2020年4月27日,12个部门联合发布了《网络安全审查办法》(以下简称《办法》),《办法》于2020年6月1日起正式实施。“这是我国依法治网的法律重器,是网络安全治理的又一个重要里程碑。”国联易安董事长门嘉平博士表示。
“两个主体”是荣辱与共
《办法》明确了主要适用主体为关键信息基础设施运营者。此外,《办法》中还规定了另一个间接义务主体:产品和服务提供者。与关键信息基础设施运营机构合作的网络安全企业出售的产品,只有按照相关国家标准的强制性要求,取得安全认证或者安全检测且符合要求后,方可进行销售。运营商在采购此类产品,启动安全审查时需要《办法》中明确规定的影响或可能影响国家安全的分析报告。
“供应链安全”是重中之重
《办法》第九条对于可能影响国家安全的因素做出了详细描述,总结为供应链安全问题,这与《办法》第一条呼应,指出了制定《办法》的目的在于确保关键信息基础设施供应链安全,从而维护国家安全。
从供应链安全的角度而言,网络产品和服务的采购对于关键信息基础设施的运行带来不同层面的影响,包括可能导致关键信息基础设施被非法控制、重要信息泄露、产品组件遭遇中断威胁等。尤其是产品组件断供威胁,它不仅是关键信息基础设施厂商可能面临的威胁,也是网络安全厂商应该时刻防范的危险。
“协议条款”要慎之又慎
作为网络产品和服务供应商,网络安全厂商应主动在与运营商签订采购文件、协议中增加相应条款,说明自身企业产品确定已得到相关第三方机构的安全检测认证证书,以方便关键信息基础设施运营机构运营者了解已采购的产品安全性,在需要申报网络安全审查时,方便提供相关材料。
同时,为了更好地保护供应商相关产品的知识产权和商业机密,建议与运营商签订合同条款中加入必要的知识产权和商业机密保护机制,从而避免因安全审查造成产权和机密外泄进而产生不必要的损失。
作为国内专注于保密与非密领域的分级保护、等级保护、业务连续性安全和大数据安全产品解决方案与相关技术研究开发的领军企业,国联易安将与业界同仁一起严格要求、共同遵守《办法》,为网络安全治理做出积极贡献。
关于国联易安
北京国联易安信息技术有限公司(原北京智恒联盟科技有限公司)简称“国联易安”,成立于2006年,拥有“国联易安”和“智恒联盟”两个品牌,是国内专注于保密与非密领域的分级保护、等级保护、业务连续性安全和大数据安全产品解决方案与相关技术研究开发的领军企业。公司多项安全技术补了国内技术空白,并且在金融、保密、电信运营商、军队军工、大中型企业、能源、教育、医疗电商等领域得到广泛应用。
国联易安除研发生产专业安全产品外,还为客户提供全面的检测与防护方案专家咨询、源代码安全评估、安全运维值守、智能终端安全评估、安全渗透测试、专业安全培训等专业安全服务。
