網絡安全審查，就是對關系國家安全和社會穩(wěn)定信息系統中使用的信息技術產品與服務進行測試評估、監(jiān)測分析、持續(xù)監(jiān)督的過程。

中國新的《 網絡安全審查辦法》

2020年4月27日，國家互聯網信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部、國家安全部、財政部、商務部、中國人民銀行、國家市場監(jiān)督管理總局、國家廣播電視總局、國家保密局、國家密碼管理局聯合制定了新的《網絡安全審查辦法》，并與2020年6月1日開始執(zhí)行。

  關鍵信息基礎設施對國家安全、經濟安全、社會穩(wěn)定、公眾健康和安全至關重要。我國建立網絡安全審查制度，目的是通過網絡安全審查這一舉措，及早發(fā)現并避免采購產品和服務給關鍵信息基礎設施運行帶來風險和危害，保障關鍵信息基礎設施供應鏈安全，維護國家安全?！掇k法》的出臺，為我國開展網絡安全審查工作提供了重要的制度保障。

  網絡安全審查是依據《國家安全法》《網絡安全法》開展的一項工作?！秶野踩ā返谖迨艞l規(guī)定，國家建立國家安全審查和監(jiān)管的制度和機制，對影響或者可能影響國家安全的網絡信息技術產品和服務，以及其他重大事項和活動，進行國家安全審查。《網絡安全法》第三十五條規(guī)定，“關鍵信息基礎設施的運營者采購網絡產品和服務，可能影響國家安全的，應當通過國家網信部門會同國務院有關部門組織的國家安全審查”。

  網絡安全審查重點評估關鍵信息基礎設施運營者采購網絡產品和服務可能帶來的國家安全風險，包括：產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞，以及重要數據被竊取、泄露、毀損的風險；產品和服務供應中斷對關鍵信息基礎設施業(yè)務連續(xù)性的危害；產品和服務的安全性、開放性、透明性、來源的多樣性，供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險；產品和服務提供者遵守中國法律、行政法規(guī)、部門規(guī)章情況；其他可能危害關鍵信息基礎設施安全和國家安全的因素。

  涉及行業(yè)：電信、廣播電視、能源、金融、公路水路運輸、鐵路、民航、郵政、水利、應急管理、衛(wèi)生健康、社會保障、國防科技工業(yè)等行業(yè)領域的重要網絡和信息系統運營者在采購網絡產品和服務時執(zhí)行。

美國的《網絡安全審查》

2000年，美國率先在國家安全系統中對采購的產品進行安全審查，隨后陸續(xù)針對聯邦政府云計算服務、國防供應鏈等出臺了安全審查政策，實現了對國家安全系統、國防系統、聯邦政府系統的全面覆蓋。審查對象不僅涉及產品和服務，還會針對產品和服務提供商。隨后，美國等西方國家為保障國家安全、防范供應鏈安全風險，逐步建立多種形式的網絡安全審查制度。從開始建立至今，其審查范圍不斷延伸。

美國對供應鏈安全審查的過程、標準、機制完全封閉，不披露原因和理由，不接受供應方申訴。主要考慮對國家安全、司法和公共利益的潛在影響，且其審查沒有明確的時間限制。

美國安全審查結果具有強制性。美國國家安全系統委員會2000年1月發(fā)布的《國家信息安全保障采購政策》規(guī)定，自2002年7月起進入國家安全系統的信息技術產品必須通過審查。2011年12月，美國政府發(fā)布《聯邦風險及授權管理計劃》，要求為聯邦政府提供云計算服務的服務商，必須通過安全審查、獲得授權；聯邦政府各部門不得采用未經審查的云計算服務。美國在政府采購招標文件中還進一步規(guī)定，向聯邦機構提供云計算服務的基礎設施必須位于美國境內。

網絡安全審查內容：

產品技術研發(fā)過程、程序、步驟、方法和交付方法等。

被審查企業(yè)須簽署“安全協議”：

——通信基礎設施必須位于美國境內；

——通信數據、交易數據、用戶信息等僅存儲在美國境內；

——若外國政府要求訪問通信數據必須獲得美國司法部、國防部、國土安全部的批準；

——配合美國政府對員工實施背景調查等。

美國網絡安全審查發(fā)展歷程：

——2000年 美國國家安全系統委員會規(guī)定2002年7月起進入國家安全系統的信息技術產品必須通過審查。

——2002年 美國聯邦政府建立面向聯邦政府的網絡安全審查制度。

——2011年 美國政府要求為聯邦政府提供云計算服務的服務商，必須通過安全審查、獲得授權。

——2013年 美國國防部頒布臨時政策，規(guī)定國防系統及其合同商采購的產品和服務要經過供應鏈安全審查。