咨询电话 400-688-1107
政策法规
技术文章 行业标准 政策法规
首页 > 政策法规
《网络产品和服务安全审查办法》解读
2023-09-09 21:46 来源:未知

  国家互联网信息办公室于2017年5月2日发布《网络产品和服务安全审查办法(试行)》(以下简称《审查办法》),成为首个正式生效的《网络安全法》的重要配套办法,于2017年6月1日与《网络安全法》同日实施。

  

  一、审查对象

  

  为提高网络产品和服务安全可控水平,防范网络安全风险,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》等法律法规,《审查办法》第二条明确规定,关系国家安全的网络和信息系统采购的重要网络产品和服务,应当经过网络安全审查。

  

  审查对象是关系到国家安全的重要网络产品和服务,并非所有网络产品和服务都需要审查,也就是有条件的。而且,重点审查的是网络产品和服务的安全性、可控性。判定是否影响国家安全和公共利益,主要看产品和服务使用后,是否会危害国家政权和主权安全,是否会危害广大人民群众利益,是否会影响国家经济可持续发展及国家其他重大利益。从等级保护制度角度来讲,凡是定级备案的2级以上重要信息系统,所使用的重要网络产品和服务都必须经过网络安全审查。

  

  《审查办法》仅仅是一个纲领性规定和指导性文件,还需要执行细化的内容,包括具体信息系统、产品和服务列表等。

  

  二、审查用户

  

  《审查办法》规定,下面的用户需要开展审查工作。

  

  (1)金融、电信、能源、交通等重点行业主管部门。根据国家网络安全审查工作要求,组织开展本行业、本领域网络产品和服务安全审查工作。

  

  (2)公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域。

  

  (3)关键信息基础设施运营者。采购的网络产品和服务,可能影响国家安全的,应当经过网络安全审查。网络产品和服务是否影响国家安全,由关键信息基础设施保护工作部门确定。

  

  在《审查办法》征求意见稿中,还提出“党政部门及重点行业,优先采购通过审查的网络产品和服务,不得采购审查未通过的网络产品和服务”。因为争议较大,被删除。

  

  三、审查内容

  

  网络安全审查重点审查网络产品和服务的安全性、可控性,主要包括:

  

  (一)产品和服务自身的安全风险,以及被非法控制、干扰和中断运行的风险;

  

  (二)产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险;

  

  (三)产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险;

  

  (四)产品和服务提供者利用用户对产品和服务的依赖,损害网络安全和用户利益的风险;

  

  (五)其他可能危害国家安全的风险。

  

  也就是说,不审查网络产品和服务的功能和性能。对网络用户来讲,重点审查网络产品和服务的安全性、可控性,产品和服务提供者不得利用提供产品和服务的便利条件非法获取用户的信息,不能损害用户对自己信息的自主权、支配权;不得非法控制、操纵用户的系统或设备,用户自己的系统要用户自己控制;不得利用广大用户对产品和服务的依赖搞不正当竞争,谋取不正当利益,比如停止必要的安全服务、搞垄断经营等。目的是维护用户信息安全,维护国家安全和广大人民群众的合法权益。

  

  四、审查工作流程

  

  1、申请阶段

  

  网络安全审查办公室根据国家有关部门要求、全国性行业协会建议、市场反映和企业申请启动网络安全审查。国家互联网信息办公室会同有关部门成立网络安全审查委员会,负责审议网络安全审查的重要政策,统一组织网络安全审查工作,协调网络安全审查相关重要问题。网络安全审查办公室具体组织实施网络安全审查。

  

  因此,网络产品和服务的供应者、生产者需要确定审查对象,向网络安全审查办公室提交申请。

  

  2、第三方评价

  

  国家依法认定网络安全审查第三方机构,承担网络安全审查中的第三方评价工作。网络产品和服务的供应者、生产者通过第三方机构,在实验室检测、现场检查、在线监测、背景调查相结合等工作方式下,对网络产品和服务及其供应链进行网络安全审查。

  

  3、专家评估

  

  网络安全审查委员会聘请相关专家组成网络安全审查专家委员会,在第三方评价基础上,对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估。

  

  4、审查结果通报

  

  坚持企业承诺与社会监督相结合,第三方评价与政府持续监管相结合的原则,网络安全审查办公室按照国家有关要求、根据全国性行业协会建议和用户反映等,按程序确定审查对象,组织第三方机构、专家委员会对网络产品和服务进行网络安全审查,并发布或在一定范围内通报审查结果。网络安全审查办公室不定期发布网络产品和服务安全评估报告。

  

  五、第三方机构管理

  

  鉴于第三方机构负责网络产品和服务的基础评价,决定网络产品和服务是否能够销售,地位作用非常重要,因此必须加强对第三方机构的管理。

  

  1、国家依法认定

  

  未来第三方机构,一定要满足三大可信,一是主体可信,该机构主体应该具备普遍公信力,不能是“既当运动员,又当裁判员”等;二是资质可信,该机构要有国家认可的资质和技术水平;三是机制可信,测评的流程、机制和标准,首先要按照国家规定,同时作为机构本身,也应当实现机制流程的可控、透明和公正。

  

  2、客观公正

  

  承担网络安全审查的第三方机构,应当坚持客观、公正、公平的原则,按照国家有关规定,参照有关标准,采取实验室检测、现场检查、在线监测、背景调查相结合方式,重点从产品和服务及其供应链的安全性、可控性,安全机制和技术的透明性等方面进行评价,并对评价结果负责。

  

  3、安全保密

  

  第三方机构等相关单位和人员对审查工作中获悉的信息等承担安全保密义务,不得用于网络安全审查以外的目的。同时,网络产品和服务提供者应当对网络安全审查工作予以配合,并对提供材料的真实性负责。

  

  4、举报约束制度

  

  网络产品和服务提供者认为第三方机构等相关单位和人员有失客观公正,或未能对审查工作中获悉的信息承担安全保密义务的,可以向网络安全审查办公室或者有关部门举报。