中国拟成立网络安全审查委员会 到底审查什么?
近日,国家互联网信息办公室在其官网公开《网络产品和服务安全审查办法(征求意见稿)》(以下简称意见稿),明确将成立网络安全审查委员会,负责审议网络安全审查的重要政策,统一组织网络安全审查工作。
网络安全审查委员会到底审查些什么?快来看看专家们如何说吧。
”此次公布的意见稿明确,关系国家安全和公共利益的信息系统使用的重要网络产品和服务,应当经过网络安全审查。并提出国家互联网信息办公室会同有关部门成立网络安全审查委员会,负责审议网络安全审查的重要政策,统一组织网络安全审查工作,协调网络安全审查相关重要问题。
此外,意见稿要求,党政部门及重点行业优先采购通过审查的网络产品和服务,不得采购审查未通过的网络产品和服务。
金融、电信、能源等重点行业主管部门,根据国家网络安全审查工作要求,组织开展本行业、本领域网络产品和服务安全审查工作。
>>>> 四川大学网络空间安全研究院特聘副研究员洪延青:
网络安全审查工作的组织和领导工作,由网络安全审查委员会承担,该委员会由国家网信办会同有关部门成立。委员会下设网络安全审查办公室。此外,委员会还组建网络安全审查专家委员会。网络安全审查委员会、办公室、专家委员会一道,构成了网络安全审查工作的顶层制度设计。
>>>> 中国信息安全研究院副院长左晓栋:
网络安全审查制度是在开放环境中维护国家网络安全的重要手段。现阶段我国还没突破核心技术,受制于人的局面要长期存在。我们要使用来自国外优秀的产品和服务,就必须确保其安全。
此次意见稿明确“重点审查网络产品和服务的安全性、可控性”。主要包括:
产品和服务被非法控制、干扰和中断运行的风险;
产品及关键部件研发、交付、技术支持过程中的风险;
产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险;
产品和服务提供者利用用户对产品和服务的依赖,实施不正当竞争或损害用户利益的风险;
其他可能危害国家安全和公共利益的风险。
>>>> 洪延青:
意见稿第4条列举了审查重点关注的四种风险:稳定性方面(被非法控制、干扰和中断运行的风险)、供应链安全方面(研发、交付、技术支持过程中的风险)、用户自主支配其信息方面(利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险)、用户保持独立自主方面(利用用户对产品和服务的依赖,实施不正当竞争或损害用户利益的风险)。
网络安全审查并非审查、评估产品和服务的业务性能,而是其在输出功能的过程中(也就是规定动作),会不会擅自采取一些自选动作,以及有没有可能被非法篡改、干扰、中断等。
>>>> 左晓栋:
传统的安全测评更多是关注产品本身的安全性。而网络安全审查和以前的产品测评是不冲突的,重点关注产品的安全性可控性,重点检查其有没有利用提供产品的便利,从事危害用户利益的可能性。这些范围归根到底都是围绕产品的“安全和可控”。
>>>> 洪延青:
在启动审查阶段,意见稿规定了企业申请、主管机关和部门依职权申请、全国性行业协会建议、市场普遍反映等多种形式。
在审查过程中,独立的第三方机构形成第三方评价,专家在第三方评价的基础上提出综合评估后,上报网络安全审查委员会,形成最终的审查结论。审查结论经由国家网信办认可后,由网络安全审查办公室发布或通报。
>>>> 左晓栋:
不管是谁组织的审查,最终需要第三方机构进行技术测评。在现在的制度设计中,所有的第三方机构都要网络安全审查委员会认定。此外,第三方评价的结果只是一个重要的技术参考,独立专家委员会在此基础上再次进行技术研判。在两道技术上的审查后,评价再提交给国家管理部门。
【来源:新京报】