关键信息基础设施的运营者采购,关键信息基础设施的运营者采购网络产品和服务?
网络安全审查办法
基于《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》,为了确保关键信息基础设施供应链安全,维护国家安全和网络数据安全,特制定了本规定。
基础设施运营者在采购网络产品和服务时,网络平台运营者在进行数据处理活动时,如果涉及影响国家安全的,必须按照相关规定进行网络安全审查。
基础设施运营者和网络平台运营者都属于当事人,根据前述规定。
第三条网络安全审查要求在防范网络安全风险和促进先进技术应用的基础上进行,同时结合过程公正透明和知识产权保护。审查包括事前审查和持续监管,并结合企业自律承诺和社会监督,主要从产品和服务安全性、数据处理活动的安全性以及可能带来的国家安全风险等方面展开。
在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同相关部门建立国家网络安全审查工作机制。
国家互联网信息办公室下设网络安全审查办公室,主要职责是负责制定网络安全审查相关制度规范,并组织实施网络安全审查工作。
运营者在采购网络产品和服务时,必须考虑到可能对国家安全造成的风险。如果产品和服务可能会对国家安全产生影响,运营者应向网络安全审查办公室申报网络安全审查。
基础设施安全保护工作部门可以制定本行业或本领域的预防指南,以确保关键信息基础设施的安全。
在申报网络安全审查的采购活动中,关键信息基础设施运营者应当要求产品和服务提供者在采购文件、协议等中配合网络安全审查,并承诺不利用提供的产品和服务来非法获取用户数据、非法控制和操纵用户设备,以及无正当理由不中断产品供应或者必要的技术支持服务等。
网络平台运营者如果想在国外上市并且掌握着超过100万用户的个人信息,必须先向网络安全审查办公室申报网络安全审查。
当事人申报网络安全审查时,需要准备以下材料:
(一)申报书;
关于影响或可能影响国家安全的分析报告对于国家的重大决策和安全战略制定具有重要意义。此类报告通常会对各种内外部因素进行分析,包括政治、经济、军事、社会和技术等方面的影响因素,以及可能带来的安全风险和挑战。这些报告的撰写需要严谨的分析和研究,以便提供决策者全面的信息,帮助他们做出明智的决策,保障国家的安全和利益。
采购文件、协议、拟签订的合同或者准备提交的首次公开募股(IPO)申请文件等。
(四)网络安全审查工作所需其他材料。
网络安全审查工作除了必要的文件和数据之外,还需要以下其他材料:
1. 网络拓扑图:展示网络架构、设备和连接方式的图表,有助于审查人员了解网络结构和潜在的安全风险。
2. 安全策略和流程文件:包括网络安全策略、访问控制策略、应急响应计划等文件,用于评估网络安全措施的有效性。
3. 安全设备日志:如防火墙、入侵检测系统等设备产生的日志文件,用于检查网络活动和可能的安全威胁。
4. 应用程序和软件信息:包括网络上使用的所有应用程序和软件的名称、版本号和厂商信息,有助于审查潜在的漏洞和安全隐患。
5. 审计报告和安全漏洞修复记录:记录网络审计结果和先前发现的安全漏洞,以及已经采取的修复措施和改进计划。
这些材料将有助于网络安全审查人员全面了解网络环境和可能存在的安全风险,从而提出有效的安全建议和改进建议。
网络安全审查办公室应在收到符合本办法第八条规定的审查申报材料后的10个工作日内,确定是否需要进行审查,并以书面形式通知相关当事人。
第十条网络安全审查重点评估相关对象或者情形的以下国家安全风险因素:政治稳定、社会公共安全、经济安全、军事安全以及国家重要信息基础设施的安全。
使用产品和服务后,关键信息基础设施面临被非法控制、遭受干扰或破坏的风险。
关键信息基础设施业务连续性面临的风险之一是产品和服务供应中断。产品和服务供应中断可能会对关键信息基础设施业务的运转造成危害,影响业务的连续性和稳定性。
(三)在考虑产品和服务时,需要关注安全性、开放性、透明性和来源的多样性,以及供应渠道的可靠性和可能因政治、外交、贸易等因素导致供应中断的风险。
(四)产品和服务提供者需遵守中国的法律、行政法规和部门规章。
核心数据、重要数据或大量个人信息被盗取、泄露、损坏或非法利用,以及非法出境的风险是非常严重的。
在上市过程中,存在外国政府可能影响、控制或恶意利用关键信息基础设施、核心数据、重要数据或大量个人信息的风险,同时也面临网络信息安全方面的风险。
网络安全和数据安全可能面临多种潜在危害,其中包括恶意软件和病毒,网络攻击,社交工程和钓鱼攻击等。这些因素都可能对关键信息基础设施的安全构成严重威胁,从而导致数据丢失、泄露和服务中断等问题。
网络安全审查办公室认为需要进行网络安全审查时,应当在书面通知之日起的30个工作日内完成初步审查,包括形成审查结论建议并将其发送给网络安全审查工作机制成员单位和相关部门征求意见。如果情况比较复杂,审查过程可以延长15个工作日。
网络安全审查工作机制规定,成员单位和相关部门应在收到审查结论建议后的15个工作日内,以书面形式提出回复意见。
如果网络安全审查工作机制的成员单位和相关部门意见一致,网络安全审查办公室将以书面形式通知当事人审查结论。如果意见不一致,将按照特别审查程序处理,并通知当事人。
在进行特别审查程序时,网络安全审查办公室需要听取相关单位和部门的意见,并进行深入分析和评估。随后,他们会再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关部门的意见。最后,经过中央网络安全和信息化委员会批准后,他们会形成审查结论并书面通知当事人。
特别审查程序通常需要在90个工作日内完成,但对于复杂情况可能会延长。
在网络安全审查办公室要求提供补充材料时,相关当事人、产品和服务提供者有责任配合提供。需要注意的是,提交补充材料的时间不会计入审查的时间。
网络安全审查机制要求成员单位对可能影响国家安全的网络产品、服务和数据处理活动进行审查,并需经中央网络安全和信息化委员会批准后,按照规定进行审查。
为了降低风险,在审查期间,当事人应根据网络安全审查要求采取预防和风险减轻的措施。
参与网络安全审查的相关机构和人员应当严格保护知识产权,对在审查工作中了解到的商业秘密、个人信息,以及其他未公开信息承担保密义务。未经信息提供方同意,不得向无关方披露或者将这些信息用于审查以外的目的。
若当事人或网络产品和服务提供者认为审查人员缺乏客观公正,或未能遵守审查过程中的保密义务,可向网络安全审查办公室或相关部门举报。
当事人有责任督促产品和服务提供者履行其在网络安全审查中所作的承诺,以确保网络安全得到有效维护。
网络安全审查办公室加强事前、事中和事后监督,其中包括接受举报等形式的举措。
根据《中华人民共和国网络安全法》和《中华人民共和国数据安全法》的规定,对违反本办法的当事人进行处理。
本规定中所指的网络产品和服务主要包括核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及对关键信息基础设施安全、网络安全和数据安全具有重要影响的其他网络产品和服务。
涉及国家秘密信息的相关事项,应当依照国家有关保密规定执行。
应当同时符合国家对数据安全审查、外商投资安全审查的规定。
本办法自2022年2月15日起开始实施,2020年4月13日公布的《网络安全审查办法》(国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局令第6号)同时被废止。
如若转载,请注明出处:https://www.mendian6.com/28283.html