近日,國(guó)家網信辦、發(fā)改委等12部門聯合發(fā)布《網絡安全審查辦法》,將(jiāng)于今年6月1日起(qǐ)實施。《辦法》主要針對(duì)關鍵信息基礎設施建立完善的網絡安全審查制度,并通過(guò)此舉措,避免采購産品及服務帶來的風險,保障關鍵基礎設施的供應鏈安全,從而保障國(guó)家安全、經(jīng)濟安全、社會(huì)穩定、公衆健康和安全。
《辦法》來源
《中華人民共和國(guó)國(guó)家安全法》
《中華人民共和國(guó)網絡安全法》
适用群體和範圍
關鍵信息基礎設施運營者(CIIO);
采購的網絡産品和服務。
《辦法》所稱網絡産品和服務主要指核心網絡設備、高性能(néng)計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、雲計算服務,以及其他對(duì)關鍵信息基礎設施安全有重要影響的網絡産品和服務。
審查要點
關鍵信息基礎設施;
影響國(guó)家安全;
采購的産品。
通過(guò)“自主預判,主動申報”的方式,在采購網絡産品和服務時,CIIO運營者應當預判産品或服務投入使用後(hòu)所帶來的國(guó)家風險,如可能(néng)産生影響,主動向(xiàng)網絡安全審查辦公室申報。
申報流程
違規後(hòu)果
根據《網絡安全法》第六十五條規定,應當申報網絡安全審查而沒(méi)有申報的,或者使用網絡安全審查未通過(guò)的産品和服務,由有關主管部門責令停止使用,處采購金額一倍以上十倍以下罰款;對(duì)直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
伴随5G、工業互聯網、大數據中心、雲計算等新一代數字基礎設施規模化建設和應用,越來越多的重要信息系統將(jiāng)承載與國(guó)家安全和經(jīng)濟發(fā)展密切相關的核心業務和海量數據。有關機構針對(duì)國(guó)内主流電力廠商的産品摸底測試發(fā)現,涉及28個廠商、70餘個型号的産品中均發(fā)現了中高危漏洞,可能(néng)造成(chéng)服務中斷、信息洩露等。國(guó)家工業信息安全發(fā)展研究中心調查發(fā)現,很多知名工控廠商提供的設備中存在安全漏洞,其中中高危漏洞占較大比例,一旦被(bèi)攻擊入侵,將(jiāng)可能(néng)造成(chéng)生産停滞、斷水斷電、重大經(jīng)濟損失等後(hòu)果。
面(miàn)對(duì)日益嚴峻的網絡安全形勢,我國(guó)對(duì)關鍵信息基礎設施的重視程度日益增加,接連發(fā)布了多條相關法律法規。此次《辦法》的頒布,也是在對(duì)關鍵信息基礎設施可能(néng)由于引入外來設備、服務而導緻的安全風險進(jìn)行預防和管控。
值得注意的是,該《辦法》由我國(guó)十二個重要部門聯合發(fā)布,網絡安全審查辦公室具有審查權,同時也可能(néng)通過(guò)接收舉報來确定疑似風險,因此,CIIO運營者應當盡力确保購入産品或服務的安全、可靠。在需要引入第三方的産品或服務時,我們應當更多的考量國(guó)内市場中的國(guó)産化産品與服務,保證産品或服務自主可控,同時爲了維護國(guó)家網絡安全,結合本《辦法》,可以預測來源境外的不可信産品及服務、國(guó)内市場中資質不全與合規性不強的産品或服務,將(jiāng)一緻受到我國(guó)有關部門的重點審查。
