《网络安全审查办法》解读

 

4月27日,国家网信办官网公布了一则消息,引发热议:近日,国家互联网信息办公室、国家发改委等12个部门联合发布了《网络安全审查办法》(以下简称《办法》),今年6月1日起实施。

《网络安全审查办法》全文

我国建立网络安全审查制度,目的是通过网络安全审查这一举措,及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害,保障关键信息基础设施供应链安全,维护国家安全。

 

网络安全审查主要审查哪些内容?

网络安全审查重点评估关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险,包括:

(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险

(二)产品和服务供应中断对关键信息基础设施业务连续性的危害

(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险

(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况

(五)其他可能危害关键信息基础设施安全和国家安全的因素

 

《网络安全审查办法》的9大转变

《网络安全审查办法》的前身是2017年5月2日发布的《网络产品和服务安全审查办法(试行)》,正式版《办法》实施的同时,其前身试行版同时废止。此外,正式版《办法》出台之前还经历了2019年5月24日发布的征求意见稿,正式版可以说是在征求意见稿的框架上修订完善而成。

前身:网络产品和服务安全审查办法(试行)

框架:网络安全审查办法(征求意见稿)

那么,正式版《办法》和试行版、征求意见版有什么不同?在安数网络看来,三者的差别还是比较大的。正式版在以往版本的基础上经过了精雕细琢、千锤百炼,发生了9大转变!

 

转变1:关键信息基础设施C位出道了

纵观正式版《办法》、征求意见版、试行版全文可以发现,提及“关键信息基础设施”一词的次数变化了!关键信息基础设施的重要性被反复强调,曝光度激增,用时下流行的话来说就是:C位出道了!

据上图,提及“关键信息基础设施”的次数从2次变为13次,标题也从“网络产品和服务安全”变为“网络安全”,可见国家对关键信息基础设施的重视程度。可以说正式版《网络安全审查办法》是一部聚焦“关键信息基础设施”的法规,网络安全的决定因素是关键信息基础设施安全,网络产品和服务必须保障关键信息基础设施安全可控,才能实现网络安全。

2014年2月,关键信息基础设施这个概念在中央网络安全和信息化领导小组第一次会议上被提出;2016年11月,《网络安全法》发布,明确了关键信息基础设施的定义为:

公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的设施。

以往,“关键信息基础设施”这一概念只是安全圈内受到瞩目,社会大众甚至广大关基运营者对其认识并不清晰,有点曲高和寡的意思。如今,《网络安全审查办法》把“关键信息基础设施”推到了聚光灯下,以后无论是运营者,还是网络产品和服务的供应商都要配合进行关键信息基础设施的网络安全审查。

欧美等国家在关键信息基础设施(Critical Information Infrastructure,CII)保护方面也早有立法。伊朗“震网”病毒事件敲响警钟,让工控系统安全成为全球瞩目的焦点。为了应对日益增长的网络安全威胁,欧美等发达国家纷纷采取措施,从法律法规、发展战略、技术标准、管理体系等方面入手,加强国家关键信息基础设施的保护。“9·11”事件之后,美国强化了对关键信息基础设施的保护,建立了以国土安全部为主导、各部门之间职能分工明确、公私相互协作的关键信息基础设施保护组织体系。

当前,随着新冠疫情的全球大流行趋势,关键信息基础设施的保护也进入一种“新常态”:我们从固定的传统基础设施迅速发展成为虚拟的、分布式的基础设施,以支持远程工作实现安全社交距离。在这种新的架构中,我们面临更多风险,保证业务连续性和防御性是当务之急。

这个时候,《网络安全审查办法》的出台,对关键信息基础设施保护工作的意义尤为重大。

 

转变2:预判指南更严谨了

关键信息基础设施的运营者如何预判是否需要申报网络安全审查?正式版《办法》进行了修订:

试行版没有提供预判指南,征求意见版提出了4种潜在安全风险需要申报网络安全审查,而正式版《办法》只强调了影响或可能影响国家安全的情况需要申报网络安全审查,而具体预判细则需参考本行业、本领域关基保护工作部门的预判指南

不同行业、领域的关键信息基础设施所面临的潜在风险不一样,危害国家安全的程度也不相同,因此新的说法更严谨,各行业的关基保护工作部门可制定各自的预判指南引导该行业运营者进行预判,因行业而异的做法更周密。

根据中央网络安全和信息化委员会《关于关键信息基础设施安全保护工作有关事项的通知》精神,电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时,应当按照《办法》要求考虑申报网络安全审查。

 

转变3:应在正式采购前申报安全审查

正式版《办法》对网络产品和服务提供商、采购合同的约束,也有了变化:

征求意见版规定了运营者应约束产品和服务提供者配合网络安全审查,“并与产品和服务提供者约定网络安全审查通过后合同方可生效”。而正式版《办法》同样强调了产品和服务提供者配合网络安全审查的义务,但删去了“审查通过合同方可生效”这一条,因为实际操作可以更灵活。

根据《网络安全审查办法》答记者问,通常情况下,关键信息基础设施运营者应当在与产品和服务提供方正式签署合同前申报网络安全审查。如果提供方不配合网络安全审查或未通过审查,则可以取消采购。

如果在签署合同后申报网络安全审查,建议在合同中注明此合同须在产品和服务采购通过网络安全审查后方可生效,以避免因为没有通过审查而造成损失。

另外,运营者也可将网络安全审查的内容写入合同条款,用违约责任来约束产品和服务提供者遵守相关条款,保障我方权益不受侵害。

 

转变4:审查内容升级了

对比可以看出,试行版的审查重点是网络产品和服务的安全性、可控性,征求意见版和正式版的审查重点转变到国家安全风险上,这一转变可以看出审查重点从普遍矛盾提升到了主要矛盾,国家安全是重中之重,应集中所有力量抓好这一点。

正式版将征求意见版的七点审查内容精简到了五点,主要删掉了“对国防军工、关键信息基础设施相关技术和产业的影响”、“产品和服务提供者受外国政府资助、控制等情况”这2条。

正式版将对“业务连续性”的危害,单独提出为一条,可见“业务连续性”已成为当前不容忽视的问题,特别是疫情期间,在远程工作和隔离原则导致某些产品和服务供应中断,保持关键信息基础设施的业务连续性变得更具挑战性。这要求网络运营者预先评估,完善其业务连续性计划,考虑容灾备份、灾难恢复措施等。

正式版还特别强调了产品和服务来源的多样性、供应渠道的可靠性,这就要求网路运营者在选择供应商时要有备选计划,能不受政治、外交等因素影响,保持长期稳定地供应。

从审查内容可以看出,网络安全审查的目的是维护国家网络安全,不是要限制或歧视国外产品和服务。只要产品和服务提供者遵守中国法律、行政法规、部门规章,中国市场都是欢迎的。

 

转变5:审查流程明确了

从上图可以看出,正式版《办法》和征求意见版的审查流程、时间节点的相差不大,只多了一步“网络安全审查办公室应当自收到审查申报材料起,10个工作日内确定是否需要审查并书面通知运营者。”这一步给了申报者一个快速反馈,使得流程更加高效。

最新的审查流程如下图所示:

通常情况下,从启动审查开始,网络安全审查在45个工作日内完成,情况复杂的会延长15个工作日。进入特别审查程序的审查项目,可能还需要45个工作日或者更长。另外,补充提供材料的时间不计入审查时限。

 

转变6:关基保护工作部门参与审查

网络安全审查工作由哪些机构或部门组织、执行?

试行版中参与审查工作的机构有网络安全审查会员会、网络安全审查专家委员会,网络安全审查第三方机构以及金融、电信、能源、交通等重点行业和领域主管部门。

征求意见版和正式版《办法》中,12部门联合建立国家网络安全审查工作机制,设立网络安全审查办公室统一组织网络安全审查工作,便于统筹协调资源。

除此之外,正式版《办法》有一点新变化,参与审查的增加了相关关键信息基础设施保护工作部门,审查工作会参考这些部门的意见,这个变化体现了审查的专业性和细致性。

另据《网络安全审查办法》答记者问具体审查工作委托中国网络安全审查技术与认证中心承担。中国网络安全审查技术与认证中心在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审查、具体组织审查工作等任务。

 

转变7:审查不公正可以举报

《办法》对执行审查工作的机构或人员的行为有约束吗?答案是有的!

正式版《办法》中特别强调了“相关机构和人员应严格保护企业商业秘密和知识产权,对运营者、产品和服务提供者提交的未公开材料,以及审查工作中获悉的其他未公开信息承担保密义务;未经信息提供方同意,不得向无关方披露或用于审查以外的目的”,这一规定一定程度上消除了运营者、产品和服务提供者的担忧。

如果发现“审查人员有失客观公正,或未能对审查工作中获悉的信息承担保密义务的,可以向网络安全审查办公室或者有关部门举报”。这一点给被审查方提供了申诉通道,促进对公平公正的监督,对审查工作的良性循环起到了推进作用。

 

转变8:审查对象具体了

我们都知道审查对象是网络产品和服务,它具体是指什么?

正式版《办法》中给出了解释:网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。

 

转变9:违规罚款明确了

正式版《办法》和征求意见版都明确了对违规者的罚款依照《中华人民共和国网络安全法》第六十五条的规定处理。

“根据《网络安全法》第六十五条规定,应当申报网络安全审查而没有申报的,或者使用网络安全审查未通过的产品和服务,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

最后,安数网络再次提醒,2020年6月1日《网络安全审查办法》即将实施,关键信息基础设施运营者务必尽快阅读并充分理解《办法》各项条款,及时提交相关申报,以免造成不必要的损失。

本文由安数网络原创,转载请注明出处。

(完)