近日,国家网信办、发改委等12部门联合发布《网络安全审查办法》,将于今年6月1日起实施。《办法》主要针对关键信息基础设施建立完善的网络安全审查制度,并通过此举措,避免采购产品及服务带来的风险,保障关键基础设施的供应链安全,从而保障国家安全、经济安全、社会稳定、公众健康和安全。
《办法》来源
《中华人民共和国国家安全法》
《中华人民共和国网络安全法》
适用群体和范围
关键信息基础设施运营者(CIIO);
采购的网络产品和服务。
《办法》所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。
审查要点
关键信息基础设施;
影响国家安全;
采购的产品。
通过“自主预判,主动申报”的方式,在采购网络产品和服务时,CIIO运营者应当预判产品或服务投入使用后所带来的国家风险,如可能产生影响,主动向网络安全审查办公室申报。
申报流程
违规后果
根据《网络安全法》第六十五条规定,应当申报网络安全审查而没有申报的,或者使用网络安全审查未通过的产品和服务,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
伴随5G、工业互联网、大数据中心、云计算等新一代数字基础设施规模化建设和应用,越来越多的重要信息系统将承载与国家安全和经济发展密切相关的核心业务和海量数据。有关机构针对国内主流电力厂商的产品摸底测试发现,涉及28个厂商、70余个型号的产品中均发现了中高危漏洞,可能造成服务中断、信息泄露等。国家工业信息安全发展研究中心调查发现,很多知名工控厂商提供的设备中存在安全漏洞,其中中高危漏洞占较大比例,一旦被攻击入侵,将可能造成生产停滞、断水断电、重大经济损失等后果。
面对日益严峻的网络安全形势,我国对关键信息基础设施的重视程度日益增加,接连发布了多条相关法律法规。此次《办法》的颁布,也是在对关键信息基础设施可能由于引入外来设备、服务而导致的安全风险进行预防和管控。
值得注意的是,该《办法》由我国十二个重要部门联合发布,网络安全审查办公室具有审查权,同时也可能通过接收举报来确定疑似风险,因此,CIIO运营者应当尽力确保购入产品或服务的安全、可靠。在需要引入第三方的产品或服务时,我们应当更多的考量国内市场中的国产化产品与服务,保证产品或服务自主可控,同时为了维护国家网络安全,结合本《办法》,可以预测来源境外的不可信产品及服务、国内市场中资质不全与合规性不强的产品或服务,将一致受到我国有关部门的重点审查。