解读《网络安全审查办法》

解读《网络安全审查办法》
来源:/detailsinfo/20200430123322数字网络(原标题:9大变化释放新信号！密钥保护再次达到里程碑:网络安全审查措施解读)
4月27日，官方网站国家网络信息办公室发布了一条消息，引起了热烈的讨论。近日，国家互联网信息办公室、国家发展和改革委员会等12个部门联合发布了《网络安全审查办法》(以下简称《办法》)，将于今年6月1日实施。
《网络安全审查办法》全文
建立我国网络安全审查制度的目的是尽早发现和规避购买产品和服务给关键信息基础设施运营带来的风险和危害，确保关键信息基础设施的供应链安全，维护国家安全。
网络安全审查的主要内容是什么？网络安全审查的重点是评估主要信息基础设施运营商采购网络产品和服务可能带来的国家安全风险，包括:
(1)由于使用产品和服务而带来的非法控制、干扰或破坏关键信息基础设施以及盗窃、泄露和破坏重要数据的风险；
(二)产品和服务供应中断对关键信息基础设施业务连续性的危害；
(3)产品和服务的安全性、公开性和透明度、来源的多样性、供应渠道的可靠性以及因政治、外交和贸易因素造成供应中断的风险；
(四)产品和服务提供者遵守中国法律、行政法规和部门规章；
(五)其他可能危及关键信息基础设施安全和国家安全的因素。
网络安全审查办法的九大变化网络安全审查办法的前身是2017年5月2日发布的《网络产品和服务安全审查办法(试行)》。《办法》正式版本实施后，其前身试行版本同时废止。此外，在《办法》正式发布之前，也经历了2019年5月24日发布的征求意见稿。官方版本可以说是在征求意见稿的框架上进行了修改和完善。
前身:网络产品和服务安全审查办法(试行)
框架:网络安全审查措施(征求意见稿)
让我们看看《办法》的正式版本与试行版本和咨询版本之间的区别。在安数网络看来，这三者之间的差别相当大。在以前版本的基础上，官方版本经历了九个主要变化。
变革1:关键信息基础设施c首次亮相。查看《办法》正式版、咨询版和试行版的全文，可以发现“关键信息基础设施”一词被提及的次数发生了变化！关键信息基础设施的重要性一再得到强调，暴露程度急剧增加。用通俗的话说，c-bit已经首次亮相了！
根据上图，“关键信息基础设施”的提法从2个改为13个，名称也从“网络产品和服务的安全”改为“网络安全”，这表明国家对关键信息基础设施的重视。可以说，《网络安全审查办法》的正式版本是一部以“关键信息基础设施”为重点的法规。网络安全的决定性因素是关键信息基础设施的安全。网络产品和服务必须确保关键信息基础设施的安全性和可控性，以实现网络安全。
2014年2月，在中央网络安全与信息化领导小组第一次会议上，提出了关键信息基础设施的概念；2016年11月，发布了《网络安全法》，明确了关键信息基础设施的定义:
公共通信与信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域一旦遭到破坏、丧失功能或数据泄露，将严重危害国家安全、国民经济和人民生活、公共利益。
过去，“关键信息基础设施”的概念只引起了安全界的关注，公众甚至大多数关键运营商对此都没有明确的认识。如今，“网络安全审查措施”将“关键信息基础设施”推到了聚光灯下。今后，网络产品和服务的运营商和供应商都应配合对关键信息基础设施的网络安全审查。
欧洲和美国等国家早已颁布了关于保护关键信息基础设施的立法(cii)。伊朗“王诜”骨子无错版病毒事件敲响了警钟，使工业控制系统的安全成为全球关注的焦点。为了应对日益增长的网络安全威胁，欧美等发达国家已采取措施，从法律法规、发展战略、技术标准和管理制度等方面加强对国家关键信息基础设施的保护。“9.11”事件后，美国加强了对关键信息基础设施的保护，建立了以国土安全部为主导、部门间职能分工明确、公私合作的关键信息基础设施保护组织体系。
目前，随着covid-19流行病的全球流行趋势，关键信息基础设施的保护进入了一个“新常态”:我们已经从固定的传统基础设施迅速发展到支持远程工作和实现安全社交距离的虚拟和分布式基础设施。在这种新架构中，我们面临更多风险，确保业务连续性和防御性势在必行。
此时，《网络安全审查办法》的颁布对保护关键信息基础设施具有重要意义。
变化2:预判指南更加严格。关键信息基础设施的运营商如何预先判断他们是否需要申报网络安全审查？
《办法》的正式版本修订了前两个版本的声明:
试行版未提供预判指南，咨询版提出网络安全审查需报告四种潜在安全风险，而《办法》正式版仅强调网络安全审查需报告影响或可能影响国家安全的情况，具体预判规则需参考行业和领域相关保护部门的预判指南。
不同行业和领域的关键信息基础设施面临的潜在风险不同，危害国家安全的程度也不同，因此新的表述更加严格。各行业的相关保护部门可以自行制定预判指引，指导行业经营者进行预判，各行业的做法也有所不同。
根据《中央网络安全与信息化委员会关于重点信息基础设施安全保护有关事项的通知》精神，电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生、社会保障、国防科技工业等行业的重要网络和信息系统经营者在购买网络产品和服务时，应按照本办法要求考虑申请网络安全审查。
变更3:正式采购前，应声明《办法》正式版本对网络产品和服务提供商以及采购合同的限制也发生了变化:
咨询版规定，运营商应约束产品和服务提供商配合网络安全审查，并“同意产品和服务提供商的意见，即合同在网络安全审查通过后方可生效。”但是，该办法的正式版本也强调了产品和服务提供商配合网络安全审查的义务，但删除了“审查只有在合同通过后才能生效”的条款，因为实际操作可以更加灵活。
根据《网络安全审查办法》，在正常情况下，关键信息基础设施的运营商在正式与产品和服务提供商签订合同之前，应报告网络安全审查。如果供应商不配生存在轮回世界最新章节合网络安全审查或审查不合格，则可以取消采购。
如果您在合同签订后申请网络安全审查，建议在合同中注明，只有在产品和服务采购通过网络安全审查后，合同才能生效，以避免因未通过审查而造成的损失。
此外，运营商还可以将网络安全审查的内容写入合同条款，并利用违约责任来约束产品和服务提供商遵守相关条款，从而保护我们的权益不受侵犯。
转换4:评审内容已经升级。通过对比可以看出，试用版的重点是网络产品和服务的安全性和可控性，而咨询版和官方版的重点已经转向国家安全风险。这一转变表明，审查的重点已经从普遍矛盾升级为重大矛盾，国家安全是重中之重，因此所有努力都应集中在这一点上。
在正式版本中，咨询版的七点审查内容简化为五点，主要删除了“对国防军工、关键信息基础设施相关技术和产业的影响”和“产品和服务提供商受外国政府资助和控制的情况”两条。
在正式版本中，对“业务连续性”的危害被单独提出，这表明“业务连续性”已经成为目前不可忽视的问题。特别是在疫情期间，由于远程工作和隔离原则，一些产品和服务的供应中断，这使得维护关键信息基础架构的业务连续性变得更加困难。这要求网络运营商提前评估、改进其业务连续性计划，并考虑容灾备份和灾难恢复措施。
官方版本还强调产品和服务来源的多样性以及供应渠道的可靠性，这就要求网络运营商在选择供应商时要有可供选择的方案，这样才能在不受政治和外交因素影响的情况下保持长期稳定的供应。
从审查内容可以看出，网络安全审查的目的是维护国家网络安全，而不是限制或歧视外国产品和服务。只要产品和服务提供商遵守中国法律、行政法规和部门规章，中国市场是受欢迎的。
变更5:审查过程很清楚。从上图可以看出，《办法》正式版与征集版的审查流程和时间节点没有太大的不同。只有一步了。“网络安全审查办公室应当收到审查申请材料。在10个工作日内，确定是否需要审查，并书面通知操作员。”这一步给申请人一个快速的反馈，使过程更加有效。
下图显示了最新的审查流程:
通常，从审查开始，网络安全审查在45个工作日内完成，复杂情况将延长15个工作日。进入特别审查程序可能需要45个工作日或更长时间。此外，补充材料的时间不计入审查时限。
过渡6:基本保护部门参与审查。哪些机构或部门组织和实施网络安全审查？
在试行版本中，参与审查工作的机构包括网络安全审查委员会、网络安全审查专家委员会、网络安全审查第三方机构以及金融、电信、能源、交通等重点行业和领域的主管部门。
在《办法》的咨询版和正式版中，12个部门共同建立了全国网络安全审查机制，并成立了网络安全审查办公室，统一组织网络安全审查工作，便于资源的统筹协调。
此外，《办法》的官方版本有一些新的变化。新增相关重点信息基础设施保护部门参与评审，评审中将参考这些部门的意见。这一变化反映了审查的专业性和细节。
另外，根据《网络安全审查办法》，我回答了记者的提问，具体审查工作委托给了中国网络安全审查技术认证中心。中国网络安全审查技术认证中心在网络安全审查办公室的指导下，承担接收申请材料、对申请材料进行正式审查、组织具体审查工作的任务。
变化7:不公平的考试能被报道吗？《办法》对考试机构或人员的行为是否有约束力？答案是肯定的！
《办法》正式版强调:“有关机构和人员应当严格保护企业商业秘密和知识产权，对经营者、产品和服务提供者提交的未公开材料以及在审查工作中获悉的其他未公开信息承担保密义务；未经信息提供者同意，不得向无关方披露或用于检查以外的目的。”这项规定在一定程度上消除了运营商、产品和服务提供商的顾虑。
如发现“审查员不客观、不公正，或者未对审查中获知的信息承担保密义务，可以向网络安全审查办公室或者有关部门报告”。这一点为被检查方提供了一个投诉渠道，促进了公平公正的监督，促进了检查工作的良性循环。
过渡8:审查的对象是特定的。我们都知道审查的对象是网络产品和服务，但它到底意味着什么？
《办法》正式版解释称，网络产品和服务主要是指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务以及其他对关键信息基础设施安全有重要影响的网络产品和服务。
变更9:对违规行为的处罚已经明确。《办法》的正式版和征求意见版都明确规定，对违规者的罚款按照《中华人民共和国网络安全法》第65条处理。
“根据《网络安全法》第65条，如果网络安全审查应当申报而不申报，或者使用未经网络安全审查的产品和服务，有关主管部门应当责令其停止使用，购买金额应当增加一倍以上。不足十倍的罚款；对直接负责的主管人员和其他直接责任人员处以一万元以上十万元以下的罚款。”
最后，安州网再次提醒，《网络安全审查办法》将于2020年6月1日起实施，重点信息基础设施运营商必须尽快阅读并充分理解《办法》的规定，并及时提交相关申报，避免不必要的损失。
文章来源：www.atolchina.com