通覽全文,《辦法》明確了主要適用主體 -- 關(guān)鍵信息基礎設施運營(yíng)者,從《辦法》第一條規定中便可明顯看出。此外,《辦法》中還規定了另一個(gè)間接義務(wù)主體 -- 產(chǎn)品和服務(wù)提供者。
工業(yè)網(wǎng)絡(luò )安全企業(yè)作為傳統的網(wǎng)絡(luò )產(chǎn)品和服務(wù)提供商,如何適用《網(wǎng)絡(luò )安全審查辦法》?北京天地和興科技有限公司(以下簡(jiǎn)稱(chēng)“天地和興”)認為可以從以下幾點(diǎn)來(lái)考慮。
一、辦法第六條規定:對于申報網(wǎng)絡(luò )安全審查的采購活動(dòng),運營(yíng)者應通過(guò)采購文件、協(xié)議等要求產(chǎn)品和服務(wù)提供者配合網(wǎng)絡(luò )安全審查,包括承諾不利用提供產(chǎn)品和服務(wù)的便利條件非法獲取用戶(hù)數據、非法控制和操縱用戶(hù)設備,無(wú)正當理由不中斷產(chǎn)品供應或必要的技術(shù)支持服務(wù)等。
該點(diǎn)其實(shí)在《辦法》的征求意見(jiàn)稿中第七條也有所體現,但意見(jiàn)稿中僅規定了供應商具有配合審查的義務(wù),并未詳細說(shuō)明義務(wù)的具體內容。而在《辦法》中,對于網(wǎng)絡(luò )產(chǎn)品和服務(wù)供應商應配合審查義務(wù)進(jìn)行了細化,對供應商應做出的承諾內容進(jìn)行了明確的規定。
作為網(wǎng)絡(luò )產(chǎn)品和服務(wù)供應商,工業(yè)網(wǎng)絡(luò )安全廠(chǎng)商應主動(dòng)在與運營(yíng)商簽訂采購文件、協(xié)議中增加相應條款,說(shuō)明自身企業(yè)產(chǎn)品確定已得到相關(guān)第三方機構的安全檢測認證證書(shū),以方便關(guān)鍵信息基礎設施運營(yíng)機構運營(yíng)者了解已采購的產(chǎn)品安全性,在需要申報網(wǎng)絡(luò )安全審查時(shí),方便提供相關(guān)材料。同時(shí),為了更好地保護供應商相關(guān)產(chǎn)品的知識產(chǎn)權和商業(yè)機密,建議與運營(yíng)商簽訂合同條款中加入必要的知識產(chǎn)權和商業(yè)機密保護機制,從而避免因安全審查造成產(chǎn)權和機密外泄進(jìn)而產(chǎn)生不必要的損失。
二、辦法第七條規定:運營(yíng)者申報網(wǎng)絡(luò )安全審查,應當提交以下材料:
(一)申報書(shū);
(二)關(guān)于影響或可能影響國家安全的分析報告;
(三)采購文件、協(xié)議、擬簽訂的合同等;
(四)網(wǎng)絡(luò )安全審查工作需要的其他材料。
此條辦法規定,與關(guān)鍵信息基礎設施運營(yíng)機構合作的工業(yè)網(wǎng)絡(luò )安全企業(yè)售賣(mài)的產(chǎn)品,只有按照相關(guān)國家標準的強制性要求,取得安全認證或者安全檢測且符合要求后,方可進(jìn)行銷(xiāo)售。運營(yíng)商在采購此類(lèi)產(chǎn)品,啟動(dòng)安全審查時(shí)需要《辦法》中明確規定的影響或可能影響國家安全的分析報告。
工業(yè)網(wǎng)絡(luò )安全廠(chǎng)商提供產(chǎn)品安全性測試認證報告作為分析報告材料的部分支撐基礎,將進(jìn)一步推動(dòng)安全審查實(shí)施和雙方合作進(jìn)程。而安全性測試認證或許可參考中國網(wǎng)絡(luò )安全審查技術(shù)與認證中心的網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品安全認證或國家信息安全產(chǎn)品認證等,也更加說(shuō)明了前文中提到的在合同中進(jìn)行相應產(chǎn)品安全性承諾的必要性。
三、辦法第九條有如下規定:網(wǎng)絡(luò )安全審查重點(diǎn)評估采購網(wǎng)絡(luò )產(chǎn)品和服務(wù)可能帶來(lái)的國家安全風(fēng)險,主要考慮以下因素:
(一)產(chǎn)品和服務(wù)使用后帶來(lái)的關(guān)鍵信息基礎設施被非法控制、遭受干擾或破壞,以及重要數據被竊取、泄露、毀損的風(fēng)險;
(二)產(chǎn)品和服務(wù)供應中斷對關(guān)鍵信息基礎設施業(yè)務(wù)連續性的危害;
(三)產(chǎn)品和服務(wù)的安全性、開(kāi)放性、透明性、來(lái)源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風(fēng)險;
(四)產(chǎn)品和服務(wù)提供者遵守中國法律、行政法規、部門(mén)規章情況;
(五)其他可能危害關(guān)鍵基礎設施安全和國家安全的因素。
《辦法》第九條對于可能影響國家安全的因素做出了詳細描述,總結為供應鏈安全問(wèn)題,這與本《辦法》第一條相互呼應,道出了制定《辦法》的目的在于確保關(guān)鍵信息基礎設施供應鏈安全,從而維護國家安全。從供應鏈安全的角度而言,網(wǎng)絡(luò )產(chǎn)品和服務(wù)的采購對于關(guān)鍵信息基礎設施的運行帶來(lái)不同層面的影響,包括可能導致關(guān)鍵信息基礎設施被非法控制、重要信息泄露、產(chǎn)品組件遭遇中斷威脅等。尤其是產(chǎn)品組件斷供威脅,它不僅是關(guān)鍵信息基礎設施廠(chǎng)商可能面臨的威脅,也是工業(yè)網(wǎng)絡(luò )安全廠(chǎng)商應該時(shí)刻防范的危險。為此,工業(yè)網(wǎng)絡(luò )安全廠(chǎng)商應盡量采用開(kāi)放式的軟硬件技術(shù)架構,制定多邊的采購策略,保證充足的后備供應,進(jìn)行合理的需求管理,保持一定的庫存冗余,積極應對供應鏈安全問(wèn)題。
《網(wǎng)絡(luò )安全審查辦法》是我國推進(jìn)《中華人民共和國國家安全法》、《中華人民共和國網(wǎng)絡(luò )安全法》兩大法律落地的重要行政辦法。工業(yè)網(wǎng)絡(luò )安全廠(chǎng)商是該辦法的重要參與方,應充分理解該辦法,準確執行該辦法,肩負起保障我國關(guān)鍵基礎設施安全的廠(chǎng)商責任。
天地和興致力于工業(yè)網(wǎng)絡(luò )安全研究多年,傾力打造“天墀”、“地盾”、“和睿”、“興邦”四大產(chǎn)品系列,持續為用戶(hù)提供安全檢測評估類(lèi)、安全防護隔離類(lèi)、安全審計分析類(lèi)、安全平臺管理類(lèi)等全方位的產(chǎn)品、服務(wù)和全生命周期的工業(yè)網(wǎng)絡(luò )安全解決方案。多個(gè)產(chǎn)品已通過(guò)EAL3、歐盟國際CE、3C、中標麒麟等資質(zhì)認證以及工信部、公安部、水利部、中國信息安全測評中心、賽可達實(shí)驗室等機構認證,符合《網(wǎng)絡(luò )安全審查辦法》審查重點(diǎn)評估采購網(wǎng)絡(luò )產(chǎn)品和服務(wù)要求。天地和興砥礪前行,不斷推出應對技術(shù)快速迭代、政策持續升級的新一代工業(yè)網(wǎng)絡(luò )安全業(yè)務(wù)框架,傾力打磨符合當下、放眼未來(lái)的全方位多領(lǐng)域工業(yè)網(wǎng)絡(luò )安全產(chǎn)品及服務(wù)體系,助力工業(yè)企業(yè)安全建設,為工業(yè)網(wǎng)絡(luò )安全事業(yè)添磚加瓦,協(xié)同國家、行業(yè)各界力量共建工業(yè)網(wǎng)絡(luò )安全新生態(tài)。
消息來(lái)源:北京天地和興科技有限公司
