[敬请读者注意] 本人保留本文的全部著作权利。如果哪位读者使用本文所描述内容，请务必如实引用并明白注明本文出处。如果本人发现任何人擅自使用本文任何部分内容而不明白注明出处，恕本人在网上广泛公布侵权者姓名。敬请各位读者注意，谢谢！

健立健全信息安全性审查国家政策的关键一步

程京德

2月4日，国家网信办发布通知，公布《网络产品和服务安全审查办法（征求意见稿）》并且对其公开征求意见。

祝贺我国在健立健全信息安全性审查国家政策方面迈出了关键一步！

笔者本人并指导学生从事信息安全性工程自动化智能化研究工作，在2005年提出信息安全性工程数据库概念，研究开发了世界上首个（目前大概仍为唯一的一个）信息安全性工程数据库ISEDS；在2008年提出信息安全性工程环境概念，并以ISEDS为核心研究开发了世界上首个（目前大概仍为唯一的一个）信息安全性工程环境ISEE。

笔者从2011年就开始主张：“我国对政府部门软件（信息）系统的安全性保障进行法规化也势在必行。我国的重要企业也将对自己的软件（信息）系统要求必须经过ISO/IEC信息安全性标准检验认证，我国的软件外包企业也必须对自己开发的软件（信息）系统按照客户要求通过ISO/IEC信息安全性标准检验认证。” 但是，笔者当时完全不了解国内信息安全性政策管理的“九龙治水”实际状况，因此天真乐观地以为我国对政府部门软件（信息）系统的安全性保障进行法规化在一两年内就会具体实施。未料到这一天会到来的如此漫长，竟然花了5年之久。

笔者相信，在国内信息安全性工程专家学者们的建议下，修改过后的《网络产品和服务安全审查办法》正式版将会是一个能够具体执行实施的法规文件。

国家互联网信息办公室关于《网络产品和服务安全审查办法（征求意见稿）》公开征求意见的通知

　　为提高网络产品和服务安全可控水平，防范供应链安全风险，维护国家安全和公共利益，依据《中华人民共和国网络安全法》，我办起草了《网络产品和服务安全审查办法（征求意见稿）》，现向社会公开征求意见。有关单位和各界人士可以在2017年3月4日前，通过以下方式提出意见：

　　一、通过信函方式将意见寄至：北京市东城区朝阳门内大街225号国家互联网信息办公室网络安全协调局，邮编：100010，并在信封上注明“征求意见”。

　　二、通过电子邮件方式发送至：zhangheng@cac.gov.cn。

　　附件：网络产品和服务安全审查办法（征求意见稿）

附件

网络产品和服务安全审查办法

（征求意见稿）

   第一条 网络产品和服务的安全性、可控性直接影响用户利益、关系国家安全。为提高网络产品和服务安全可控水平，防范供应链安全风险，维护国家安全和公共利益，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》，制定本办法。

   第二条 关系国家安全和公共利益的信息系统使用的重要网络产品和服务，应当经过网络安全审查。

   第三条 坚持企业承诺与社会监督相结合，第三方评价与政府监管相结合，实验室检测、现场检查、在线监测、背景调查相结合，对网络产品和服务及其提供者进行网络安全审查。

   第四条 重点审查网络产品和服务的安全性、可控性，主要包括：

   （一）产品和服务被非法控制、干扰和中断运行的风险；

   （二）产品及关键部件研发、交付、技术支持过程中的风险；

   （三）产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险；

   （四）产品和服务提供者利用用户对产品和服务的依赖，实施不正当竞争或损害用户利益的风险；

   （五）其他可能危害国家安全和公共利益的风险。

   第五条 国家互联网信息办公室会同有关部门成立网络安全审查委员会，负责审议网络安全审查的重要政策，统一组织网络安全审查工作，协调网络安全审查相关重要问题。

   网络安全审查办公室具体组织实施网络安全审查。

   第六条 网络安全审查委员会聘请相关专家组成网络安全审查专家委员会，在第三方评价基础上，对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估。

   第七条 国家统一认定网络安全审查第三方机构，承担网络安全审查中的第三方评价工作。

   第八条 根据国家有关部门要求、全国性行业协会建议、市场反映和企业申请等，网络安全审查办公室组织第三方机构、专家对网络产品和服务进行网络安全审查，并发布或在一定范围内通报审查结果。

   第九条 金融、电信、能源等重点行业主管部门，根据国家网络安全审查工作要求，组织开展本行业、本领域网络产品和服务安全审查工作。

   第十条 党政部门及重点行业优先采购通过审查的网络产品和服务，不得采购审查未通过的网络产品和服务。

   第十一条 关键信息基础设施运营者采购的网络产品和服务，可能影响国家安全的，应当经过网络安全审查。

   关键信息基础设施运营者采购的网络产品和服务是否影响国家安全，由关键信息基础设施保护工作部门确定。

   第十二条 承担网络安全审查的第三方机构，应坚持客观、公正、公平的原则，参照有关标准，重点从可控性、透明性、可信性等方面，对网络产品和服务及提供者进行评价，并对评价结果负责。

   第十三条 网络产品和服务提供者应对网络安全审查工作予以配合。

第三方机构等相关单位和人员对审查工作中获悉的信息等承担安全保密义务，不得用于网络安全审查以外的目的。

   第十四条 网络安全审查办公室不定期发布对网络产品和服务提供者的安全评估报告。

   第十五条 本办法由国家互联网信息办公室负责解释。

   第十六条 本办法自2017年 月 日起实施。