分测评机构规模较小,不足以去外地开展业务;另一方面各地政策不一样,去外省开展业务有一定条件限制。当然之前主管部门从来没有限制过测评机构去外地,甚至是想让更多测评机构走向全国的。那么测评机构认证划到国家认证认可委员来管理认证的话,应该会有更多测评机构走向外省,走向全国。政策有了,测评机构不知道有没有准备好。在之前测评机构的申请要求中安全厂商、集成商是不能参与的,因为它们一旦参与可能会打破等保测评第三方的公正性。它们参与项目集成,涉及到各类安全产品,如果再参与等保测评确实不合适。那么未来呢?一哥认为依然不会允许安全厂商、集成商参与测评机构的申请。就像软件测试机构不能有软件产品销售一样的道理,测评机构也应当不能有安全产品的销售。前文多处提到测评机构认证纳入国家认证体系,那么什么是国家认证体系?通俗点说就是由国家牵头的各类认证认可体系。牵头的是国家认证认可委员会,国家认证认可委员会全称国家认证认可监督管理委员会。国家认证认可监督管理委员会是国务院授权的履行行政管理职能,统一管理、监督和综合协调全国认证认可工作的主管机构,为国家市场监督管理总局管理。也就是说未来的等保测评机构的认证及管理工作将由国家认证认可监督管理委员会及国家市场监督管理总局来进行统一管理。此次测评机构认证的改革对测评机构行业乃至整个网络安全行业的影响到底怎样,谁也不好说,得看主管部门的进一步动作,开弓没有回头箭,做就好了,一切都是最好的安排。可以确定的是测评机构的认证将会越来越规范,申请的机构也将会越来越多,未来的测评机构一定也会越来越多,大的测评机构走向全国也不会遥远。随着测评机构的增多,测评机构之间的竞争也必然会更加激烈。