近日,國(guó)家网信办、发改委等12部门联合发布《网络安全审查办法》,将于今年(nián)6月1日起实施。《办法》主要(yào)针对关键信息基础设施建立完善的网络安全审查制度,并通(tōng)过此举措,避免采购产品及服务带来的風(fēng)险,保障关键基础设施的供应链安全,從(cóng)而保障國(guó)家安全、经济安全、社会稳定、公众健康和(hé)安全。
《办法》来源
《中华人(rén)民共和(hé)國(guó)國(guó)家安全法》
《中华人(rén)民共和(hé)國(guó)网络安全法》
适用群体和(hé)范围
关键信息基础设施运营者(CIIO);
采购的网络产品和(hé)服务。
《办法》所称网络产品和(hé)服务主要(yào)指核心网络设备、高性能(néng)计算机和(hé)服务器、大容量存储设备、大型數(shù)据库和(hé)应用软件、网络安全设备、云计算服务,以及其他(tā)对关键信息基础设施安全有重要(yào)影响的网络产品和(hé)服务。
审查要(yào)点
关键信息基础设施;
影响國(guó)家安全;
采购的产品。
通(tōng)过“自(zì)主预判,主动申报”的方式,在采购网络产品和(hé)服务時(shí),CIIO运营者应当预判产品或服务投入使用后所带来的國(guó)家風(fēng)险,如(rú)可(kě)能(néng)产生影响,主动向网络安全审查办公室申报。
申报流程
违规后果
根据《网络安全法》第六十五条规定,应当申报网络安全审查而没有申报的,或者使用网络安全审查未通(tōng)过的产品和(hé)服务,由有关主管部门责令停止使用,处采购金(jīn)额一(yī)倍以上(shàng)十倍以下(xià)罚款;对直接负责的主管人(rén)員(yuán)和(hé)其他(tā)直接责任人(rén)員(yuán)处一(yī)万元以上(shàng)十万元以下(xià)罚款。
伴随5G、工(gōng)业互联网、大數(shù)据中心、云计算等新一(yī)代數(shù)字基础设施规模化建设和(hé)应用,越来越多的重要(yào)信息系统将承载与國(guó)家安全和(hé)经济发展密切相关的核心业务和(hé)海(hǎi)量數(shù)据。有关机构针对國(guó)內(nèi)主流电力厂商的产品摸底测试发现,涉及28个厂商、70余个型号的产品中均发现了(le)中高危漏洞,可(kě)能(néng)造成服务中断、信息泄露等。國(guó)家工(gōng)业信息安全发展研究中心调查发现,很(hěn)多知名工(gōng)控厂商提供的设备中存在安全漏洞,其中中高危漏洞占较大比例,一(yī)旦被攻击入侵,将可(kě)能(néng)造成生产停滞、断水断电、重大经济损失等后果。
面对日益严峻的网络安全形势,我國(guó)对关键信息基础设施的重視(shì)程度日益增加,接连发布了(le)多条相关法律法规。此次《办法》的颁布,也是在对关键信息基础设施可(kě)能(néng)由于引入外(wài)来设备、服务而导致的安全風(fēng)险进行(xíng)预防和(hé)管控。
值得注意的是,该《办法》由我國(guó)十二个重要(yào)部门联合发布,网络安全审查办公室具有审查权,同時(shí)也可(kě)能(néng)通(tōng)过接收举报来确定疑似風(fēng)险,因此,CIIO运营者应当尽力确保购入产品或服务的安全、可(kě)靠。在需要(yào)引入第三方的产品或服务時(shí),我们应当更多的考量國(guó)內(nèi)市场中的國(guó)产化产品与服务,保证产品或服务自(zì)主可(kě)控,同時(shí)為(wèi)了(le)维护國(guó)家网络安全,结合本《办法》,可(kě)以预测来源境外(wài)的不可(kě)信产品及服务、國(guó)內(nèi)市场中资质不全与合规性不强的产品或服务,将一(yī)致受到我國(guó)有关部门的重点审查。
浙公网安备 33010602012081号