信息安全等级保护管理办法（2007年） 第二十一条

第二十一条 第三级以上信息系统应当选择使用符合以下条件的信息安全产品：

产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民共和国境内具有独立的法人资格；

产品的核心技术、关键部件具有我国自主知识产权；

产品研制、生产单位及其主要业务、技术人员无犯罪记录；

产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能；

对国家安全、社会秩序、公共利益不构成危害；

对已列入信息安全产品认证目录的，应当取得国家信息安全产品认证机构颁发的认证证书。