itss认证什么意思,哪些企业可以办理ITSS认证(中国国家信息安全产品认证证书)

“ITSS认证”这个说法在中文语境里容易混淆，因为有两套完全不同的制度都简称“ITSS”：

1. 信息技术服务标准（ITSS）——工信部牵头、中国电子工业标准化技术协会 ITSS 分会负责，面向“运维、咨询、云服务、数据中心”等 IT 服务企业的能力等级认证；
2. 中国国家信息安全产品认证（俗称“国密认证”“信息安全产品认证”）——国家认监委与中央网信办、公安部、工信部、国家密码局共同推行，面向“防火墙、IDS/IPS、密码卡、芯片、操作系统”等安全产品的强制性/自愿性产品认证。

您把“ITSS认证”和“中国国家信息安全产品认证证书”并列，说明您想问的其实是第 2 套制度，而不是第 1 套“IT服务标准”，下面把两套制度都拆开说明，方便您一眼分清。

微信号：15321396264
添加微信好友, 获取更多信息
复制微信号

您真正想问的：
“中国国家信息安全产品认证”是什么？
（行业里常被误叫成“ITSS认证”或“国密认证”）

1. 官方名称

   • 中文：中国国家信息安全产品认证（China Information Security Product Certification）
   • 证书封面英文：ISCCC（Information Security Product CCC）
   • 发证机构：中国网络安全审查技术与认证中心（CCRC，原中国信息安全认证中心，简称“信安中心”）

2. 法规依据

   • 《网络安全法》第二十三条：网络关键设备和网络安全专用产品应当按照相关国家标准强制性要求，由具备资格的机构安全认证合格或安全检测符合要求后，方可销售或提供。
   • 国家认监委 2018 年第 11 号公告《网络关键设备和网络安全专用产品目录（第一批）》——把防火墙、入侵检测、网络隔离、安全路由器、数据备份、身份鉴别、密码产品等 15 大类 35 小类列入强制认证/检测目录。
   • 密码产品还要同时满足《密码法》和国家密码管理局的“商用密码产品认证”(CA 证书)。

3. 认证性质

   • 目录内产品：强制认证，未获证不得销售、不得参加政府/央企/关键信息基础设施招标。
   • 目录外产品：自愿认证，但政府、金融、电信、能源等行业招标普遍把“具备 ISCCC 证书”作为加分或准入条件。

4. 认证模式
   型式试验 + 工厂检查 + 获证后监督（与 CCC 认证流程一致），周期 3～6 个月，证书有效期 5 年。

5. 哪些“企业”可以/必须办理
   a) 境内生产企业（自主品牌）
   b) 境外生产企业的中国子公司或授权代表（进口品牌）
   c) OEM/ODM 贴牌商（需同时提供品牌方与生产厂的授权链）
   一句话：只要产品属于《目录》并打算在中国销售，就必须由“生产方或其授权代表”申请认证。

6. 典型产品清单（第一批目录节选）

   • 防火墙/下一代防火墙
   • 入侵检测系统（IDS）
   • 入侵防御系统（IPS）
   • 安全隔离与信息交换系统（网闸）
   • 安全路由器/安全交换机
   • 反垃圾邮件产品
   • 网络脆弱性扫描产品
   • 安全数据库
   • 网站数据恢复产品
   • 备份一体机
   • 智能卡芯片、USBKey、密码卡
   • 身份鉴别产品（生物特征、数字证书、动态口令）
   • 安全操作系统/安全服务器操作系统
   • 安全云桌面/虚拟化平台
   • 电子签章/电子印章系统
     ……（共 15 大类 35 小类，详见 2018 年认监委 11 号公告）

7. 认证流程（简化版）

   在 CCRC 网站注册账号 → 2) 提交申请材料（营业执照、技术白皮书、自测报告、关键件清单、生产厂质量手册） → 3) 寄送样机到指定实验室（公安部三所、工信部四院、国家信息技术安全研究中心等） → 4) 实验室按 GB/T 20281、GB/T 20275、GB/T 18336 等标准做型式试验 → 5) 通过后 CCRC 安排工厂检查（ISO 9001 ＋ 产品一致性） → 6) 评审发证 → 7) 每年一次监督，第五年复审换证。

8. 费用区间
   型式试验 8～20 万元/型号（不同产品差异大），工厂检查 1.5 万元/次，年金 1 万元/年，咨询代理另计。

容易被混淆的另一套“ITSS”
（如果您其实是问“IT服务标准”就看这里）

1. 官方名称：信息技术服务标准（Information Technology Service Standards，ITSS）
2. 归口：工信部信息化和软件服务业司 → 中国电子工业标准化技术协会 ITSS 分会
3. 认证对象：
   • 运维服务提供商（IDC、集成商、外包公司）
   • 云服务提供商（IaaS、PaaS、SaaS）
   • 咨询/实施服务商
   • 数据中心运营单位
4. 等级划分：四级（基本级）→三级（拓展级）→二级（改进级）→一级（提升级）
5. 证书样子：封面写“信息技术服务标准符合性证书”，不是“中国国家信息安全产品认证”。
6. 与“信息安全产品”无关，属于“服务能力”评价，不是产品强制认证。

一句话总结

• 如果您手里的是“防火墙、网闸、密码卡、安全操作系统”等实物产品，要做的是“中国国家信息安全产品认证（ISCCC）”，必须到“中国网络安全审查技术与认证中心（CCRC）”申请，行业里常被误叫成“ITSS”或“国密认证”，但它跟真正的“ITSS 服务资质”不是一回事。
• 如果您是一家提供“运维、云服务、系统集成”的服务公司，想证明服务能力，才去做“信息技术服务标准（ITSS）”四级/三级/二级/一级。