近日，國家互聯(lián)網(wǎng)信息辦公室會同國家發(fā)展改革委、工業(yè)和信息化部等多個部門聯(lián)合修訂發(fā)布《網(wǎng)絡安全審查辦法》(以下簡稱《辦法》)，自2022年2月15日起施行。

專家學者和企業(yè)界人士表示，《辦法》堅持以關鍵信息基礎設施的供應鏈安全為核心，并將網(wǎng)絡平臺運營者開展數(shù)據(jù)處理活動影響或可能影響國家安全等情形納入網(wǎng)絡安全審查，不僅在管理方面優(yōu)化和完善了網(wǎng)絡安全審查制度的基本設計，還將驅動網(wǎng)絡安全產(chǎn)業(yè)加速成長和高質(zhì)量發(fā)展，提升關鍵信息基礎設施安全供給能力和數(shù)據(jù)安全防護供給能力。

聚焦網(wǎng)絡平臺數(shù)據(jù)處理安全

國家互聯(lián)網(wǎng)信息辦公室有關負責人表示，網(wǎng)絡安全審查是網(wǎng)絡安全領域的重要法律制度，原《辦法》自2020年6月施行以來，對于保障關鍵信息基礎設施供應鏈安全、維護國家安全發(fā)揮了重要作用。為落實數(shù)據(jù)安全法等法律法規(guī)要求，國家互聯(lián)網(wǎng)信息辦公室聯(lián)合相關部門修訂了《辦法》。

據(jù)介紹，《辦法》將網(wǎng)絡平臺運營者開展數(shù)據(jù)處理活動影響或可能影響國家安全等情形納入網(wǎng)絡安全審查，并明確掌握超過100萬用戶個人信息的網(wǎng)絡平臺運營者赴國外上市必須向網(wǎng)絡安全審查辦公室申報網(wǎng)絡安全審查。根據(jù)數(shù)據(jù)安全法，數(shù)據(jù)處理活動包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等活動。

中國網(wǎng)絡安全審查技術與認證中心工程師齊越認為，此次《辦法》修訂的最大亮點是把網(wǎng)絡平臺運營者赴國外上市納入網(wǎng)絡安全審查。這一制度設計主要考慮的是，一方面，赴國外上市的企業(yè)主要來自于電商、出行、招聘、教育、物流等重數(shù)據(jù)資產(chǎn)的領域，往往掌握大量國內(nèi)用戶數(shù)據(jù)，伴隨網(wǎng)絡平臺業(yè)務的快速發(fā)展和資本的注入，其自身面臨的網(wǎng)絡安全風險正逐步增大;另一方面，國外證券監(jiān)管等法律政策及政治環(huán)境近年發(fā)生巨大變化，越來越詳盡的數(shù)據(jù)披露進一步擴大了企業(yè)的數(shù)據(jù)安全風險。

風險保障關口前移

專家指出，此次《辦法》的修訂出臺，秉承了關口前移、防患于未然的網(wǎng)絡安全審查制度設計初心?！掇k法》是我國網(wǎng)絡安全法律法規(guī)體系的內(nèi)在組成部分，同其他網(wǎng)絡安全政策法規(guī)以及其他領域的相關政策保持協(xié)同。

國家工業(yè)信息安全發(fā)展研究中心首席專家、檢查評估所所長張格表示，近年來全球網(wǎng)絡安全事件層出不窮，涉及能源、醫(yī)療、制造等國計民生領域。其中，針對系統(tǒng)中第三方產(chǎn)品或服務安全漏洞及脆弱性的惡意利用是破壞關鍵信息基礎設施的重要手段，可能造成設備損壞、系統(tǒng)失效、重要數(shù)據(jù)泄露等后果。

張格認為，《辦法》的實施有利于關鍵信息基礎設施運營者和網(wǎng)絡平臺運營者強化網(wǎng)絡安全和數(shù)據(jù)安全意識，引導關鍵信息基礎設施運營者和網(wǎng)絡平臺運營者將風險保障工作關口前移，從源頭消解安全風險，為關鍵信息基礎設施防范供應鏈安全和數(shù)據(jù)安全風險提供保障。

驅動網(wǎng)絡安全產(chǎn)業(yè)提升供給能力

綠盟科技資深架構師林濤表示，《辦法》進一步明確了對關鍵信息基礎設施供應鏈安全保護的相關要求，不僅優(yōu)化和完善了網(wǎng)絡安全審查制度的基本設計，更為網(wǎng)絡安全產(chǎn)業(yè)高質(zhì)量發(fā)展指明了方向。

對于提升關鍵信息基礎設施安全供給能力，網(wǎng)絡安全產(chǎn)業(yè)可發(fā)揮制度參與、技術產(chǎn)品及方案提供、服務支撐三方面作用。一是可以通過自身業(yè)務實踐，參與和支持相關的制度標準，如關鍵信息基礎設施供應鏈安全要求、關鍵信息基礎設施安全檢查評估要求、關鍵信息基礎設施安全保護技術要求等;二是強化關鍵信息基礎設施安全相關技術研發(fā)和產(chǎn)品研制，如關鍵信息基礎設施安全風險感知和識別、關鍵信息基礎設施系統(tǒng)漏洞檢測、關鍵信息基礎設施網(wǎng)絡威脅溯源和取證等;三是強化試點和服務運營等能力，全面服務關鍵信息基礎設施保護相關工作，如關鍵信息基礎設施安全應急演練、關鍵信息基礎設施安全培訓、關鍵信息基礎設施安全一體化運營服務等。

對于提升數(shù)據(jù)安全防護供給能力，網(wǎng)絡安全產(chǎn)業(yè)可發(fā)揮三方面作用。一是重點圍繞數(shù)據(jù)出境安全評估、重要網(wǎng)絡安全服務產(chǎn)品和服務目錄、數(shù)據(jù)安全審查辦法等，加強探索并積累實踐案例;二是重點開展數(shù)據(jù)分類分級管理、敏感數(shù)據(jù)識別、數(shù)據(jù)安全風險評估、數(shù)據(jù)安全審計等技術產(chǎn)品方案研發(fā);三是強化數(shù)據(jù)安全應急、重要數(shù)據(jù)災備與恢復、數(shù)據(jù)溯源取證等服務支撐能力和隊伍建設。

標簽： 網(wǎng)絡安全 審查辦法 網(wǎng)絡安全產(chǎn)業(yè) 供給能力