计算机信息系统安全专用产品检测和销售许可证管理办法
1997年6月28日公安部部长办公会议通过,1997年12月12日施行中华人民共和国公安部令第32号发布。
第一章 总则
第一条为了加强计算机信息系统安全专用产品(以下简称安全专用产品)的管理,保证安全专用产品的安全功能,维护计算机信息系统的安全,根据《中华人民共和国计算机信息系统安全保护条例》第十六条的规定,制定本办法。
第二条本办法所称计算机信息系统安全专用产品,是指用于保护计算机信息系统安全的专用硬件和软件产品。
第三条中华人民共和国境内的安全专用产品进入市场销售,实行销售许可证制度。安全专用产品的生产者在其产品进入市场销售之前,必须申领《计算机信息系统安全专用产品销售许可证》(以下简称销售许可证)。
第四条安全专用产品的生产者申领销售许可证,必须对其产品进行安全功能检测和认定。
第五条公安部计算机管理监察部门负责销售许可证的审批颁发工作和安全专用产品安全功能检测机构(以下简称检测机构)的审批工作。地(市)级以上人民政府公安机关负责销售许可证的监督检查工作。
第二章 检测机构的申请与批准
第六条经省级以上技术监督行政主管部门或者其授权的部门考核合格的检测机构,可以向公安部计算机管理监察部门提出承担安全专用产品检测任务的申请。
第七条公安部计算机管理监察部门对提出申请的检测机构的检测条件和能力进行审查,经审查合格的,批准其承担安全专用产品检测任务。
第八条检测机构应当履行下列职责:
(一)严格执行公安部计算机管理监察部门下达的检测任务;
(二)按照标准格式填写安全专用产品检测报告;
(三)出具检测结果报告;
(四)接受公安部计算机管理监察部门对检测过程的监督及查阅检测机构内部验证和审核试验的原始测试记录;
(五)保守检测产品的技术秘密,并不得非法占有他人科技成果;
(六)不得从事与检测产品有关的开发和对外咨询业务。
第九条公安部计算机管理监察部门对承担检测任务的检测机构每年至少进行一次监督检查。
第十条被取消检测资格的检测机构,两年后方准许重新申请承担安全专用产品的检测任务。
第三章 安全专用产品的检测
第十一条安全专用产品的生产者应当向经公安部计算机管理监察部门批准的检测机构申请安全功能检测。对在国内生产的安全专用产品,由其生产者负责送交检测;对境外生产在国内销售的安全专用产品,由国外生产者指定的国内具有法人资格的企业或单位负责送交检测。当安全专用产品的安全功能发生改变时,安全专用产品应当进行重新检测。
第十二条送交安全专用产品检测时,应当向检测机构提交以下材料:
(一)安全专用产品的安全功能检测申请;
(二)营业执照(复印件);
(三)样品;
(四)产品功能及性能的中文说明;
(五)证明产品功能及性能的有关材料;
(六)采用密码技术的安全专用产品必须提交国家密码管理部门的审批文件;
(七)根据有关规定需要提交的其他材料。
第十三条检测机构收到检测申请、样品及其他有关材料后,应当按照安全专用产品的功能说明,检测其是否具有计算机信息系统安全保护功能。
第十四条检测机构应当及时检测,并将检测报告报送公安部计算机管理监察部门备案。
第四章 销售许可证的审批与颁发
第十五条安全专用产品的生产者申领销售许可证,应当向公安部计算机管理监察部门提交以下材料:
(一)营业执照(复印件);
(二)安全专用产品检测结果报告;
(三)防治计算机病毒的安全专用产品须提交公安机关颁发的计算机病毒防治研究的备案证明。
第十六条公安部计算机管理监察部门自接到申请之日起,应当在十五日内对安全专用产品作出审核结果,特殊情况可延至三十日;经审核合格的,颁发销售许可证和安全专用产品“销售许可”标记;不合格的,书面通知申领者,并说明理由。
第十七条已取得销售许可证的安全专用产品,生产者应当在固定位置标明“销售许可”标记。任何单位和个人不得销售无“销售许可”标记的安全专用产品。
第十八条销售许可证只对所申请销售的安全专用产品有效。当安全专用产品的功能发生改变时,必须重新申领销售许可证。
第十九条销售许可证自批准之日起两年内有效。期满需要延期的,应当于期满前三十日内向公安部计算机管理监察部门申请办理延期手续。
第五章 罚则
第二十条生产企业违反本办法的规定,有下列情形之一的,视为未经许可出售安全专用产品,由公安机关根据《中华人民共和国计算机信息系统安全保护条例》的规定予以处罚:
(一)没有申领销售许可证而将生产的安全专用产品进入市场销售的;
(二)安全专用产品的功能发生改变,而没有重新申领销售许可证进行销售的;
(三)销售许可证有效期满,未办理延期申领手续而继续销售的;
(四)提供虚假的安全专用产品检测报告或者虚假的计算机病毒防治研究的备案证明,骗取销售许可证的;
(五)销售的安全专用产品与送检样品安全功能不一致的;
(六)未在安全专用产品上标明“销售许可”标记而销售的;
(七)伪造、变造销售许可证和“销售许可”标记的。
第二十一条检测机构违反本办法的规定,情节严重的,取消检测资格。
第二十二条安全专用产品中含有有害数据危害计算机信息系统安全的,依据《中华人民共和国计算机信息系统安全保护条例》第二十三条的规定处罚;构成犯罪的,依法追究刑事责任。
第二十三条依照本办法作出的行政处罚,应当由县级以上(含县级)公安机关决定,并填写行政处罚决定书,向被处罚人宣布。
第六章 附则
第二十四条安全专用产品的检测通告和经安全功能检测确认的安全专用产品目录,由公安部计算机管理监察部门发布。
第二十五条检测机构申请书、检测机构批准书、《计算机信息系统安全专用产品销售许可证》、“销售许可”标记,由公安部制定式样,统一监制。
第二十六条本办法自一九九七年十二月十二日起施行。