《网络安全标签管理建议》公开征求意见

为提高产品网络安全能力，加强消费者权益保护，维护网络安全和公共利益，根据《中华人民共和国网络安全法》等法律法规，国家网信办、工业和信息化部制定了《网络安全标签管理方案》（征求意见稿）和《网络安全标签产品目录》（（《网络安全标签产品目录》）。 《网络安全标识》（（产品目录）《网络安全标识（第一批）》（征求意见稿），现向社会公开征求意见。公众可通过以下渠道和方式提出反馈意见： 1.将意见反馈至：[email protected]。 2.将意见函寄至：国家互联网信息办公室网络安全协调局，府车路15号北京市海淀区吴路，邮政编码100048，并在信封上注明“关于网络安全标签管理建议的驳回意见”。征求意见截止日期为2025年12月6日。 第一章总则第一条2025年11月21日《互联网信息国家网络安全标签管理方案（征求意见稿）》为增强产品网络安全能力，加强消费者权益保护，保护公共网络，根据《中华民国人民网络安全法》，制定本方案。和法规。第二条 本办法所称网络安全标签，是指可以体现产品本身网络安全能力水平的标签信息。具有联网功能的产品实行本办法，具体产品实行目录管理。ent.第三条 网络安全标签的管理应当遵循发展与安全的总体协调，产品生产者自愿参与。鼓励产品生产企业按照本办法提高产品网络安全能力，并在产品上加贴网络安全标签。鼓励消费者优先购买带有网络安全标签的产品。第四条 国家互联网信息办公室、工业和信息化部负责网络安全标签的管理，制定并公布每类产品的《实施网络安全标签的产品目录》，并授权中国电子技术标准化研究院（以下简称“登记机构”）备案、信息发布、违规处理。 第二章 标签实施 第五条 网络安全能力对应网络安全标签从低到高依次为基础级、增强级、顶级。标签对应的级别分别用一颗星、两颗星、三颗星表示。基础级要求产品满足相关国家标准的基本安全要求，如无弱密码或通用默认密码，建立密码机制、漏洞管理和漏洞动态修复、保持软件更新等；增强级要求产品的产品安全能力达到国内先进水平；顶级要求产品的网络安全能力达到国际先进水平，抵御高级别网络攻击的能力也必须通过渗透测试的方法进行测试。各类产品标识级别的具体安全要求由实施规则确定。这安全要求应与现行国家和国际标准适当衔接，充分借鉴和吸收其他国家和地区实施网络安全标签制度的相关经验。第六条 网络安全标签（英文名称：China Cyber​​security label）必须包括以下主要内容： （一）产品生产企业名称； （二）产品规格、型号； （三）网络安全能力水平； （四）网络安全标签的有效期； （五）检测实验室名称； （六）依据的国家标准或者技术文件号； （七）备案信息信息。通过扫码，您可以获得测试报告、关键指标、产品合规声明等信息。网络安全标签的基本样式如下：每类产品标签的具体样式应在相应的实施规则中明确，并可根据上述规定适当调整根据实际产品形态提出基本款式。第七条 对加贴网络安全标识的已知产品，产品生产者必须按照执法政策相关要求进行网络安全能力检测，确定网络安全能力等级，并取得检测报告。 。 。第八条 备案机构应当建立网络安全安全管理平台，产品生产企业网络安全标识注册应当通过该平台在线办理。备案时须提交以下材料的电子版： （一）网络安全标签备案表； （二）网络安全测试等级报告； （三）按照实施规则设计的本产品网络安全标识样式； （4）产品产品符合性声明； （五）产品经营许可证； 。 （七）代理提交备案材料的，还需提交产品生产企业的代理文件等特德。产品生产者、代理商应对上述材料的真实性、准确性、完整性负责。第九条 备案机构应当自收到完整备案材料之日起10个工作日内，对材料的真实性、正确性、完整性进行正式审核，完成备案工作，并公开产品备案相关信息。注册完成后，产品生产企业可以按照实施规则的要求印制、使用和展示网络安全标签。第十条 网络安全标签的有效期由相关产品实施政策规定。已注册产品主要技术参数发生变化，可能影响产品网络安全能力，或者标签已过期，必须重新备案。第十一条 任何组织和个人不得制作、滥用网络安全标识或者利用网络虚假宣传的安全标签。第十二条 备案机构应当建立健全网络安全标签备案工作规范，客观、公正地开展备案安全标签备案相关工作。产品自有检测实验室或第三方检测机构必须严格按照相关标准进行检测，确保检测结果客观、公正、真实、准确，不得歪曲检测结果或出具虚假检测报告。注册机构、检测机构不得泄露在工作中知悉的国家秘密。机密、商业秘密。第三章管理 第十三条国家互联网信息办公室、工业和信息化部负责组织网络安全标志备案和使用的管理和检查。如有违反本规定的行为一经发现，将立即按照有关规定进行处理。地方网信部门和通信局负责组织本地区网络安全标志使用情况的监督检查。如果发现任何违反这些措施的行为，他们将立即通知 pag-file 机构。第十四条 备案机构发现有下列情形的，应当撤回备案并及时公告： （一）备案材料虚假的； （二）网络安全标识与实际网络安全能力不符的； （三）使用的网络安全标签不符合相关样式、规格等标签规定的； （四）产品生产企业终止对注册产品的技术支持服务； （五）其他需要撤销标识的违法行为。第十五条 产品生产者忘记或者冒用网络安全标识或者利用网络安全标识进行虚假宣传的，登记机构应当撤销MGA相关产品网络安全标识的登记，并向产品生产者公告违法行为，自公告之日起一年内不再受理其产品的登记。第十六条 产品生产企业自身检测实验室或者第三方检测机构遗忘检测结果或者出具虚假检测报告的，备案机构应当撤销相关产品的网络安全标签备案，并向检测机构公告违规情况，并自公告之日起一年内不再接受检测结果。第十七条 任何组织和个人发现违反本办法规定的行为，可以向当地网信部门或者通信管理局举报。地方网络安全部门信息通信局要尽快查处，并对举报人保密。备案机构在调查过程中必须予以配合。第十八条 网络安全能力测试过程中发现或者获悉产品安全漏洞的，必须按照《产品产品漏洞管理规定》的相关要求进行报告、修补和发布。第四章附则 第十九条本办法所称网络安全能力，是指产品生产者采取必要的技术和管理措施，使网络产品自身能够防范攻击、入侵、侵入、破坏和非法使用，保证产品稳定可靠运行和网络数据完整性、保密性和可用性的能力。第二十条 网络关键设备和特种网络安全保障按照《关于网络安全专用产品安全管理有关事项安排的公告》（第二十一条）的规定，本办法自2026年1月1日起施行。 实施网络安全标识的产品目录（第一批）（征求意见稿）