安全专家解读：《网络安全审查办法》出台，企业应如何落实加强安全建设？随着中国对网络安全的重视

关键信息基础设施对国家安全、经济安全、社会稳定、公众健康和安全至关重要。我国建立网络安全审查制度，目的是通过网络安全审查这一举措，及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害，保障关键信息基础设施供应链安全，维护国家安全。

随着中国对网络安全的重视程度不断提升，如何守住网络空间的"边防"和"后院" ，保证相关领域采购的网络产品和服务的安全性至关重要。而新出台的《网络安全审查办法》(下文简称：《办法》) ，则为此提供了重要的制度保障和法律依据。在新《办法》指导下，企业应该如何贯彻落实、加强安全建设，中间又有哪些重要的流程环节和关键问题需要注意？腾讯安全合规研究员、腾讯安全平台部天幕团队Horseman将为广大企业及安全相关领域从业者逐一解读。

一、企业是否要严格贯彻落实《办法》，如果不落实会有什么影响？

由于有上位法《国家安全法》、《网络安全法》的支撑，因此《办法》属于强制执行范畴，企业必须落实，如若不贯彻实施则将影响运营者的业务开展，相关负责人也将承担相关法律责任。

二、企业网络安全人员应如何落实《办法》要求？

(1)《办法》第五条中提到：“应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。 ”这里企业在进行网络安全审查时要提交什么材料？

运营者要采购产品和服务，首先要自证这些产品和服务(包括供应商)是安全的，没有潜在安全隐患，申报审查就是提交证据，要提交哪些证据呢？

常规来看，一般包括：安全测试报告、风险评估报告、产品知识产权、厂商服务资质、成功案例、产品POC报告等等。那么对于服务，尤其包括外包服务(开发、运维、安全等服务) ，可能就需要通过签订保密协议、赔偿条款之类的合同。《办法》第七条有明确提交的文件名称，当然还有一些关键的辅助审查材料。

这是一个双向的过程，关键信息基础设施运营者(下文简称：甲方)要收集证据，产品与服务供应商(下文简称：乙方)要提供证据，双方达成一致而后提交审查中心进行评判。

《办法》还建议关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。那么这条建议也相当于成为了必选项，一些关键信息基础设施运营企业应该都会去制定一份符合自己业务情况的指南。

(2)《办法》第六条：“承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或必要的技术支持服务等。 ”这里的“承诺”应如何理解和执行？

这里分两个层面来要求，一是个人信息保护工作和未授权操作用户设备，对于供应商来说要想好怎么自证你这块是做得好的，就比如等保2.0中要求只可以采集必要个人信息，可以存放，但未经授权不可以查看、使用、修改和删除数据，这点光靠说是没用的，还是提供你实际是如何去做的证明;二是供应方要和运营方一起保证业务连续性，包括设备和技术支持两方面的持续服务提供，比如乙方驻场同学和售后支持同学。