网络安全审查带给企业带来的机遇大于挑战
我国在2015年7月发布了《国家安全法》,首次明确了国家建立国家安全审查和监管的制度和机制,其中明确了对影响或者可能影响国家安全的网络信息技术产品和服务实施国家安全审查,有效预防和化解国家安全风险。2016年11月颁布了《网络安全法》,标志着我国在网络安全方面形成了法律框架,其中明确了网络安全审查制度,具有重要意义,对审查工作提供了法律保障。
网络安全审查为企业设立了一个新的标杆,通过审查意味着产品和服务具备较高的安全性和可控性,对企业带来的许多机会。网络产品安全性和可靠性引发的信息泄露、系统故障等安全事件会造成使用者财产的重大损失或严重影响其日常生活,也会造成提供产品和服务的企业声誉受损,最终影响到消费者对企业产品或服务的安全信心,而通过审查意味着企业产品或服务是相对安全的,能帮助客户建立对企业产品和服务的信任感和安全感,最终提升企业在市场中的竞争力。
厂商必需在产品和服务设计时把安全性和可控性与产品功能和性能或服务内容一起考虑,这从根本上降低了系统和服务自身的风险,也促进了厂商安全技术能力的提升,同时为了通过供应链和人员背景的审查,企业也必将在这些方面建立相应管理制度,从而提高了厂商的安全管理能力。
网络安全审查顺应了网络空间管理的国际趋势,体现了国家提高产品和服务安全和可控的国家意志,必然会在国内逐渐落实,审查范围和内容也会逐步扩大和深入。随着审查制度的实施,我国信息技术行业在安全性和可控性的技术和管理水平必将获得很大发展。只有重视该项制度影响,并认真对待其带来的挑战,企业才能完善和提高自身产品和服务的安全性和可控性,紧跟行业的发展趋势,获得国家和社会对其产品的信心。
网络安全审查基于产品和服务的安全性和可控性实施审查,这就需要企业对其产品和服务在设计、生产、交付和供应链等各个阶段的技术风险或管理风险进行梳理,并通过制定管理制度的方式实施管理。对于产品,管理制度主要考虑各阶段实施控制,明确设计时要把功能、性能和安全性同时考虑,避免设计时考虑不周引入的风险,还需考虑到产品升级等后续问题,明确产品交付的控制手段,防止外部的风险,另外,通过引入供应链管理,确保产品生产的安全可控。对于服务,管理制度主要集中在以下几点:首先,服务设计是否遵循安全可控原则,服务设计过程中是否对数据采集、保存、处理、传输等方面进行了管控。其次,服务过程中是否对服务进行了监控,确保服务能按照要求实施。还有,对关键岗位和供应商建立背景审查的管理程序,控制风险,需要时配合审查办对企业实施的背景审查。(中国信息安全认证中心 段静辉)