4月27日,國(guó)家網(wǎng)信辦官網(wǎng)公布了一則消息,引發(fā)熱議:近日,國(guó)家互聯(lián)網(wǎng)信息辦公室、國(guó)家發(fā)改委等12個(gè)部門聯(lián)合發(fā)布了《網(wǎng)絡(luò)安全審查辦法》(以下簡(jiǎn)稱《辦法》),今年6月1日起實(shí)施。
我國(guó)建立網(wǎng)絡(luò)安全審查制度,目的是通過(guò)網(wǎng)絡(luò)安全審查這一舉措,及早發(fā)現(xiàn)并避免采購(gòu)產(chǎn)品和服務(wù)給關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行帶來(lái)風(fēng)險(xiǎn)和危害,保障關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全,維護(hù)國(guó)家安全。
網(wǎng)絡(luò)安全審查主要審查哪些內(nèi)容?
網(wǎng)絡(luò)安全審查重點(diǎn)評(píng)估關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能帶來(lái)的國(guó)家安全風(fēng)險(xiǎn),包括:
(一)產(chǎn)品和服務(wù)使用后帶來(lái)的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、遭受干擾或破壞,以及重要數(shù)據(jù)被竊取、泄露、毀損的風(fēng)險(xiǎn);
(二)產(chǎn)品和服務(wù)供應(yīng)中斷對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害;
(三)產(chǎn)品和服務(wù)的安全性、開放性、透明性、來(lái)源的多樣性,供應(yīng)渠道的可靠性以及因?yàn)檎巍⑼饨弧①Q(mào)易等因素導(dǎo)致供應(yīng)中斷的風(fēng)險(xiǎn);
(四)產(chǎn)品和服務(wù)提供者遵守中國(guó)法律、行政法規(guī)、部門規(guī)章情況;
(五)其他可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全和國(guó)家安全的因素。
《網(wǎng)絡(luò)安全審查辦法》的9大轉(zhuǎn)變
《網(wǎng)絡(luò)安全審查辦法》的前身是2017年5月2日發(fā)布的《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(試行)》,正式版《辦法》實(shí)施的同時(shí),其前身試行版同時(shí)廢止。此外,正式版《辦法》出臺(tái)之前還經(jīng)歷了2019年5月24日發(fā)布的征求意見稿,正式版可以說(shuō)是在征求意見稿的框架上修訂完善而成。
前身:網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(試行)
我們來(lái)看看正式版《辦法》和試行版、征求意見版有什么不同?在安數(shù)網(wǎng)絡(luò)看來(lái),三者的差別還是比較大的。正式版在以往版本的基礎(chǔ)上經(jīng)過(guò)了精雕細(xì)琢、千錘百煉,發(fā)生了9大轉(zhuǎn)變!
轉(zhuǎn)變1:關(guān)鍵信息基礎(chǔ)設(shè)施C位出道了
縱觀正式版《辦法》、征求意見版、試行版全文可以發(fā)現(xiàn),提及“關(guān)鍵信息基礎(chǔ)設(shè)施”一詞的次數(shù)變化了!關(guān)鍵信息基礎(chǔ)設(shè)施的重要性被反復(fù)強(qiáng)調(diào),曝光度激增,用時(shí)下流行的話來(lái)說(shuō)就是:C位出道了!
據(jù)上圖,提及“關(guān)鍵信息基礎(chǔ)設(shè)施”的次數(shù)從2次變?yōu)?3次,標(biāo)題也從“網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全”變?yōu)椤熬W(wǎng)絡(luò)安全”,可見國(guó)家對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的重視程度。可以說(shuō)正式版《網(wǎng)絡(luò)安全審查辦法》是一部聚焦“關(guān)鍵信息基礎(chǔ)設(shè)施”的法規(guī),網(wǎng)絡(luò)安全的決定因素是關(guān)鍵信息基礎(chǔ)設(shè)施安全,網(wǎng)絡(luò)產(chǎn)品和服務(wù)必須保障關(guān)鍵信息基礎(chǔ)設(shè)施安全可控,才能實(shí)現(xiàn)網(wǎng)絡(luò)安全。
2014年2月,關(guān)鍵信息基礎(chǔ)設(shè)施這個(gè)概念在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議上被提出;2016年11月,《網(wǎng)絡(luò)安全法》發(fā)布,明確了關(guān)鍵信息基礎(chǔ)設(shè)施的定義為:
公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的設(shè)施。
以往,“關(guān)鍵信息基礎(chǔ)設(shè)施”這一概念只是安全圈內(nèi)受到矚目,社會(huì)大眾甚至廣大關(guān)基運(yùn)營(yíng)者對(duì)其認(rèn)識(shí)并不清晰,有點(diǎn)曲高和寡的意思。如今,《網(wǎng)絡(luò)安全審查辦法》把“關(guān)鍵信息基礎(chǔ)設(shè)施”推到了聚光燈下,以后無(wú)論是運(yùn)營(yíng)者,還是網(wǎng)絡(luò)產(chǎn)品和服務(wù)的供應(yīng)商都要配合進(jìn)行關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全審查。
歐美等國(guó)家在關(guān)鍵信息基礎(chǔ)設(shè)施(Critical Information Infrastructure,CII)保護(hù)方面也早有立法。伊朗“震網(wǎng)”病毒事件敲響警鐘,讓工控系統(tǒng)安全成為全球矚目的焦點(diǎn)。為了應(yīng)對(duì)日益增長(zhǎng)的網(wǎng)絡(luò)安全威脅,歐美等發(fā)達(dá)國(guó)家紛紛采取措施,從法律法規(guī)、發(fā)展戰(zhàn)略、技術(shù)標(biāo)準(zhǔn)、管理體系等方面入手,加強(qiáng)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)。“9·11”事件之后,美國(guó)強(qiáng)化了對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù),建立了以國(guó)土安全部為主導(dǎo)、各部門之間職能分工明確、公私相互協(xié)作的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)組織體系。
當(dāng)前,隨著新冠疫情的全球大流行趨勢(shì),關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)也進(jìn)入一種“新常態(tài)”:我們從固定的傳統(tǒng)基礎(chǔ)設(shè)施迅速發(fā)展成為虛擬的、分布式的基礎(chǔ)設(shè)施,以支持遠(yuǎn)程工作實(shí)現(xiàn)安全社交距離。在這種新的架構(gòu)中,我們面臨更多風(fēng)險(xiǎn),保證業(yè)務(wù)連續(xù)性和防御性是當(dāng)務(wù)之急。
這個(gè)時(shí)候,《網(wǎng)絡(luò)安全審查辦法》的出臺(tái),對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作的意義尤為重大。
轉(zhuǎn)變2:預(yù)判指南更嚴(yán)謹(jǐn)了
關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者如何預(yù)判是否需要申報(bào)網(wǎng)絡(luò)安全審查?
正式版《辦法》對(duì)前2個(gè)版本的說(shuō)法進(jìn)行了修訂:
試行版沒有提供預(yù)判指南,征求意見版提出了4種潛在安全風(fēng)險(xiǎn)需要申報(bào)網(wǎng)絡(luò)安全審查,而正式版《辦法》只強(qiáng)調(diào)了影響或可能影響國(guó)家安全的情況需要申報(bào)網(wǎng)絡(luò)安全審查,而具體預(yù)判細(xì)則需參考本行業(yè)、本領(lǐng)域關(guān)基保護(hù)工作部門的預(yù)判指南。
不同行業(yè)、領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施所面臨的潛在風(fēng)險(xiǎn)不一樣,危害國(guó)家安全的程度也不相同,因此新的說(shuō)法更嚴(yán)謹(jǐn),各行業(yè)的關(guān)基保護(hù)工作部門可制定各自的預(yù)判指南引導(dǎo)該行業(yè)運(yùn)營(yíng)者進(jìn)行預(yù)判,因行業(yè)而異的做法更周密。
根據(jù)中央網(wǎng)絡(luò)安全和信息化委員會(huì)《關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作有關(guān)事項(xiàng)的通知》精神,電信、廣播電視、能源、金融、公路水路運(yùn)輸、鐵路、民航、郵政、水利、應(yīng)急管理、衛(wèi)生健康、社會(huì)保障、國(guó)防科技工業(yè)等行業(yè)領(lǐng)域的重要網(wǎng)絡(luò)和信息系統(tǒng)運(yùn)營(yíng)者在采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí),應(yīng)當(dāng)按照《辦法》要求考慮申報(bào)網(wǎng)絡(luò)安全審查。
轉(zhuǎn)變3:應(yīng)在正式采購(gòu)前申報(bào)安全審查
正式版《辦法》對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供商、采購(gòu)合同的約束,也有了變化:
征求意見版規(guī)定了運(yùn)營(yíng)者應(yīng)約束產(chǎn)品和服務(wù)提供者配合網(wǎng)絡(luò)安全審查,“并與產(chǎn)品和服務(wù)提供者約定網(wǎng)絡(luò)安全審查通過(guò)后合同方可生效”。而正式版《辦法》同樣強(qiáng)調(diào)了產(chǎn)品和服務(wù)提供者配合網(wǎng)絡(luò)安全審查的義務(wù),但刪去了“審查通過(guò)合同方可生效”這一條,因?yàn)閷?shí)際操作可以更靈活。
根據(jù)《網(wǎng)絡(luò)安全審查辦法》答記者問(wèn),通常情況下,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)當(dāng)在與產(chǎn)品和服務(wù)提供方正式簽署合同前申報(bào)網(wǎng)絡(luò)安全審查。如果提供方不配合網(wǎng)絡(luò)安全審查或未通過(guò)審查,則可以取消采購(gòu)。
如果在簽署合同后申報(bào)網(wǎng)絡(luò)安全審查,建議在合同中注明此合同須在產(chǎn)品和服務(wù)采購(gòu)?fù)ㄟ^(guò)網(wǎng)絡(luò)安全審查后方可生效,以避免因?yàn)闆]有通過(guò)審查而造成損失。
另外,運(yùn)營(yíng)者也可將網(wǎng)絡(luò)安全審查的內(nèi)容寫入合同條款,用違約責(zé)任來(lái)約束產(chǎn)品和服務(wù)提供者遵守相關(guān)條款,保障我方權(quán)益不受侵害。
轉(zhuǎn)變4:審查內(nèi)容升級(jí)了
對(duì)比可以看出,試行版的審查重點(diǎn)是網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全性、可控性,征求意見版和正式版的審查重點(diǎn)轉(zhuǎn)變到國(guó)家安全風(fēng)險(xiǎn)上,這一轉(zhuǎn)變可以看出審查重點(diǎn)從普遍矛盾提升到了主要矛盾,國(guó)家安全是重中之重,應(yīng)集中所有力量抓好這一點(diǎn)。
正式版將征求意見版的七點(diǎn)審查內(nèi)容精簡(jiǎn)到了五點(diǎn),主要刪掉了“對(duì)國(guó)防軍工、關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)技術(shù)和產(chǎn)業(yè)的影響”、“產(chǎn)品和服務(wù)提供者受外國(guó)政府資助、控制等情況”這2條。
正式版將對(duì)“業(yè)務(wù)連續(xù)性”的危害,單獨(dú)提出為一條,可見“業(yè)務(wù)連續(xù)性”已成為當(dāng)前不容忽視的問(wèn)題,特別是疫情期間,在遠(yuǎn)程工作和隔離原則導(dǎo)致某些產(chǎn)品和服務(wù)供應(yīng)中斷,保持關(guān)鍵信息基礎(chǔ)設(shè)施的業(yè)務(wù)連續(xù)性變得更具挑戰(zhàn)性。這要求網(wǎng)絡(luò)運(yùn)營(yíng)者預(yù)先評(píng)估,完善其業(yè)務(wù)連續(xù)性計(jì)劃,考慮容災(zāi)備份、災(zāi)難恢復(fù)措施等。
正式版還特別強(qiáng)調(diào)了產(chǎn)品和服務(wù)來(lái)源的多樣性、供應(yīng)渠道的可靠性,這就要求網(wǎng)路運(yùn)營(yíng)者在選擇供應(yīng)商時(shí)要有備選計(jì)劃,能不受政治、外交等因素影響,保持長(zhǎng)期穩(wěn)定地供應(yīng)。
從審查內(nèi)容可以看出,網(wǎng)絡(luò)安全審查的目的是維護(hù)國(guó)家網(wǎng)絡(luò)安全,不是要限制或歧視國(guó)外產(chǎn)品和服務(wù)。只要產(chǎn)品和服務(wù)提供者遵守中國(guó)法律、行政法規(guī)、部門規(guī)章,中國(guó)市場(chǎng)都是歡迎的。
轉(zhuǎn)變5:審查流程明確了
從上圖可以看出,正式版《辦法》和征求意見版的審查流程、時(shí)間節(jié)點(diǎn)的相差不大,只多了一步“網(wǎng)絡(luò)安全審查辦公室應(yīng)當(dāng)自收到審查申報(bào)材料起,10個(gè)工作日內(nèi)確定是否需要審查并書面通知運(yùn)營(yíng)者。”這一步給了申報(bào)者一個(gè)快速反饋,使得流程更加高效。
通常情況下,從啟動(dòng)審查開始,網(wǎng)絡(luò)安全審查在45個(gè)工作日內(nèi)完成,情況復(fù)雜的會(huì)延長(zhǎng)15個(gè)工作日。進(jìn)入特別審查程序的審查項(xiàng)目,可能還需要45個(gè)工作日或者更長(zhǎng)。另外,補(bǔ)充提供材料的時(shí)間不計(jì)入審查時(shí)限。
轉(zhuǎn)變6:關(guān)基保護(hù)工作部門參與審查
網(wǎng)絡(luò)安全審查工作由哪些機(jī)構(gòu)或部門組織、執(zhí)行?
試行版中參與審查工作的機(jī)構(gòu)有網(wǎng)絡(luò)安全審查會(huì)員會(huì)、網(wǎng)絡(luò)安全審查專家委員會(huì),網(wǎng)絡(luò)安全審查第三方機(jī)構(gòu)以及金融、電信、能源、交通等重點(diǎn)行業(yè)和領(lǐng)域主管部門。
征求意見版和正式版《辦法》中,12部門聯(lián)合建立國(guó)家網(wǎng)絡(luò)安全審查工作機(jī)制,設(shè)立網(wǎng)絡(luò)安全審查辦公室統(tǒng)一組織網(wǎng)絡(luò)安全審查工作,便于統(tǒng)籌協(xié)調(diào)資源。
除此之外,正式版《辦法》有一點(diǎn)新變化,參與審查的增加了相關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作部門,審查工作會(huì)參考這些部門的意見,這個(gè)變化體現(xiàn)了審查的專業(yè)性和細(xì)致性。
另?yè)?jù)《網(wǎng)絡(luò)安全審查辦法》答記者問(wèn),具體審查工作委托中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心承擔(dān)。中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心在網(wǎng)絡(luò)安全審查辦公室的指導(dǎo)下,承擔(dān)接收申報(bào)材料、對(duì)申報(bào)材料進(jìn)行形式審查、具體組織審查工作等任務(wù)。
轉(zhuǎn)變7:審查不公正可以舉報(bào)
《辦法》對(duì)執(zhí)行審查工作的機(jī)構(gòu)或人員的行為有約束嗎?答案是有的!
正式版《辦法》中特別強(qiáng)調(diào)了“相關(guān)機(jī)構(gòu)和人員應(yīng)嚴(yán)格保護(hù)企業(yè)商業(yè)秘密和知識(shí)產(chǎn)權(quán),對(duì)運(yùn)營(yíng)者、產(chǎn)品和服務(wù)提供者提交的未公開材料,以及審查工作中獲悉的其他未公開信息承擔(dān)保密義務(wù);未經(jīng)信息提供方同意,不得向無(wú)關(guān)方披露或用于審查以外的目的”,這一規(guī)定一定程度上消除了運(yùn)營(yíng)者、產(chǎn)品和服務(wù)提供者的擔(dān)憂。
如果發(fā)現(xiàn)“審查人員有失客觀公正,或未能對(duì)審查工作中獲悉的信息承擔(dān)保密義務(wù)的,可以向網(wǎng)絡(luò)安全審查辦公室或者有關(guān)部門舉報(bào)”。這一點(diǎn)給被審查方提供了申訴通道,促進(jìn)對(duì)公平公正的監(jiān)督,對(duì)審查工作的良性循環(huán)起到了推進(jìn)作用。
轉(zhuǎn)變8:審查對(duì)象具體了
我們都知道審查對(duì)象是網(wǎng)絡(luò)產(chǎn)品和服務(wù),但它具體是指什么?
正式版《辦法》中給出了解釋:網(wǎng)絡(luò)產(chǎn)品和服務(wù)主要指核心網(wǎng)絡(luò)設(shè)備、高性能計(jì)算機(jī)和服務(wù)器、大容量存儲(chǔ)設(shè)備、大型數(shù)據(jù)庫(kù)和應(yīng)用軟件、網(wǎng)絡(luò)安全設(shè)備、云計(jì)算服務(wù),以及其他對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。
轉(zhuǎn)變9:違規(guī)罰款明確了
正式版《辦法》和征求意見版都明確了對(duì)違規(guī)者的罰款依照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第六十五條的規(guī)定處理。
“根據(jù)《網(wǎng)絡(luò)安全法》第六十五條規(guī)定,應(yīng)當(dāng)申報(bào)網(wǎng)絡(luò)安全審查而沒有申報(bào)的,或者使用網(wǎng)絡(luò)安全審查未通過(guò)的產(chǎn)品和服務(wù),由有關(guān)主管部門責(zé)令停止使用,處采購(gòu)金額一倍以上十倍以下罰款;對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬(wàn)元以上十萬(wàn)元以下罰款。”
最后,安數(shù)網(wǎng)絡(luò)再次提醒,2020年6月1日《網(wǎng)絡(luò)安全審查辦法》即將實(shí)施,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者務(wù)必盡快閱讀并充分理解《辦法》各項(xiàng)條款,及時(shí)提交相關(guān)申報(bào),以免造成不必要的損失。
本文由安數(shù)網(wǎng)絡(luò)原創(chuàng),轉(zhuǎn)載請(qǐng)注明出處。
及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)
【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用
本文來(lái)源:
如涉及侵權(quán),請(qǐng)及時(shí)與我們聯(lián)系,我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話:400-869-9193 負(fù)責(zé)人:張明
工商執(zhí)照