单位最高罚十倍,人最高罚十万的《 络安全审查办法》发布了

行业观察

国家互联 信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局联合制定了《 络安全审查办法》,并于6月1日起实施。

一、总体目标

《 络安全审查办法》的总体目标是:确保关键信息基础设施供应链安全,维护国家安全。这里涉及两个概念:一个是关键信息基础设施;一个是供应链。

1、关键信息基础设施到底包含哪些?

从上面定义来看,关键信息基础设施包含面非常广。为了更好的理解,我们可以根据各行各业重要应用的特性,我们可以归为以下两大类:

①、 站类

a、门户 站;

b、重点新闻 站;

c、日均访问想超过100万人次的 站;

d、一旦发生 络安全事故,可能造成以下影响之一的:

  • 影响超过100万人工作、生活;
  • 影响单个地市级行政区域30%以上人口与的工作、生活;
  • 造成超过100万个人信息泄漏;
  • 造成大量机构、企业敏感信息泄露;
  • 造成大量地理、人口、资源等国家基础数据泄露;
  • 严重损害政府形象、 会秩序或危害国家安全;

    • e、其他应该认定为关键信息基础设施。

    ②、平台类

    a、注册用户超过1000万或活跃用户(每日至少登录一下)数超过100万;

    b、日均成交订单额或交易额超过1000万元;

    c、一旦发生 络安全事故,可能造成以下影响之一的:

  • 造成1000万元以上的直接经济损失;
  • 直接影响超过1000万人工作、生活;
  • 造成超过100万人个人信息泄露;
  • 造成大量机构、企业敏感信息泄露;
  • 造成大量地理、人口、资源等国家基础数据泄露;
  • 严重损害 会和经济秩序或危害国家安全

    • d、其他应该认定为关键信息基础设施;

    2、供应链是指什么?

    供应链是指围绕核心企业,从配套零件开始,制成中间产品以及最终产品,最后由销售 络把产品送到消费者手中的、将供应商,制造商,分销商直到最终用户连成一个整体的功能 链结构。

    在这里,供应链可以概括为产品和服务的提供者

    二、审查对象

    《 络安全审查办法》审查对象:关键信息基础设施运营者(以下简称运营者)及采购的 络产品和服务。这里主要涉及两个概念:一个运营者,一个是 络产品和服务。

    1、运营者是谁?

    运营者是指经关键信息基础设施保护工作部门认定的运营者。也就是说单位认定是那个部门负责运营,这个部门的全体人员就是运营者。常规都是单位的运维部门。

    2、 络产品和服务是什么?

    主要指核心 络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、 络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的 络产品和服务。

    因为这次的法案的目标是供应链安全,所以审查对象还包括了 络产品和服务的提供者。通俗的讲:就是包括了:产品的生产厂家、流通供应商、系统集成商、服务提供商。

    三、触发审查条件

    当运营者预认为自己采购的 络产品和服务投入使用后,可能带来风险,影响或可能影响国家安全的时。就应当向“ 络安全审查办公室”申 络审查。

    1、如何预判?

    因为法案中规定了关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。那么我们就可以根据指定的预判指南来进行预判。

    如果没有预判指南,我们也可以根据后面审查考虑的5个因素来进行预判。基本也能判断出我们采购 络产品和服务是否需要进行申请审查。

    2、 络安全审查办公室在哪里?

    该机构设在国家互联 信息办公室,负责制定 络安全审查相关制度规范,组织 络安全审查。

    四、时间节点

    1. 申 审查时间:运营者在采购 络产品和服务时,并且提前预判发现需要进行审查时。
    2. 申 回复时间:自收到审查申 材料起,10个工作日内确定是否需要审查并书面通知运营者。
    3. 初步审查时间:自向运营者发出书面通知之日起30个工作日内完成初步审查,情况复杂的,可以延长15个工作日。
    4. 初审回复时间:自收到审查结论建议之日起15个工作日内书面回复意见。
    5. 特别审查时间:一般应当在45个工作日内完成,情况复杂的可以适当延长。

    特别审查启动机制:初审结论如果出现 络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见不一致的,需要走特别审查处理。特别审查处理需要再次听取各方意见,深入分析评估。

    五、申 审查所需材料

    运营者在申 审查时,需要提供以下材料:

    1. 申 书;
    2. 关于影响或可能影响国家安全的分析 告;
    3. 采购文件、协议、拟签订的合同等;
    4. 络安全审查工作需要的其他材料;

    六、审查考虑因素

    络安全审查办公室在审查时,坚持防范 络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与 会监督相结合,从产品和服务安全性、可能带来的国家安全风险等方面进行审查。

    审查考虑因素主要如下:

  • 产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;
  • 产品和服务供应中断对关键信息基础设施业务连续性的危害;
  • 产品和服务提供者遵守中国法律、行政法规、部门规章情况;
  • 其他可能危害关键信息基础设施安全和国家安全的因素。

    • 审查时,如果需要提供补充材料,运营者、产品和服务提供者应当予以配合。

    七、违反处罚

    运营者违反本办法规定的,依照《中华人民共和国 络安全法》第六十五条的规定处理。

    从上面处罚规定来看:停用产品、处于采购金额的一倍到十倍的罚款,直接负责主管和直接责任人处一万到十万罚款,这样的处罚还是相当严重的。

    同时,该法案还规定了举 机制。也就是说运营者如果自己不主动预判,不去申 审查,别人也可以去举 运营者的行为。所以,各IT信息化部门必须要重视 络安全。

    总结

    《 络安全审查办法》已经于4.27日发布,并于6月1日起实施。这对信息化的安全工作做了更加详细的要求。作为甲方信息化部门、系统集成商、设备制造厂商、供应商、服务提供商都需要提供安全意识。保障关键信息基础设施的供应链安全、保障国家安全。

    声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!

    上一篇 2020年3月24日
    下一篇 2020年3月24日

    相关推荐

    软件超市
    企服市场
    会员中心