4月27日，國家網(wǎng)信辦官網(wǎng)公布了一則消息，引發(fā)熱議：近日，國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)改委等12個部門聯(lián)合發(fā)布了《網(wǎng)絡安全審查辦法》（以下簡稱《辦法》），今年6月1日起實施。

《網(wǎng)絡安全審查辦法》全文

我國建立網(wǎng)絡安全審查制度，目的是通過網(wǎng)絡安全審查這一舉措，及早發(fā)現(xiàn)并避免采購產(chǎn)品和服務給關鍵信息基礎設施運行帶來風險和危害，保障關鍵信息基礎設施供應鏈安全，維護國家安全。

網(wǎng)絡安全審查主要審查哪些內(nèi)容？

網(wǎng)絡安全審查重點評估關鍵信息基礎設施運營者采購網(wǎng)絡產(chǎn)品和服務可能帶來的國家安全風險，包括：

（一）產(chǎn)品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞，以及重要數(shù)據(jù)被竊取、泄露、毀損的風險；

（二）產(chǎn)品和服務供應中斷對關鍵信息基礎設施業(yè)務連續(xù)性的危害；

（三）產(chǎn)品和服務的安全性、開放性、透明性、來源的多樣性，供應渠道的可靠性以及因為政治、外交、貿(mào)易等因素導致供應中斷的風險；

（四）產(chǎn)品和服務提供者遵守中國法律、行政法規(guī)、部門規(guī)章情況；

（五）其他可能危害關鍵信息基礎設施安全和國家安全的因素。

《網(wǎng)絡安全審查辦法》的9大轉(zhuǎn)變

《網(wǎng)絡安全審查辦法》的前身是2017年5月2日發(fā)布的《網(wǎng)絡產(chǎn)品和服務安全審查辦法（試行）》，正式版《辦法》實施的同時，其前身試行版同時廢止。此外，正式版《辦法》出臺之前還經(jīng)歷了2019年5月24日發(fā)布的征求意見稿，正式版可以說是在征求意見稿的框架上修訂完善而成。

前身：網(wǎng)絡產(chǎn)品和服務安全審查辦法（試行）

框架：網(wǎng)絡安全審查辦法（征求意見稿）

我們來看看正式版《辦法》和試行版、征求意見版有什么不同？在安數(shù)網(wǎng)絡看來，三者的差別還是比較大的。正式版在以往版本的基礎上經(jīng)過了精雕細琢、千錘百煉，發(fā)生了9大轉(zhuǎn)變！      

轉(zhuǎn)變1：關鍵信息基礎設施C位出道了

縱觀正式版《辦法》、征求意見版、試行版全文可以發(fā)現(xiàn)，提及“關鍵信息基礎設施”一詞的次數(shù)變化了！關鍵信息基礎設施的重要性被反復強調(diào)，曝光度激增，用時下流行的話來說就是：C位出道了！

據(jù)上圖，提及“關鍵信息基礎設施”的次數(shù)從2次變?yōu)?3次，標題也從“網(wǎng)絡產(chǎn)品和服務安全”變?yōu)椤熬W(wǎng)絡安全”，可見國家對關鍵信息基礎設施的重視程度。可以說正式版《網(wǎng)絡安全審查辦法》是一部聚焦“關鍵信息基礎設施”的法規(guī)，網(wǎng)絡安全的決定因素是關鍵信息基礎設施安全，網(wǎng)絡產(chǎn)品和服務必須保障關鍵信息基礎設施安全可控，才能實現(xiàn)網(wǎng)絡安全。

2014年2月，關鍵信息基礎設施這個概念在中央網(wǎng)絡安全和信息化領導小組第一次會議上被提出；2016年11月，《網(wǎng)絡安全法》發(fā)布，明確了關鍵信息基礎設施的定義為：

公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的設施。

以往，“關鍵信息基礎設施”這一概念只是安全圈內(nèi)受到矚目，社會大眾甚至廣大關基運營者對其認識并不清晰，有點曲高和寡的意思。如今，《網(wǎng)絡安全審查辦法》把“關鍵信息基礎設施”推到了聚光燈下，以后無論是運營者，還是網(wǎng)絡產(chǎn)品和服務的供應商都要配合進行關鍵信息基礎設施的網(wǎng)絡安全審查。

歐美等國家在關鍵信息基礎設施（Critical Information Infrastructure，CII）保護方面也早有立法。伊朗“震網(wǎng)”病毒事件敲響警鐘，讓工控系統(tǒng)安全成為全球矚目的焦點。為了應對日益增長的網(wǎng)絡安全威脅，歐美等發(fā)達國家紛紛采取措施，從法律法規(guī)、發(fā)展戰(zhàn)略、技術標準、管理體系等方面入手，加強國家關鍵信息基礎設施的保護。“9·11”事件之后，美國強化了對關鍵信息基礎設施的保護，建立了以國土安全部為主導、各部門之間職能分工明確、公私相互協(xié)作的關鍵信息基礎設施保護組織體系。

當前，隨著新冠疫情的全球大流行趨勢，關鍵信息基礎設施的保護也進入一種“新常態(tài)”：我們從固定的傳統(tǒng)基礎設施迅速發(fā)展成為虛擬的、分布式的基礎設施，以支持遠程工作實現(xiàn)安全社交距離。在這種新的架構(gòu)中，我們面臨更多風險，保證業(yè)務連續(xù)性和防御性是當務之急。

這個時候，《網(wǎng)絡安全審查辦法》的出臺，對關鍵信息基礎設施保護工作的意義尤為重大。

轉(zhuǎn)變2：預判指南更嚴謹了

關鍵信息基礎設施的運營者如何預判是否需要申報網(wǎng)絡安全審查？

正式版《辦法》對前2個版本的說法進行了修訂：

試行版沒有提供預判指南，征求意見版提出了4種潛在安全風險需要申報網(wǎng)絡安全審查，而正式版《辦法》只強調(diào)了影響或可能影響國家安全的情況需要申報網(wǎng)絡安全審查，而具體預判細則需參考本行業(yè)、本領域關基保護工作部門的預判指南。

不同行業(yè)、領域的關鍵信息基礎設施所面臨的潛在風險不一樣，危害國家安全的程度也不相同，因此新的說法更嚴謹，各行業(yè)的關基保護工作部門可制定各自的預判指南引導該行業(yè)運營者進行預判，因行業(yè)而異的做法更周密。

根據(jù)中央網(wǎng)絡安全和信息化委員會《關于關鍵信息基礎設施安全保護工作有關事項的通知》精神，電信、廣播電視、能源、金融、公路水路運輸、鐵路、民航、郵政、水利、應急管理、衛(wèi)生健康、社會保障、國防科技工業(yè)等行業(yè)領域的重要網(wǎng)絡和信息系統(tǒng)運營者在采購網(wǎng)絡產(chǎn)品和服務時，應當按照《辦法》要求考慮申報網(wǎng)絡安全審查。

轉(zhuǎn)變3：應在正式采購前申報安全審查

正式版《辦法》對網(wǎng)絡產(chǎn)品和服務提供商、采購合同的約束，也有了變化：

征求意見版規(guī)定了運營者應約束產(chǎn)品和服務提供者配合網(wǎng)絡安全審查，“并與產(chǎn)品和服務提供者約定網(wǎng)絡安全審查通過后合同方可生效”。而正式版《辦法》同樣強調(diào)了產(chǎn)品和服務提供者配合網(wǎng)絡安全審查的義務，但刪去了“審查通過合同方可生效”這一條，因為實際操作可以更靈活。

根據(jù)《網(wǎng)絡安全審查辦法》答記者問，通常情況下，關鍵信息基礎設施運營者應當在與產(chǎn)品和服務提供方正式簽署合同前申報網(wǎng)絡安全審查。如果提供方不配合網(wǎng)絡安全審查或未通過審查，則可以取消采購。

如果在簽署合同后申報網(wǎng)絡安全審查，建議在合同中注明此合同須在產(chǎn)品和服務采購通過網(wǎng)絡安全審查后方可生效，以避免因為沒有通過審查而造成損失。

另外，運營者也可將網(wǎng)絡安全審查的內(nèi)容寫入合同條款，用違約責任來約束產(chǎn)品和服務提供者遵守相關條款，保障我方權益不受侵害。

轉(zhuǎn)變4：審查內(nèi)容升級了

對比可以看出，試行版的審查重點是網(wǎng)絡產(chǎn)品和服務的安全性、可控性，征求意見版和正式版的審查重點轉(zhuǎn)變到國家安全風險上，這一轉(zhuǎn)變可以看出審查重點從普遍矛盾提升到了主要矛盾，國家安全是重中之重，應集中所有力量抓好這一點。

正式版將征求意見版的七點審查內(nèi)容精簡到了五點，主要刪掉了“對國防軍工、關鍵信息基礎設施相關技術和產(chǎn)業(yè)的影響”、“產(chǎn)品和服務提供者受外國政府資助、控制等情況”這2條。

正式版將對“業(yè)務連續(xù)性”的危害，單獨提出為一條，可見“業(yè)務連續(xù)性”已成為當前不容忽視的問題，特別是疫情期間，在遠程工作和隔離原則導致某些產(chǎn)品和服務供應中斷，保持關鍵信息基礎設施的業(yè)務連續(xù)性變得更具挑戰(zhàn)性。這要求網(wǎng)絡運營者預先評估，完善其業(yè)務連續(xù)性計劃，考慮容災備份、災難恢復措施等。

正式版還特別強調(diào)了產(chǎn)品和服務來源的多樣性、供應渠道的可靠性，這就要求網(wǎng)路運營者在選擇供應商時要有備選計劃，能不受政治、外交等因素影響，保持長期穩(wěn)定地供應。

從審查內(nèi)容可以看出，網(wǎng)絡安全審查的目的是維護國家網(wǎng)絡安全，不是要限制或歧視國外產(chǎn)品和服務。只要產(chǎn)品和服務提供者遵守中國法律、行政法規(guī)、部門規(guī)章，中國市場都是歡迎的。

轉(zhuǎn)變5：審查流程明確了

從上圖可以看出，正式版《辦法》和征求意見版的審查流程、時間節(jié)點的相差不大，只多了一步“網(wǎng)絡安全審查辦公室應當自收到審查申報材料起，10個工作日內(nèi)確定是否需要審查并書面通知運營者。”這一步給了申報者一個快速反饋，使得流程更加高效。

通常情況下，從啟動審查開始，網(wǎng)絡安全審查在45個工作日內(nèi)完成，情況復雜的會延長15個工作日。進入特別審查程序的審查項目，可能還需要45個工作日或者更長。另外，補充提供材料的時間不計入審查時限。

轉(zhuǎn)變6：關基保護工作部門參與審查

網(wǎng)絡安全審查工作由哪些機構(gòu)或部門組織、執(zhí)行？

試行版中參與審查工作的機構(gòu)有網(wǎng)絡安全審查會員會、網(wǎng)絡安全審查專家委員會，網(wǎng)絡安全審查第三方機構(gòu)以及金融、電信、能源、交通等重點行業(yè)和領域主管部門。

征求意見版和正式版《辦法》中，12部門聯(lián)合建立國家網(wǎng)絡安全審查工作機制，設立網(wǎng)絡安全審查辦公室統(tǒng)一組織網(wǎng)絡安全審查工作，便于統(tǒng)籌協(xié)調(diào)資源。

除此之外，正式版《辦法》有一點新變化，參與審查的增加了相關關鍵信息基礎設施保護工作部門，審查工作會參考這些部門的意見，這個變化體現(xiàn)了審查的專業(yè)性和細致性。

另據(jù)《網(wǎng)絡安全審查辦法》答記者問，具體審查工作委托中國網(wǎng)絡安全審查技術與認證中心承擔。中國網(wǎng)絡安全審查技術與認證中心在網(wǎng)絡安全審查辦公室的指導下，承擔接收申報材料、對申報材料進行形式審查、具體組織審查工作等任務。

轉(zhuǎn)變7：審查不公正可以舉報

《辦法》對執(zhí)行審查工作的機構(gòu)或人員的行為有約束嗎？答案是有的！

正式版《辦法》中特別強調(diào)了“相關機構(gòu)和人員應嚴格保護企業(yè)商業(yè)秘密和知識產(chǎn)權，對運營者、產(chǎn)品和服務提供者提交的未公開材料，以及審查工作中獲悉的其他未公開信息承擔保密義務；未經(jīng)信息提供方同意，不得向無關方披露或用于審查以外的目的”，這一規(guī)定一定程度上消除了運營者、產(chǎn)品和服務提供者的擔憂。

如果發(fā)現(xiàn)“審查人員有失客觀公正，或未能對審查工作中獲悉的信息承擔保密義務的，可以向網(wǎng)絡安全審查辦公室或者有關部門舉報”。這一點給被審查方提供了申訴通道，促進對公平公正的監(jiān)督，對審查工作的良性循環(huán)起到了推進作用。

轉(zhuǎn)變8：審查對象具體了

我們都知道審查對象是網(wǎng)絡產(chǎn)品和服務，但它具體是指什么？

正式版《辦法》中給出了解釋：網(wǎng)絡產(chǎn)品和服務主要指核心網(wǎng)絡設備、高性能計算機和服務器、大容量存儲設備、大型數(shù)據(jù)庫和應用軟件、網(wǎng)絡安全設備、云計算服務，以及其他對關鍵信息基礎設施安全有重要影響的網(wǎng)絡產(chǎn)品和服務。

轉(zhuǎn)變9：違規(guī)罰款明確了

正式版《辦法》和征求意見版都明確了對違規(guī)者的罰款依照《中華人民共和國網(wǎng)絡安全法》第六十五條的規(guī)定處理。

“根據(jù)《網(wǎng)絡安全法》第六十五條規(guī)定，應當申報網(wǎng)絡安全審查而沒有申報的，或者使用網(wǎng)絡安全審查未通過的產(chǎn)品和服務，由有關主管部門責令停止使用，處采購金額一倍以上十倍以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。”

最后，安數(shù)網(wǎng)絡再次提醒，2020年6月1日《網(wǎng)絡安全審查辦法》即將實施，關鍵信息基礎設施運營者務必盡快閱讀并充分理解《辦法》各項條款，及時提交相關申報，以免造成不必要的損失。

本文由安數(shù)網(wǎng)絡原創(chuàng)，轉(zhuǎn)載請注明出處。

及時掌握網(wǎng)絡安全態(tài)勢 盡在傻蛋網(wǎng)絡安全監(jiān)測系統(tǒng)

【網(wǎng)絡安全監(jiān)管部門】免費試用

本文來源:

如涉及侵權，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權內(nèi)容。
電話：400-869-9193 負責人：張明