《网络安全审查办法》17项要点速读
2022-1-4 23:22:37 Author: www.freebuf.com(查看原文) 阅读量:7 收藏

对于国内网络安全业界而言,2022年开年伊始的首条重磅消息莫过于《网络安全审查办法》(后文简称《办法》)的正式颁布。根据官方公布的消息,《办法》将在2022年2月15日正式施行。《办法》都提及了哪些规范要求?请看下面的快速解读。

1、《办法》制定的法律规范依据:根据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》制定本《办法》。

2、审查工作领导机构:中央网络安全和信息化委员会

3、审查工作机制制定机构/部委:国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。

4、网络安全审查组织者是谁:设在国家互联网信息办公室的网络安全审查办公室,负责制定网络安全审查相关制度规范,并组织网络安全审查工作。

5、《办法》制定的目的:确保关键信息基础设施供应链安全;保障网络安全和数据安全;维护国家安全。

6、《办法》主要审查“谁”的“什么”:

① 审查“关键信息基础设施运营者”采购的“网络产品和服务”。

“网络产品和服务”主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。

② 审查“网络平台运营者”开展的“数据处理活动”。

“数据处理活动”包括数据的收集、存储、使用、加工、传输、提供、公开等活动。

7、“当事人”是谁:《网络安全审查办法》第二条规定的关键信息基础设施运营者、网络平台运营者统称为当事人。

8、网络安全审查的“四结合”:坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合。

9、《办法》审查主要方向:从产品和服务以及数据处理活动安全性、可能带来的国家安全风险等方面进行审查。

10、谁需要申报网络安全审查:

① 关键信息基础设施运营者预判发现所采购的网络产品和服务投入使用后会影响或者可能影响国家安全,则应向网络安全审查办公室申报网络安全审查。

② 网络平台运营者发现其所开展的数据处理活动会影响或者可能影响国家安全,则应当按照本《办法》进行网络安全审查。

③ 准备赴国外上市的网络平台运营者如掌握了超过100万的用户个人信息,则必须向网络安全审查办公室申报网络安全审查。

11、申报网络安全审查应提交如下材料:

① 申报书;

② 关于影响或者可能影响国家安全的分析报告;

③ 采购文件、协议、拟签订的合同或者拟提交的首次公开募股(IPO)等上市申请文件;

④ 网络安全审查工作需要的其他材料。

12、网络安全审查重点评估的国家安全风险因素:

① 产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;

② 产品和服务供应中断对关键信息基础设施业务连续性的危害;

③ 产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;

④ 产品和服务提供者遵守中国法律、行政法规、部门规章情况;

⑤ 核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;

⑥ 上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;

⑦ 其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。

13、网络安全审查的几个重要时间点:

① 10个工作日:网络安全审查办公室应当自收到符合本办法第八条规定的审查申报材料起10个工作日内确定是否需要审查。

② 30个工作日:初步审查需在向当事人发出书面通知之日起30个工作日内完成,“情况复杂的,可以延长15个工作日”。

③ 15个工作日:网络安全审查工作机制成员单位和相关部门的回复意见需自收到审查结论建议之日起15个工作日内以书面形式回复。

④ 90个工作日:特别审查程序应在90个工作日内完成,情况复杂的可以延长。

14、什么是“特别审查”:网络安全审查工作机制成员单位、相关部门,对网络安全审查办公室初步审查后所发出的审查结论建议意见不一致,则需按照特别审查程序处理,并通知当事人。“按照特别审查程序处理的,网络安全审查办公室应当听取相关单位和部门意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知当事人。”特别审查一般需要90个工作日。

15、“当事人”在审查期间需要做什么:当事人在审查期间,需要按照网络安全审查要求采取预防和消减风险的措施。

16、涉密信息的审查是否适用本《办法》:《办法》第二十二条规定,“涉及国家秘密信息的,依照国家有关保密规定执行。”且“国家对数据安全审查、外商投资安全审查另有规定的,应当同时符合其规定。”

17、违反《办法》如何处置:如果当事人违反本《办法》则需依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》的规定处理。


文章来源: https://www.freebuf.com/news/318422.html
如有侵权请联系:admin#unsafe.sh