2020年4月27日,國家網(wǎng)信辦��、發(fā)改委等12個部門聯(lián)合發(fā)布了《網(wǎng)絡(luò)安全審查辦法》(以下簡稱《辦法》)���,《辦法》于2020年6月1日起正式實施�����。
通覽全文�����,《辦法》明確了主要適用主體 -- 關(guān)鍵信息基礎(chǔ)設(shè)施運營者�,從《辦法》第一條規(guī)定中便可明顯看出�����。此外�,《辦法》中還規(guī)定了另一個間接義務(wù)主體 -- 產(chǎn)品和服務(wù)提供者。
工業(yè)網(wǎng)絡(luò)安全企業(yè)作為傳統(tǒng)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供商����,如何適用《網(wǎng)絡(luò)安全審查辦法》?北京天地和興科技有限公司(以下簡稱“天地和興”)認(rèn)為可以從以下幾點來考慮。
一����、辦法第六條規(guī)定:對于申報網(wǎng)絡(luò)安全審查的采購活動,運營者應(yīng)通過采購文件�����、協(xié)議等要求產(chǎn)品和服務(wù)提供者配合網(wǎng)絡(luò)安全審查�����,包括承諾不利用提供產(chǎn)品和服務(wù)的便利條件非法獲取用戶數(shù)據(jù)����、非法控制和操縱用戶設(shè)備,無正當(dāng)理由不中斷產(chǎn)品供應(yīng)或必要的技術(shù)支持服務(wù)等��。
該點其實在《辦法》的征求意見稿中第七條也有所體現(xiàn)����,但意見稿中僅規(guī)定了供應(yīng)商具有配合審查的義務(wù),并未詳細(xì)說明義務(wù)的具體內(nèi)容�����。而在《辦法》中,對于網(wǎng)絡(luò)產(chǎn)品和服務(wù)供應(yīng)商應(yīng)配合審查義務(wù)進(jìn)行了細(xì)化�,對供應(yīng)商應(yīng)做出的承諾內(nèi)容進(jìn)行了明確的規(guī)定。
作為網(wǎng)絡(luò)產(chǎn)品和服務(wù)供應(yīng)商�����,工業(yè)網(wǎng)絡(luò)安全廠商應(yīng)主動在與運營商簽訂采購文件�、協(xié)議中增加相應(yīng)條款���,說明自身企業(yè)產(chǎn)品確定已得到相關(guān)第三方機(jī)構(gòu)的安全檢測認(rèn)證證書�����,以方便關(guān)鍵信息基礎(chǔ)設(shè)施運營機(jī)構(gòu)運營者了解已采購的產(chǎn)品安全性�,在需要申報網(wǎng)絡(luò)安全審查時���,方便提供相關(guān)材料��。同時�����,為了更好地保護(hù)供應(yīng)商相關(guān)產(chǎn)品的知識產(chǎn)權(quán)和商業(yè)機(jī)密�����,建議與運營商簽訂合同條款中加入必要的知識產(chǎn)權(quán)和商業(yè)機(jī)密保護(hù)機(jī)制�����,從而避免因安全審查造成產(chǎn)權(quán)和機(jī)密外泄進(jìn)而產(chǎn)生不必要的損失�。
二、辦法第七條規(guī)定:運營者申報網(wǎng)絡(luò)安全審查��,應(yīng)當(dāng)提交以下材料:
(一)申報書����;
(二)關(guān)于影響或可能影響國家安全的分析報告;
(三)采購文件����、協(xié)議、擬簽訂的合同等�;
(四)網(wǎng)絡(luò)安全審查工作需要的其他材料。
此條辦法規(guī)定�����,與關(guān)鍵信息基礎(chǔ)設(shè)施運營機(jī)構(gòu)合作的工業(yè)網(wǎng)絡(luò)安全企業(yè)售賣的產(chǎn)品��,只有按照相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求,取得安全認(rèn)證或者安全檢測且符合要求后�����,方可進(jìn)行銷售���。運營商在采購此類產(chǎn)品��,啟動安全審查時需要《辦法》中明確規(guī)定的影響或可能影響國家安全的分析報告��。
工業(yè)網(wǎng)絡(luò)安全廠商提供產(chǎn)品安全性測試認(rèn)證報告作為分析報告材料的部分支撐基礎(chǔ),將進(jìn)一步推動安全審查實施和雙方合作進(jìn)程���。而安全性測試認(rèn)證或許可參考中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心的網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證或國家信息安全產(chǎn)品認(rèn)證等����,也更加說明了前文中提到的在合同中進(jìn)行相應(yīng)產(chǎn)品安全性承諾的必要性���。
三���、辦法第九條有如下規(guī)定:網(wǎng)絡(luò)安全審查重點評估采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能帶來的國家安全風(fēng)險,主要考慮以下因素:
(一)產(chǎn)品和服務(wù)使用后帶來的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制�、遭受干擾或破壞���,以及重要數(shù)據(jù)被竊取、泄露��、毀損的風(fēng)險����;
(二)產(chǎn)品和服務(wù)供應(yīng)中斷對關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害;
(三)產(chǎn)品和服務(wù)的安全性���、開放性��、透明性���、來源的多樣性,供應(yīng)渠道的可靠性以及因為政治��、外交��、貿(mào)易等因素導(dǎo)致供應(yīng)中斷的風(fēng)險���;
(四)產(chǎn)品和服務(wù)提供者遵守中國法律�、行政法規(guī)���、部門規(guī)章情況�����;
(五)其他可能危害關(guān)鍵基礎(chǔ)設(shè)施安全和國家安全的因素�。
《辦法》第九條對于可能影響國家安全的因素做出了詳細(xì)描述,總結(jié)為供應(yīng)鏈安全問題�����,這與本《辦法》第一條相互呼應(yīng)���,道出了制定《辦法》的目的在于確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全����,從而維護(hù)國家安全��。從供應(yīng)鏈安全的角度而言��,網(wǎng)絡(luò)產(chǎn)品和服務(wù)的采購對于關(guān)鍵信息基礎(chǔ)設(shè)施的運行帶來不同層面的影響�����,包括可能導(dǎo)致關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制����、重要信息泄露、產(chǎn)品組件遭遇中斷威脅等����。尤其是產(chǎn)品組件斷供威脅,它不僅是關(guān)鍵信息基礎(chǔ)設(shè)施廠商可能面臨的威脅�,也是工業(yè)網(wǎng)絡(luò)安全廠商應(yīng)該時刻防范的危險。為此����,工業(yè)網(wǎng)絡(luò)安全廠商應(yīng)盡量采用開放式的軟硬件技術(shù)架構(gòu),制定多邊的采購策略��,保證充足的后備供應(yīng)����,進(jìn)行合理的需求管理,保持一定的庫存冗余���,積極應(yīng)對供應(yīng)鏈安全問題��。
《網(wǎng)絡(luò)安全審查辦法》是我國推進(jìn)《中華人民共和國國家安全法》����、《中華人民共和國網(wǎng)絡(luò)安全法》兩大法律落地的重要行政辦法。工業(yè)網(wǎng)絡(luò)安全廠商是該辦法的重要參與方��,應(yīng)充分理解該辦法�,準(zhǔn)確執(zhí)行該辦法,肩負(fù)起保障我國關(guān)鍵基礎(chǔ)設(shè)施安全的廠商責(zé)任�。
天地和興致力于工業(yè)網(wǎng)絡(luò)安全研究多年,傾力打造“天墀”��、“地盾”��、“和?��!?、“興邦”四大產(chǎn)品系列����,持續(xù)為用戶提供安全檢測評估類��、安全防護(hù)隔離類��、安全審計分析類����、安全平臺管理類等全方位的產(chǎn)品���、服務(wù)和全生命周期的工業(yè)網(wǎng)絡(luò)安全解決方案。多個產(chǎn)品已通過EAL3���、歐盟國際CE�、3C�、中標(biāo)麒麟等資質(zhì)認(rèn)證以及工信部、公安部���、水利部��、中國信息安全測評中心���、賽可達(dá)實驗室等機(jī)構(gòu)認(rèn)證,符合《網(wǎng)絡(luò)安全審查辦法》審查重點評估采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)要求��。天地和興砥礪前行��,不斷推出應(yīng)對技術(shù)快速迭代�、政策持續(xù)升級的新一代工業(yè)網(wǎng)絡(luò)安全業(yè)務(wù)框架,傾力打磨符合當(dāng)下���、放眼未來的全方位多領(lǐng)域工業(yè)網(wǎng)絡(luò)安全產(chǎn)品及服務(wù)體系��,助力工業(yè)企業(yè)安全建設(shè)��,為工業(yè)網(wǎng)絡(luò)安全事業(yè)添磚加瓦����,協(xié)同國家、行業(yè)各界力量共建工業(yè)網(wǎng)絡(luò)安全新生態(tài)����。
