《网络安全审查办法》解读

congtoucongtou 安全资讯 6 年前
6.64W 0
华盟原创文章投稿奖励计划

12部门联合发布《网络安全审查办法》,将于今年6月1日起实施。

《网络安全审查办法》解读

关键信息基础设施安全保障是关乎国家安全的战略优先事项,也是我国网络安全工作的重中之重。近日,国家互联网信息办公室会同国家发展改革委等十二个部门联合发布《网络安全审查办法》,是落实《网络安全法》要求、构建国家网络安全审查工作机制的重要举措,是确保关键信息基础设施供应链安全的关键手段,更是保障国家安全、经济发展和社会稳定的现实需要。

《网络安全审查办法》解读

从全球来看,开展网络安全审查成为各国防范关键基础设施安全风险的通用做法。
近年来,全球范围内针对关键信息基础设施的网络攻击行为不断攀升,涉及金融、医疗卫生、交通、能源、工业控制等领域,影响范围广泛、程度严重。2019年2月,全球知名安全企业赛门铁克发布报告称,2018年全球供应链网络攻击暴增78%,且2019年仍在持续扩大增长。这类攻击瞄准和利用第三方产品的安全漏洞或脆弱环节,通过入侵和感染联网设备、重要系统,造成设备破坏、系统崩溃、敏感数据丢失等后果,以实现对关键信息基础设施的破坏性打击。美国工控安全厂商Dragos发布报告称,北美电力、石油、天然气等能源基础设施部门都处于威胁之中,针对设备制造商、第三方服务提供商等的供应链攻陷成为主要攻击手段。
为加强对关键信息基础设施和重要信息系统的保护,确保信息产品和服务安全性,美国、英国、德国、澳大利亚、俄罗斯等国已纷纷建立网络安全审查制度。通过开展网络安全审查,预判和检查产品及服务投入使用后可能带来的网络安全风险,防范因供应链产品安全漏洞引发的安全事件,从源头上消除安全隐患。具体措施包括设立审查机构、完善法律法规、制定评估标准、开展第三方认证等,对于关键产品例如政府机构、交通、电力等领域的产品,从技术构成、安全性能、配套服务、交付方法等方面开展全面审查,排查安全风险和漏洞,降低安全隐患可能带来的风险。

《网络安全审查办法》解读


对我国而言,《网络安全审查办法》是强化关键信息基础设施安全防护的适时之举。
伴随5G、工业互联网、大数据中心、云计算等新一代数字基础设施规模化建设和应用,越来越多的重要信息系统将承载与国家安全和经济发展密切相关的核心业务和海量数据,但目前关键领域系统设备的网络安全状况仍有待改善。有关机构针对国内主流电力厂商的产品摸底测试发现,涉及28个厂商、70余个型号的产品中均发现了中高危漏洞,可能造成服务中断、信息泄露等。国家工业信息安全发展研究中心调查发现,很多知名工控厂商提供的设备中存在安全漏洞,其中中高危漏洞占较大比例,一旦被攻击入侵,将可能造成生产停滞、断水断电、重大经济损失等后果。
面对日益严峻的网络安全形势,开展严格的安全审查防堵安全漏洞和隐患,是现阶段防范安全风险的适时之举。此次,多部门联合出台《网络安全审查办法》,
一是明确和细化了我国网络安全审查的具体要求,为关键信息基础设施运营者申报审查提供了指引,
二是构建起了多部门协同配合的组织体系,为关键系统设备上线运行及服务采购设立了严格的安全门槛,
三是建立了网络安全产品和服务安全风险预判机制,从识别威胁、化解风险的角度,推动安全关口前移,强化供应链安全风险管控,提升网络安全保障水平。
可以说,《网络安全审查办法》的发布实施,将为我国关键信息基础设施的持续稳定运行筑起一道安全底线,将在维护国家安全、经济发展和社会稳定方面持续发挥关键作用。

《网络安全审查办法》重点提要

审查什么

关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险:

产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;产品和服务供应中断对关键信息基础设施业务连续性的危害;产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;产品和服务提供者遵守中国法律、行政法规、部门规章情况;其他可能危害关键信息基础设施安全和国家安全的因素。

谁需要申报

满足2个条件的网络运营者在采购产品和服务需要考虑申报网络安全审查:

关键信息基础设施运营者;影响或可能影响国家安全的。

注:根据《关于关键信息基础设施安全保护工作有关事项的通知》精神,电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者都包含在内。

什么时候申报

1、与产品和服务提供方正式签署合同前进行申报;2、如在签署合同后申报,需要在合同中注明:此合同须在产品和服务采购通过网络安全审查后方可生效

向谁申报

中国网络安全审查技术与认证中心在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审查、具体组织审查工作等任务。

申报要多久

一般情况下,会在45个工作日内完成;情况复杂的,会延长15个工作日,即60个工作日;进入特别审查程序的审查项目,可能还需要45个工作日或者更长。

注:补充提供材料的时间不计入审查时限。

没有申报的后果

应当申报网络安全审查而没有申报的;使用网络安全审查未通过的产品和服务。

存在以上2种情况的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

其他

申报过程中,保障商业秘密和知识产权

《办法》规定,参与网络安全审查的相关机构和人员应严格保护企业商业秘密和知识产权,对关键信息基础设施运营者、产品和服务提供者提交的未公开材料,以及审查工作中获悉的其他未公开信息承担保密义务。也就是说,未经信息提供方同意,不会向无关方披露或用于审查以外的目的。如果认为审查人员有失客观公正,或未能对审查工作中获悉的信息承担保密义务的,可以选择向网络安全审查办公室或有关部门举报。

国外产品和服务不受额外限制

网络安全审查的目的是维护国家网络安全,不是要限制或歧视国外产品和服务。

网络安全审查办法全文

第一条  为了确保关键信息基础设施供应链安全,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,制定本办法。

第二条  关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。

第三条  网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务安全性、可能带来的国家安全风险等方面进行审查。

第四条  在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。

网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。

第五条  运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。

关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。

第六条  对于申报网络安全审查的采购活动,运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。

第七条  运营者申报网络安全审查,应当提交以下材料:

(一)申报书;

(二)关于影响或可能影响国家安全的分析报告;

(三)采购文件、协议、拟签订的合同等;

(四)网络安全审查工作需要的其他材料。

第八条  网络安全审查办公室应当自收到审查申报材料起,10个工作日内确定是否需要审查并书面通知运营者。

第九条  网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑以下因素:

(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;

(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;

(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;

(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;

(五)其他可能危害关键信息基础设施安全和国家安全的因素。

第十条  网络安全审查办公室认为需要开展网络安全审查的,应当自向运营者发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见;情况复杂的,可以延长15个工作日。

第十一条  网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门应当自收到审查结论建议之日起15个工作日内书面回复意见。

网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见一致的,网络安全审查办公室以书面形式将审查结论通知运营者;意见不一致的,按照特别审查程序处理,并通知运营者。

第十二条  按照特别审查程序处理的,网络安全审查办公室应当听取相关部门和单位意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知运营者。

第十三条  特别审查程序一般应当在45个工作日内完成,情况复杂的可以适当延长。

第十四条  网络安全审查办公室要求提供补充材料的,运营者、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。

第十五条  网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。

第十六条  参与网络安全审查的相关机构和人员应严格保护企业商业秘密和知识产权,对运营者、产品和服务提供者提交的未公开材料,以及审查工作中获悉的其他未公开信息承担保密义务;未经信息提供方同意,不得向无关方披露或用于审查以外的目的。

第十七条  运营者或网络产品和服务提供者认为审查人员有失客观公正,或未能对审查工作中获悉的信息承担保密义务的,可以向网络安全审查办公室或者有关部门举报。

第十八条  运营者应当督促产品和服务提供者履行网络安全审查中作出的承诺。

网络安全审查办公室通过接受举报等形式加强事前事中事后监督。

第十九条  运营者违反本办法规定的,依照《中华人民共和国网络安全法》第六十五条的规定处理。

第二十条  本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。

本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。

第二十一条  涉及国家秘密信息的,依照国家有关保密规定执行。

第二十二条  本办法自2020年6月1日起实施,《网络产品和服务安全审查办法(试行)》同时废止。

文章来源:

https://www.freebuf.com/news/235177.html

https://www.thepaper.cn/newsDetail_forward_7183776

《网络安全审查办法》(1),审查技术(1),网络安全(682)
本文来源,经授权后由congtou发布,观点不代表华盟网的立场,转载请联系原作者。
congtou官方
congtou

3.18K篇文章 194.28M总阅读量

相关文章

发表回复