专业解读 | 网络安全审查办法

发布时间 2021-07-04

近日,中央网信办网站发布公告,网络安全审查办公室按照《网络安全审查办法》,对某企业实施网络安全审查。此消息一经公布,引起了业界极大关注。


那么究竟什么是网络安全审查?有什么重要意义?审查过程什么样?需要多长时间?主要审查哪些内容?


本文将一一进行简要先容,以便帮助大家更好地理解。


《网络安全审查办法》相关法律先容


《网络安全审查办法》其实是配套2017年6月1日正式施行的《网络安全法》的一项很重要的制度。


在《网络安全法》的第三十五条明确规定:关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。那么由此可见,网络安全审查是针对关键信息基础设施系统的,而非一般普通的信息系统。


而在《密码法》第二十七条规定:关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。


《国家安全法》第五十九条规定:国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。


以上三条是对某企业进行网络安全审查的法律基础,而某企业的业务系统,也可能是被列入到了关键信息基础设施。


《网络安全审查办法》相关政策文件先容


1、《网络产品和服务安全审查办法(征求意见稿)》


为了配套《网络安全法》在网络安全审查中的要求,国家互联网信息办公室在2017年2月4日,公布了《网络产品和服务安全审查办法(征求意见稿)》,对关系国家安全和公共利益的信息系统使用的重要网络产品和服务,提出了网络安全审查具体的要求,其中第四条规定重点审查网络产品和服务的安全性、可控性,主要包括:


(一)产品和服务被非法控制、干扰和中断运行的风险。


(二)产品及关键部件研发、交付、技术支撑过程中的风险。


(三)产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险。


(四)产品和服务提供者利用用户对产品和服务的依赖,实施正当竞争或损害用户利益的风险。


(五)其他可能危害国家安全和公共利益的风险。


2、《网络产品和服务安全审查办法(试行)》


国家互联网信息办公室在2017年5月2日,公布了《网络产品和服务安全审查办法(试行)》,由此为网络安全审查提供了实行的依据。


3、《网络安全审查办法》


2020年4月27日,网信办、发改委、工信部、公安部等12各部委联合发文:《网络安全审查办法》,由此,《网络安全审查办法》作为一个正式的制度,成为保障国家安全的一个重要手段。


《网络安全审查办法》相关内容解读


关键信息基础设施对国家安全、经济安全、社会稳定、公众健康和安全至关重要。我国建立网络安全审查制度,目的是通过网络安全审查这一举措,及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害,保障关键信息基础设施供应链安全,维护国家安全。《网络安全审查办法》的出台,为我国开展网络安全审查工作提供了重要的制度保障。



网络安全审查主要审查哪些内容?


1、网络安全审查启动的条件和要素有哪些呢?


1.png

网络安全审查启动的条件


2、网络安全审查主要考虑哪些因素、审查哪些方面?


?产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险。


?产品和服务供应中断对关键信息基础设施业务连续性的危害。


?产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险。


?产品和服务提供者遵守中国法律、行政法规、部门规章情况。


?其他可能危害关键信息基础设施安全和国家安全的因素。


3、何时申报网络安全审查?


?与产品和服务提供方正式签署合同前进行申报。


?如在签署合同后申报,需要在合同中注明:此合同须在产品和服务采购通过网络安全审查后方可生效。


4、网络安全审查的时间要多久?


 ?一般情况下,会在30个工作日内完成初步审查。


?情况复杂的,会延长15个工作日,即共45个工作日。


?进入特别审查程序的审查项目,可能还需要45个工作日或者更长。


注:补充提供材料的时间不计入审查时限。


5、网络安全审查向谁申报?


?根据《网络安全审查办法》 ,网络安全审查办公室设在国家互联网信息办公室。具体工作委托中国网络安全审查技术与认证中心承担。


?中国网络安全审查技术与认证中心在网络安全审查办公室的引导下,承担接收申报材料、对申报材料进行形式审查、具体组织审查工作等任务。


6、没有申报的后果?


?应当申报网络安全审查而没有申报的。


?使用网络安全审查未通过的产品和服务。


?存在以上2种情况的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。


综上所述,网络安全审查是在中央网络安全和信息化委员会领导下,为保障关键信息基础设施供应链安全,维护国家安全而建立的一项重要制度,是保障国家安全的重要手段。