國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、國家安全部、財政部、商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、國家保密局、國家密碼管理局聯合制定了《網絡安全審查辦法》,並於6月1日起實施。
一、總體目標
《網絡安全審查辦法》的總體目標是:確保關鍵信息基礎設施供應鏈安全,維護國家安全。這裡涉及兩個概念:一個是關鍵信息基礎設施;一個是供應鏈。
1、關鍵信息基礎設施到底包含哪些?
關鍵信息基礎設施:面向公眾提供網絡信息服務或支撐能源、通信、金融、交通、公共事業等重要行業運行的信息系統或工業控制系統;且這些系統一旦發生網絡安全事故,會影響重要行業正常運行,對國家政治、經濟、科技、社會、文化、國防、環境以及人民生命財產造成嚴重損失
從上面定義來看,關鍵信息基礎設施包含面非常廣。為了更好的理解,我們可以根據各行各業重要應用的特性,我們可以歸為以下兩大類:
①、網站類
a、門戶網站;
b、重點新聞網站;
c、日均訪問想超過100萬人次的網站;
d、一旦發生網絡安全事故,可能造成以下影響之一的:
- 影響超過100萬人工作、生活;
- 影響單個地市級行政區域30%以上人口與的工作、生活;
- 造成超過100萬個人信息洩漏;
- 造成大量機構、企業敏感信息洩露;
- 造成大量地理、人口、資源等國家基礎數據洩露;
- 嚴重損害政府形象、社會秩序或危害國家安全;
e、其他應該認定為關鍵信息基礎設施。
②、平臺類
a、註冊用戶超過1000萬或活躍用戶(每日至少登錄一下)數超過100萬;
b、日均成交訂單額或交易額超過1000萬元;
c、一旦發生網絡安全事故,可能造成以下影響之一的:
- 造成1000萬元以上的直接經濟損失;
- 直接影響超過1000萬人工作、生活;
- 造成超過100萬人個人信息洩露;
- 造成大量機構、企業敏感信息洩露;
- 造成大量地理、人口、資源等國家基礎數據洩露;
- 嚴重損害社會和經濟秩序或危害國家安全
d、其他應該認定為關鍵信息基礎設施;
2、供應鏈是指什麼?
供應鏈是指圍繞核心企業,從配套零件開始,製成中間產品以及最終產品,最後由銷售網絡把產品送到消費者手中的、將供應商,製造商,分銷商直到最終用戶連成一個整體的功能網鏈結構。
在這裡,供應鏈可以概括為產品和服務的提供者
二、審查對象
《網絡安全審查辦法》審查對象:關鍵信息基礎設施運營者(以下簡稱運營者)及採購的網絡產品和服務。這裡主要涉及兩個概念:一個運營者,一個是網絡產品和服務。
1、運營者是誰?
運營者是指經關鍵信息基礎設施保護工作部門認定的運營者。也就是說單位認定是那個部門負責運營,這個部門的全體人員就是運營者。常規都是單位的運維部門。
2、 網絡產品和服務是什麼?
主要指核心網絡設備、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、雲計算服務,以及其他對關鍵信息基礎設施安全有重要影響的網絡產品和服務。
因為這次的法案的目標是供應鏈安全,所以審查對象還包括了網絡產品和服務的提供者。通俗的講:就是包括了:產品的生產廠家、流通供應商、系統集成商、服務提供商。
三、觸發審查條件
當運營者預認為自己採購的網絡產品和服務投入使用後,可能帶來風險,影響或可能影響國家安全的時。就應當向“網絡安全審查辦公室”申報網絡審查。
1、如何預判?
因為法案中規定了關鍵信息基礎設施保護工作部門可以制定本行業、本領域預判指南。那麼我們就可以根據指定的預判指南來進行預判。
如果沒有預判指南,我們也可以根據後面審查考慮的5個因素來進行預判。基本也能判斷出我們採購網絡產品和服務是否需要進行申請審查。
2、網絡安全審查辦公室在哪裡?
該機構設在國家互聯網信息辦公室,負責制定網絡安全審查相關制度規範,組織網絡安全審查。
四、時間節點
- 申報審查時間:運營者在採購網絡產品和服務時,並且提前預判發現需要進行審查時。
- 申報回覆時間:自收到審查申報材料起,10個工作日內確定是否需要審查並書面通知運營者。
- 初步審查時間:自向運營者發出書面通知之日起30個工作日內完成初步審查,情況複雜的,可以延長15個工作日。
- 初審回覆時間:自收到審查結論建議之日起15個工作日內書面回覆意見。
- 特別審查時間:一般應當在45個工作日內完成,情況複雜的可以適當延長。
特別審查啟動機制:初審結論如果出現網絡安全審查工作機制成員單位、相關關鍵信息基礎設施保護工作部門意見不一致的,需要走特別審查處理。特別審查處理需要再次聽取各方意見,深入分析評估。
五、申報審查所需材料
運營者在申報審查時,需要提供以下材料:
- 申報書;
- 關於影響或可能影響國家安全的分析報告;
- 採購文件、協議、擬簽訂的合同等;
- 網絡安全審查工作需要的其他材料;
六、審查考慮因素
網絡安全審查辦公室在審查時,堅持防範網絡安全風險與促進先進技術應用相結合、過程公正透明與知識產權保護相結合、事前審查與持續監管相結合、企業承諾與社會監督相結合,從產品和服務安全性、可能帶來的國家安全風險等方面進行審查。
審查考慮因素主要如下:
- 產品和服務使用後帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞,以及重要數據被竊取、洩露、毀損的風險;
- 產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害;
- 產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險;
- 產品和服務提供者遵守中國法律、行政法規、部門規章情況;
- 其他可能危害關鍵信息基礎設施安全和國家安全的因素。
審查時,如果需要提供補充材料,運營者、產品和服務提供者應當予以配合。
七、違反處罰
運營者違反本辦法規定的,依照《中華人民共和國網絡安全法》第六十五條的規定處理。
從上面處罰規定來看:停用產品、處於採購金額的一倍到十倍的罰款,直接負責主管和直接責任人處一萬到十萬罰款,這樣的處罰還是相當嚴重的。
同時,該法案還規定了舉報機制。也就是說運營者如果自己不主動預判,不去申報審查,別人也可以去舉報運營者的行為。所以,各IT信息化部門必須要重視網絡安全。
總結
《網絡安全審查辦法》已經於4.27日發佈,並於6月1日起實施。這對信息化的安全工作做了更加詳細的要求。作為甲方信息化部門、系統集成商、設備製造廠商、供應商、服務提供商都需要提供安全意識。保障關鍵信息基礎設施的供應鏈安全、保障國家安全。
