政策解讀 | 顫抖吧,網路安全審查這次是真的來了
來自專欄 微言小偏見
2017年5月2日,國家互聯網信息辦公室發布了《網路產品和服務安全審查辦法(試行)》(以下簡稱《審查辦法》。針對網路產品和服務的安全審查做出了相當相應的要求。下面筆者就此《審查辦法》簡單進行一下解析。
一、《審查辦法》出台依據
《審查辦法》的制定主要根據便是去年剛剛頒布的《網路安全法》,《網路安全法》第三十五條明確規定「關鍵信息基礎設施的運營者採購網路產品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查」。由此可以認為,此次的《審查辦法》就是對《網路安全法》第三十五條的具體落實。
二、《審查辦法》審查對象
《審查辦法》中第二條對審查對象進行了定義,明確了「關係國家安全的網路和信息系統採購的重要網路產品和服務,應當經過網路安全審查」。
這一條首先明確了審查的大前提是關係到國家安全,如果不涉及國家安全是不需要進行安全審查的。
其次是審查對象是所有重要網路產品和服務,並非只是對網路安全產品和服務進行審查,當然網路安全產品和服務審查首當其衝的重點。
最後,哪些網路產品和服務會影響到國家安全呢?這應由關鍵信息基礎設施保護工作部門進行確定。至於關鍵信息基礎設施的範圍是哪些,關鍵基礎設施保護工作部門是哪個,目前來看還有待進一步明確。
三、《審查辦法》審查組織
作為落實具體工作的配套制度,對相關管理部門及職責進行了界定,在網路安全審查工作中,國家互聯網信息辦公室起到統籌協調作用,會同有關部門成立網路安全審查委員會,網路安全審查辦公室具體組織實施網路安全審查。
除此之外,將來還會成立一批網路安全審查第三方機構,承擔網路安全審查中的第三方評價工作。具體執行層面,各個行業主管或監管部門負責推動開展本行業網路安全審查工作。
四、《審查辦法》審查重點
網路安全審查重點是審查網路產品和服務的安全性與可控性,具體包括網路產品和服務自身風險、網路產品和關鍵部件整個供應鏈過程安全風險、網路產品和服務實施過程安全風險,網路產品和服務過度依賴相關風險和其它危害國家安全風險。
有審查重點可以看出,目前審查內容相對來講還比較籠統,將來在辦法實施過程中將會逐步對審查重點進行細化,以形成可執行的審查標準。
五、《審查辦法》審查推進
雖說《審查辦法》審查對象有關係到國家安全這個大前提,但在具體工作推進過程中也將會按行業的重要性逐步推進。
《審查辦法》已經規定金融、電信、能源、交通行業主管部門組織開展網路安全審查工作,由此可以推斷這四個行業可能會率先進入審查試點。
除了上述四個行業外,公共通信和信息服務、水利、公共服務和電子政務及其它關鍵信息基礎設施的運營者,也將是網路安全審查的重點。
六、《審查辦法》後續發展
從微觀層面來說,《審查辦法》實施後不久,將會成立相關工作組並進一步明確工作職責分工,並對審查範圍、審查對象等相關內容進行細化,以便《審查辦法》順利實施。
從宏觀層面來說,未來國家、行業等監管層面,將要建立龐大的網路產品信任庫、網路服務合格供應商庫和網路服務違規信譽庫,以規範對網路產品和服務的管理,降低網路供應鏈安全風險。
附:《網路產品和服務安全審查辦法(試行)》
第一條 為提高網路產品和服務安全可控水平,防範網路安全風險,維護國家安全,依據《中華人民共和國國家安全法》《中華人民共和國網路安全法》等法律法規,制定本辦法。
第二條 關係國家安全的網路和信息系統採購的重要網路產品和服務,應當經過網路安全審查。
第三條 堅持企業承諾與社會監督相結合,第三方評價與政府持續監管相結合,實驗室檢測、現場檢查、在線監測、背景調查相結合,對網路產品和服務及其供應鏈進行網路安全審查。
第四條 網路安全審查重點審查網路產品和服務的安全性、可控性,主要包括:
(一)產品和服務自身的安全風險,以及被非法控制、干擾和中斷運行的風險;
(二)產品及關鍵部件生產、測試、交付、技術支持過程中的供應鏈安全風險;
(三)產品和服務提供者利用提供產品和服務的便利條件非法收集、存儲、處理、使用用戶相關信息的風險;
(四)產品和服務提供者利用用戶對產品和服務的依賴,損害網路安全和用戶利益的風險;
(五)其他可能危害國家安全的風險。
第五條 國家互聯網信息辦公室會同有關部門成立網路安全審查委員會,負責審議網路安全審查的重要政策,統一組織網路安全審查工作,協調網路安全審查相關重要問題。
網路安全審查辦公室具體組織實施網路安全審查。
第六條 網路安全審查委員會聘請相關專家組成網路安全審查專家委員會,在第三方評價基礎上,對網路產品和服務的安全風險及其提供者的安全可信狀況進行綜合評估。
第七條 國家依法認定網路安全審查第三方機構,承擔網路安全審查中的第三方評價工作。
第八條 網路安全審查辦公室按照國家有關要求、根據全國性行業協會建議和用戶反映等,按程序確定審查對象,組織第三方機構、專家委員會對網路產品和服務進行網路安全審查,並發布或在一定範圍內通報審查結果。
第九條 金融、電信、能源、交通等重點行業和領域主管部門,根據國家網路安全審查工作要求,組織開展本行業、本領域網路產品和服務安全審查工作。
第十條 公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他關鍵信息基礎設施的運營者採購網路產品和服務,可能影響國家安全的,應當通過網路安全審查。產品和服務是否影響國家安全由關鍵信息基礎設施保護工作部門確定。
第十一條 承擔網路安全審查的第三方機構,應當堅持客觀、公正、公平的原則,按照國家有關規定,參照有關標準,重點從產品和服務及其供應鏈的安全性、可控性,安全機制和技術的透明性等方面進行評價,並對評價結果負責。
第十二條 網路產品和服務提供者應當對網路安全審查工作予以配合,並對提供材料的真實性負責。
第三方機構等相關單位和人員對審查工作中獲悉的信息等承擔安全保密義務,不得用於網路安全審查以外的目的。
第十三條 網路安全審查辦公室不定期發布網路產品和服務安全評估報告。
第十四條 網路產品和服務提供者認為第三方機構等相關單位和人員有失客觀公正,或未能對審查工作中獲悉的信息承擔安全保密義務的,可以向網路安全審查辦公室或者有關部門舉報。
第十五條 違反本辦法規定的,依照有關法律法規予以處理。
第十六條 本辦法自2017年6月1日起實施。
推薦閱讀:
※專業視角 | 雲計算髮展如火如荼,雲安全又該何去何從?
※濫用系統Token實現Windows本地提權
※銀行「失火」的真實原因
※win7 實模式到保護模式的轉換是在哪一步做的?
※三星手機瀏覽器被曝同源策略繞過漏洞,影響三億設備