网络安全审查办法解读

网络安全审查办法于2020年6月1日实施，办法也属于强制执行的内容，本篇文章主要对具体的内容进行解读。这里选择部分条目进行解读。

第三条 网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合，从产品和服务安全性、可能带来的国家安全风险等方面进行审查。

解读：本条从产品服务的供应链安全开始，要求从产品使用中的不同阶段（事前、事中、事后）对关键信息基础设施进行全生命周期管理，降低风险的发生。

第五条 运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。

解读：这条的主体是运营商，运营商可是属于是我国互联网的核心骨干区，同时也属于关键信息基础设施。尤其是核心骨干路由器、交换机、通信设备、光网络等，这里主要需要在采购产品之前，对涉及的核心骨干产品的安全性进行深度测试，可以自己搭建测试环境，或者是要求供应商出示相关权威的测试报告，保证产品的安全性。同时需要将这些新采购的产品报备给相关部分。

第六条 对于申报网络安全审查的采购活动，运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查，包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或必要的技术支持服务等。

解读：这里指的主要是不利用工作/职责便利获取未授权的数据，同时严格合同或者服务级别协议，要求服务商提供高可用性的服务标准。

第九条 网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险，主要考虑以下因素：

解读：

1.这里的风险概括下来就是CIA(机密性、完整性、可用性)，每一项都有对应的细节，由于篇幅有限，不再具体阐述。

2.产品质检报告、供应链安全性。

3.其他威胁关键信息基础设施的因素。

4.产品在关键信息基础设施中的重要程度，这里可以使用资产管理结合风险管理的方式来进行评估，对此类产品的要求，从供应商侧需要重点审查。