2024網(wǎng)絡(luò)安全審查辦法

2024網(wǎng)絡(luò)安全審查辦法20XXWORK演講人：04-10目錄SCIENCEANDTECHNOLOGY網(wǎng)絡(luò)安全審查背景與意義網(wǎng)絡(luò)安全審查辦法概述關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全審查網(wǎng)絡(luò)安全技術(shù)與產(chǎn)品應(yīng)用審查數(shù)據(jù)安全與隱私保護(hù)審查網(wǎng)絡(luò)安全審查實(shí)施保障措施網(wǎng)絡(luò)安全審查背景與意義01網(wǎng)絡(luò)攻擊日益頻繁01隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)攻擊事件不斷增多，給國(guó)家安全、社會(huì)秩序和個(gè)人隱私帶來嚴(yán)重威脅。信息技術(shù)產(chǎn)品供應(yīng)鏈風(fēng)險(xiǎn)02信息技術(shù)產(chǎn)品的供應(yīng)鏈中存在諸多風(fēng)險(xiǎn)，如供應(yīng)商可能存在的安全漏洞、惡意代碼植入等，這些風(fēng)險(xiǎn)可能導(dǎo)致關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行受到威脅。網(wǎng)絡(luò)安全法律法規(guī)不完善03當(dāng)前網(wǎng)絡(luò)安全法律法規(guī)體系尚不完善，存在一定的法律空白和監(jiān)管漏洞，給不法分子提供了可乘之機(jī)?；ヂ?lián)網(wǎng)時(shí)代下的安全挑戰(zhàn)

關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)需求保障國(guó)家安全和經(jīng)濟(jì)發(fā)展關(guān)鍵信息基礎(chǔ)設(shè)施是國(guó)家安全和經(jīng)濟(jì)發(fā)展的重要支撐，一旦遭到破壞或攻擊，將對(duì)國(guó)家安全和社會(huì)穩(wěn)定造成嚴(yán)重影響。提高網(wǎng)絡(luò)安全防護(hù)能力加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全防護(hù)，提高網(wǎng)絡(luò)安全事件的應(yīng)對(duì)能力，是保障國(guó)家安全和經(jīng)濟(jì)發(fā)展的重要舉措。強(qiáng)化網(wǎng)絡(luò)安全監(jiān)管和治理加強(qiáng)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全監(jiān)管和治理，完善網(wǎng)絡(luò)安全法律法規(guī)體系，提高網(wǎng)絡(luò)安全保障能力。123當(dāng)前國(guó)際網(wǎng)絡(luò)安全形勢(shì)十分嚴(yán)峻，各國(guó)紛紛加強(qiáng)網(wǎng)絡(luò)安全防護(hù)和治理，共同應(yīng)對(duì)網(wǎng)絡(luò)攻擊和威脅。國(guó)際網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻國(guó)內(nèi)網(wǎng)絡(luò)安全問題也日益突出，如個(gè)人信息泄露、網(wǎng)絡(luò)詐騙、惡意軟件感染等，給人民群眾的生活和工作帶來不便和損失。國(guó)內(nèi)網(wǎng)絡(luò)安全問題突出加強(qiáng)國(guó)際網(wǎng)絡(luò)安全合作與交流，共同應(yīng)對(duì)網(wǎng)絡(luò)攻擊和威脅，維護(hù)網(wǎng)絡(luò)空間和平與安全。網(wǎng)絡(luò)安全合作與交流加強(qiáng)國(guó)內(nèi)外網(wǎng)絡(luò)安全形勢(shì)分析網(wǎng)絡(luò)安全審查制度能夠及早發(fā)現(xiàn)和避免采購(gòu)的產(chǎn)品和服務(wù)給關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行帶來的風(fēng)險(xiǎn)和危害。及早發(fā)現(xiàn)和避免風(fēng)險(xiǎn)通過網(wǎng)絡(luò)安全審查，可以保障關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈的安全，防止供應(yīng)鏈中的安全風(fēng)險(xiǎn)對(duì)國(guó)家安全造成影響。保障供應(yīng)鏈安全網(wǎng)絡(luò)安全審查制度是維護(hù)國(guó)家安全的重要手段之一，能夠加強(qiáng)國(guó)家對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的掌控力，保障國(guó)家安全和利益不受損害。維護(hù)國(guó)家安全網(wǎng)絡(luò)安全審查制度重要性網(wǎng)絡(luò)安全審查辦法概述02確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全，防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，保障網(wǎng)絡(luò)安全和數(shù)據(jù)安全，維護(hù)國(guó)家安全和社會(huì)公共利益。審查目標(biāo)遵循依法依規(guī)、公正公平、安全可控、科學(xué)精準(zhǔn)的原則，加強(qiáng)事前、事中、事后監(jiān)管，強(qiáng)化網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范和數(shù)據(jù)安全保護(hù)。審查原則審查目標(biāo)與原則對(duì)在我國(guó)境內(nèi)建設(shè)、運(yùn)營(yíng)、維護(hù)和使用網(wǎng)絡(luò)，以及數(shù)據(jù)處理活動(dòng)進(jìn)行網(wǎng)絡(luò)安全審查。包括網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者、網(wǎng)絡(luò)運(yùn)營(yíng)者、數(shù)據(jù)處理者等在內(nèi)的各類主體，其網(wǎng)絡(luò)安全和數(shù)據(jù)安全行為均受到審查。審查范圍與對(duì)象審查對(duì)象審查范圍審查流程包括發(fā)起審查、實(shí)施審查、形成審查結(jié)論等環(huán)節(jié)，確保審查工作的規(guī)范性和有效性。審查要求明確審查依據(jù)、審查標(biāo)準(zhǔn)、審查方式等，確保審查工作的科學(xué)性和精準(zhǔn)性。同時(shí)，要求被審查對(duì)象積極配合審查工作，如實(shí)提供相關(guān)資料和信息。審查流程與要求審查結(jié)果根據(jù)審查情況，形成審查結(jié)論，明確被審查對(duì)象是否存在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)或數(shù)據(jù)安全問題。處置措施對(duì)存在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)或數(shù)據(jù)安全問題的被審查對(duì)象，采取相應(yīng)的處置措施，包括責(zé)令改正、停止使用、限制或禁止采購(gòu)等。同時(shí)，將違法違規(guī)行為記入信用檔案，實(shí)施聯(lián)合懲戒。審查結(jié)果與處置關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全審查0303制定風(fēng)險(xiǎn)應(yīng)對(duì)措施針對(duì)不同等級(jí)和類型的安全風(fēng)險(xiǎn)，制定相應(yīng)的風(fēng)險(xiǎn)應(yīng)對(duì)措施，包括技術(shù)防范、管理加強(qiáng)、應(yīng)急響應(yīng)等。01評(píng)估供應(yīng)鏈中的潛在安全風(fēng)險(xiǎn)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈中的各個(gè)環(huán)節(jié)進(jìn)行全面梳理，識(shí)別潛在的網(wǎng)絡(luò)安全威脅和漏洞。02確定風(fēng)險(xiǎn)等級(jí)和優(yōu)先級(jí)根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，對(duì)供應(yīng)鏈中的安全風(fēng)險(xiǎn)進(jìn)行等級(jí)劃分，并確定需要優(yōu)先處理的風(fēng)險(xiǎn)項(xiàng)。供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估實(shí)施持續(xù)監(jiān)管對(duì)已通過資質(zhì)審查的供應(yīng)商進(jìn)行持續(xù)監(jiān)管，確保其產(chǎn)品和服務(wù)的質(zhì)量和安全性得到保障。建立黑名單制度對(duì)存在嚴(yán)重違法違規(guī)行為的供應(yīng)商，將其列入黑名單，限制或禁止其參與關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈的相關(guān)活動(dòng)。建立供應(yīng)商資質(zhì)審查機(jī)制對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈中的供應(yīng)商進(jìn)行嚴(yán)格的資質(zhì)審查，確保其具備相應(yīng)的技術(shù)實(shí)力和管理能力。供應(yīng)商資質(zhì)審查與監(jiān)管對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈中的產(chǎn)品和服務(wù)進(jìn)行安全檢測(cè)，確保其符合國(guó)家網(wǎng)絡(luò)安全相關(guān)法規(guī)和標(biāo)準(zhǔn)的要求。建立安全檢測(cè)機(jī)制對(duì)通過安全檢測(cè)的產(chǎn)品和服務(wù)進(jìn)行認(rèn)證管理，頒發(fā)相應(yīng)的認(rèn)證證書，為采購(gòu)方提供可靠的采購(gòu)依據(jù)。實(shí)施認(rèn)證管理加強(qiáng)與國(guó)際網(wǎng)絡(luò)安全認(rèn)證機(jī)構(gòu)的合作，推動(dòng)關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全檢測(cè)與認(rèn)證的國(guó)際化進(jìn)程。加強(qiáng)國(guó)際合作產(chǎn)品與服務(wù)安全檢測(cè)與認(rèn)證制定應(yīng)急預(yù)案根據(jù)可能發(fā)生的網(wǎng)絡(luò)安全事件類型和等級(jí)，制定相應(yīng)的應(yīng)急預(yù)案，明確應(yīng)急響應(yīng)流程和措施。建立應(yīng)急響應(yīng)機(jī)制針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈中可能發(fā)生的網(wǎng)絡(luò)安全事件，建立應(yīng)急響應(yīng)機(jī)制，確保能夠及時(shí)、有效地進(jìn)行處置。加強(qiáng)應(yīng)急演練定期組織應(yīng)急演練，提高應(yīng)急響應(yīng)能力和水平，確保在實(shí)際發(fā)生網(wǎng)絡(luò)安全事件時(shí)能夠迅速、準(zhǔn)確地做出反應(yīng)。應(yīng)急響應(yīng)與處置機(jī)制網(wǎng)絡(luò)安全技術(shù)與產(chǎn)品應(yīng)用審查04強(qiáng)制使用國(guó)家認(rèn)可的加密算法對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)強(qiáng)制要求其使用國(guó)家密碼管理部門認(rèn)可的商用密碼算法，確保數(shù)據(jù)加密的安全性和可控性。加強(qiáng)加密產(chǎn)品管理對(duì)提供加密產(chǎn)品的網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者，應(yīng)進(jìn)行嚴(yán)格的網(wǎng)絡(luò)安全審查，評(píng)估其產(chǎn)品的安全性和可靠性，防止存在安全漏洞和后門。建立加密技術(shù)應(yīng)用規(guī)范制定加密技術(shù)應(yīng)用的相關(guān)規(guī)范和標(biāo)準(zhǔn)，指導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者正確、規(guī)范地使用加密技術(shù)，提高整體網(wǎng)絡(luò)安全防護(hù)能力。加密技術(shù)與產(chǎn)品應(yīng)用要求要求關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，及時(shí)發(fā)現(xiàn)和修復(fù)存在的安全漏洞，防止被黑客利用進(jìn)行攻擊。定期漏洞掃描對(duì)于發(fā)現(xiàn)的安全漏洞，應(yīng)建立快速響應(yīng)和修復(fù)機(jī)制，確保漏洞得到及時(shí)修復(fù)，降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。建立漏洞修復(fù)機(jī)制加強(qiáng)漏洞信息的共享和通報(bào)，鼓勵(lì)網(wǎng)絡(luò)安全企業(yè)、研究機(jī)構(gòu)等積極向國(guó)家網(wǎng)絡(luò)安全漏洞庫(kù)報(bào)送漏洞信息，提高漏洞發(fā)現(xiàn)和修復(fù)的效率。強(qiáng)化漏洞信息共享漏洞掃描與修復(fù)技術(shù)應(yīng)用部署入侵檢測(cè)系統(tǒng)要求關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者在網(wǎng)絡(luò)系統(tǒng)中部署入侵檢測(cè)系統(tǒng)，實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)流量和異常行為，及時(shí)發(fā)現(xiàn)和處置網(wǎng)絡(luò)攻擊行為。強(qiáng)化入侵防御能力對(duì)于檢測(cè)到的網(wǎng)絡(luò)攻擊行為，應(yīng)采取有效的入侵防御措施，及時(shí)阻斷攻擊行為，防止對(duì)網(wǎng)絡(luò)系統(tǒng)造成損害。建立應(yīng)急響應(yīng)機(jī)制對(duì)于發(fā)生的網(wǎng)絡(luò)安全事件，應(yīng)建立應(yīng)急響應(yīng)機(jī)制，快速響應(yīng)和處置網(wǎng)絡(luò)安全事件，降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。入侵檢測(cè)與防御系統(tǒng)部署加強(qiáng)數(shù)據(jù)恢復(fù)能力對(duì)于發(fā)生的數(shù)據(jù)丟失或損壞情況，應(yīng)具備快速恢復(fù)數(shù)據(jù)的能力，確保業(yè)務(wù)系統(tǒng)的正常運(yùn)行。建立容災(zāi)備份中心鼓勵(lì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者建立容災(zāi)備份中心，對(duì)重要數(shù)據(jù)進(jìn)行異地備份和容災(zāi)保護(hù)，提高數(shù)據(jù)的安全性和可靠性。完善數(shù)據(jù)備份機(jī)制要求關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者建立完善的數(shù)據(jù)備份機(jī)制，定期對(duì)重要數(shù)據(jù)進(jìn)行備份，確保數(shù)據(jù)的完整性和可用性。數(shù)據(jù)備份與恢復(fù)策略實(shí)施數(shù)據(jù)安全與隱私保護(hù)審查05數(shù)據(jù)采集要求企業(yè)明確數(shù)據(jù)采集的目的、方式和范圍，遵循合法、正當(dāng)、必要原則，并經(jīng)過用戶同意。不得采集與其提供的服務(wù)無關(guān)的個(gè)人信息。數(shù)據(jù)存儲(chǔ)企業(yè)應(yīng)建立完善的數(shù)據(jù)存儲(chǔ)管理制度，采取加密、去標(biāo)識(shí)化等安全技術(shù)措施，確保數(shù)據(jù)安全、可用。對(duì)于重要數(shù)據(jù)，應(yīng)實(shí)施更為嚴(yán)格的管理和保護(hù)。數(shù)據(jù)處理企業(yè)在進(jìn)行數(shù)據(jù)處理時(shí)，應(yīng)遵循合法、正當(dāng)、誠(chéng)信原則，不得損害國(guó)家利益、社會(huì)公共利益和他人合法權(quán)益。對(duì)于涉及個(gè)人隱私的信息，應(yīng)依法取得個(gè)人同意并確保其知情權(quán)。數(shù)據(jù)采集、存儲(chǔ)和處理規(guī)范數(shù)據(jù)跨境傳輸監(jiān)管要求企業(yè)應(yīng)按照國(guó)家有關(guān)規(guī)定，對(duì)跨境傳輸?shù)膫€(gè)人信息進(jìn)行保護(hù)認(rèn)證，確保個(gè)人信息在境外得到同等保護(hù)。個(gè)人信息保護(hù)認(rèn)證企業(yè)向境外提供重要數(shù)據(jù)、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理大量個(gè)人信息的數(shù)據(jù)處理者等，應(yīng)按照國(guó)家有關(guān)規(guī)定進(jìn)行出境安全評(píng)估。數(shù)據(jù)出境安全評(píng)估企業(yè)應(yīng)建立數(shù)據(jù)出境安全管理制度，明確出境數(shù)據(jù)的范圍、目的、接收方等，并采取相應(yīng)的安全技術(shù)措施和其他必要措施，確保數(shù)據(jù)出境安全。數(shù)據(jù)出境安全管理加密保護(hù)企業(yè)應(yīng)采取加密技術(shù)對(duì)個(gè)人隱私信息進(jìn)行保護(hù)，防止數(shù)據(jù)泄露、篡改和損壞。訪問控制企業(yè)應(yīng)建立嚴(yán)格的訪問控制機(jī)制，對(duì)訪問個(gè)人隱私信息的行為進(jìn)行審批、監(jiān)控和記錄，確保只有授權(quán)人員才能訪問。隱私政策企業(yè)應(yīng)制定并公開隱私政策，明確告知用戶個(gè)人信息的收集、使用、處理、存儲(chǔ)和保護(hù)等規(guī)則。個(gè)人隱私信息保護(hù)措施違反數(shù)據(jù)采集、存儲(chǔ)和處理規(guī)范的處罰企業(yè)違反數(shù)據(jù)采集、存儲(chǔ)和處理規(guī)范的，將視情節(jié)嚴(yán)重程度給予警告、罰款、限制或禁止相關(guān)業(yè)務(wù)等處罰。違反數(shù)據(jù)跨境傳輸監(jiān)管要求的處罰企業(yè)違反數(shù)據(jù)跨境傳輸監(jiān)管要求的，將依法追究法律責(zé)任，并可能面臨高額罰款、業(yè)務(wù)限制或禁止等嚴(yán)厲處罰。侵犯?jìng)€(gè)人隱私信息的處罰企業(yè)侵犯?jìng)€(gè)人隱私信息的，將依法承擔(dān)民事責(zé)任，并可能面臨行政處罰和刑事責(zé)任。同時(shí)，企業(yè)還應(yīng)承擔(dān)因此造成的社會(huì)信譽(yù)損失和賠償責(zé)任。010203違法違規(guī)行為處罰規(guī)定網(wǎng)絡(luò)安全審查實(shí)施保障措施06組織領(lǐng)導(dǎo)與協(xié)調(diào)機(jī)制建立明確領(lǐng)導(dǎo)小組的職責(zé)、成員單位及工作機(jī)制，加強(qiáng)統(tǒng)籌協(xié)調(diào)，確保網(wǎng)絡(luò)安全審查工作的順利推進(jìn)。建立跨部門協(xié)作機(jī)制加強(qiáng)與相關(guān)部門的溝通協(xié)作，形成工作合力，共同推進(jìn)網(wǎng)絡(luò)安全審查工作。完善信息共享和通報(bào)機(jī)制加強(qiáng)信息共享和通報(bào)，及時(shí)匯總、分析、研判網(wǎng)絡(luò)安全審查相關(guān)信息，為決策提供有力支撐。成立網(wǎng)絡(luò)安全審查工作領(lǐng)導(dǎo)小組完善專家培訓(xùn)和管理制度制定專家培訓(xùn)計(jì)劃和管理制度，加強(qiáng)專家隊(duì)伍的培訓(xùn)和管理，提高專家的業(yè)務(wù)水平和綜合素質(zhì)。建立專家考核和激勵(lì)機(jī)制建立專家考核和激勵(lì)機(jī)制，對(duì)表現(xiàn)優(yōu)秀的專家給予表彰和獎(jiǎng)勵(lì)，激發(fā)專家的積極性和創(chuàng)造性。加強(qiáng)專家隊(duì)伍建設(shè)組建網(wǎng)絡(luò)安全審查專家?guī)?，選聘高水平專家參與網(wǎng)絡(luò)安全審查工作，提高審查的專業(yè)性和權(quán)威性。專家隊(duì)伍建設(shè)和培訓(xùn)管理加強(qiáng)監(jiān)督檢查定期對(duì)網(wǎng)絡(luò)安全審查工作進(jìn)行監(jiān)督檢查，確保各項(xiàng)措施落到實(shí)處。建立評(píng)估反饋機(jī)制建立網(wǎng)絡(luò)安全審查評(píng)估反饋機(jī)制，對(duì)審查過程中發(fā)現(xiàn)的問題及時(shí)進(jìn)行評(píng)估和反饋，督促相關(guān)單位進(jìn)行整改。強(qiáng)化責(zé)任追究對(duì)違反網(wǎng)絡(luò)安全審查規(guī)定的單位和