網(wǎng)絡安全審查�,就是對關系國家安全和社會穩(wěn)定信息系統(tǒng)中使用的信息技術產(chǎn)品與服務進行測試評估���、監(jiān)測分析�����、持續(xù)監(jiān)督的過程��。
中國新的《 網(wǎng)絡安全審查辦法》
2020年4月27日�,國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會���、工業(yè)和信息化部�、公安部��、國家安全部����、財政部、商務部��、中國人民銀行�����、國家市場監(jiān)督管理總局�、國家廣播電視總局、國家保密局�、國家密碼管理局聯(lián)合制定了新的《網(wǎng)絡安全審查辦法》���,并與2020年6月1日開始執(zhí)行��。
關鍵信息基礎設施對國家安全����、經(jīng)濟安全、社會穩(wěn)定����、公眾健康和安全至關重要。我國建立網(wǎng)絡安全審查制度��,目的是通過網(wǎng)絡安全審查這一舉措��,及早發(fā)現(xiàn)并避免采購產(chǎn)品和服務給關鍵信息基礎設施運行帶來風險和危害�,保障關鍵信息基礎設施供應鏈安全,維護國家安全���?����!掇k法》的出臺��,為我國開展網(wǎng)絡安全審查工作提供了重要的制度保障���。
網(wǎng)絡安全審查是依據(jù)《國家安全法》《網(wǎng)絡安全法》開展的一項工作��?��!秶野踩ā返谖迨艞l規(guī)定,國家建立國家安全審查和監(jiān)管的制度和機制���,對影響或者可能影響國家安全的網(wǎng)絡信息技術產(chǎn)品和服務����,以及其他重大事項和活動�,進行國家安全審查?��!毒W(wǎng)絡安全法》第三十五條規(guī)定�����,“關鍵信息基礎設施的運營者采購網(wǎng)絡產(chǎn)品和服務�,可能影響國家安全的�����,應當通過國家網(wǎng)信部門會同國務院有關部門組織的國家安全審查”。
網(wǎng)絡安全審查重點評估關鍵信息基礎設施運營者采購網(wǎng)絡產(chǎn)品和服務可能帶來的國家安全風險�����,包括:產(chǎn)品和服務使用后帶來的關鍵信息基礎設施被非法控制��、遭受干擾或破壞���,以及重要數(shù)據(jù)被竊取、泄露�、毀損的風險;產(chǎn)品和服務供應中斷對關鍵信息基礎設施業(yè)務連續(xù)性的危害�����;產(chǎn)品和服務的安全性�����、開放性�����、透明性、來源的多樣性�����,供應渠道的可靠性以及因為政治���、外交���、貿(mào)易等因素導致供應中斷的風險;產(chǎn)品和服務提供者遵守中國法律���、行政法規(guī)��、部門規(guī)章情況�����;其他可能危害關鍵信息基礎設施安全和國家安全的因素���。
涉及行業(yè):電信、廣播電視��、能源��、金融、公路水路運輸����、鐵路、民航���、郵政、水利���、應急管理�、衛(wèi)生健康���、社會保障��、國防科技工業(yè)等行業(yè)領域的重要網(wǎng)絡和信息系統(tǒng)運營者在采購網(wǎng)絡產(chǎn)品和服務時執(zhí)行�����。
美國的《網(wǎng)絡安全審查》
2000年���,美國率先在國家安全系統(tǒng)中對采購的產(chǎn)品進行安全審查,隨后陸續(xù)針對聯(lián)邦政府云計算服務���、國防供應鏈等出臺了安全審查政策�����,實現(xiàn)了對國家安全系統(tǒng)��、國防系統(tǒng)�����、聯(lián)邦政府系統(tǒng)的全面覆蓋���。審查對象不僅涉及產(chǎn)品和服務�����,還會針對產(chǎn)品和服務提供商����。隨后�����,美國等西方國家為保障國家安全����、防范供應鏈安全風險�,逐步建立多種形式的網(wǎng)絡安全審查制度�����。從開始建立至今�����,其審查范圍不斷延伸�����。
美國對供應鏈安全審查的過程���、標準、機制完全封閉����,不披露原因和理由,不接受供應方申訴��。主要考慮對國家安全�����、司法和公共利益的潛在影響,且其審查沒有明確的時間限制�。
美國安全審查結果具有強制性。美國國家安全系統(tǒng)委員會2000年1月發(fā)布的《國家信息安全保障采購政策》規(guī)定�����,自2002年7月起進入國家安全系統(tǒng)的信息技術產(chǎn)品必須通過審查�。2011年12月,美國政府發(fā)布《聯(lián)邦風險及授權管理計劃》��,要求為聯(lián)邦政府提供云計算服務的服務商�����,必須通過安全審查�����、獲得授權�����;聯(lián)邦政府各部門不得采用未經(jīng)審查的云計算服務���。美國在政府采購招標文件中還進一步規(guī)定��,向聯(lián)邦機構提供云計算服務的基礎設施必須位于美國境內��。
網(wǎng)絡安全審查內容:
產(chǎn)品技術研發(fā)過程��、程序���、步驟����、方法和交付方法等�。
被審查企業(yè)須簽署“安全協(xié)議”:
——通信基礎設施必須位于美國境內;
——通信數(shù)據(jù)�����、交易數(shù)據(jù)����、用戶信息等僅存儲在美國境內��;
——若外國政府要求訪問通信數(shù)據(jù)必須獲得美國司法部��、國防部、國土安全部的批準���;
——配合美國政府對員工實施背景調查等�����。
美國網(wǎng)絡安全審查發(fā)展歷程:
——2000年 美國國家安全系統(tǒng)委員會規(guī)定2002年7月起進入國家安全系統(tǒng)的信息技術產(chǎn)品必須通過審查�����。
——2002年 美國聯(lián)邦政府建立面向聯(lián)邦政府的網(wǎng)絡安全審查制度���。
——2011年 美國政府要求為聯(lián)邦政府提供云計算服務的服務商,必須通過安全審查����、獲得授權。
——2013年 美國國防部頒布臨時政策�,規(guī)定國防系統(tǒng)及其合同商采購的產(chǎn)品和服務要經(jīng)過供應鏈安全審查。
400-001-9776
