網絡安全審查辦法

發布時間:2019-12-18 瀏覽次數:340來源:中央網絡安全和信息化委員會辦公室

   第一條 為提高關鍵信息基礎設施安全可控水平,維護國家安全,依據《中華人民共和國國家安全法》《中華人民共和國網絡安全法》等法律法規,制定本辦法。

   第二條 關鍵信息基礎設施運營者(以下簡稱運營者)采購網絡產品和服務,影響或可能影響國家安全的,應當按照本辦法進行網絡安全審查。法律、行政法規另有規定的,依照其規定。

   第三條 網絡安全審查堅持防范網絡安全風險與促進先進技術應用、增強公正透明與保護知識產權相統一,堅持事前審查與持續監管、企業承諾與社會監督相結合,從產品和服務安全性、可能對國家安全帶來的風險隱患等方面進行綜合分析評判。

   第四條 中央網絡安全和信息化委員會統一領導網絡安全審查工作。

   第五條 國家互聯網信息辦公室會同國家發展和改革委員會、工業和信息化部、公安部、國家安全部、商務部、財政部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、國家保密局、國家密碼管理局建立國家網絡安全審查工作機制。網絡安全審查辦公室設在國家互聯網信息辦公室,負責組織制定網絡安全審查相關制度規定和工作程序、組織網絡安全審查、監督審查決定的實施。

   第六條 運營者采購網絡產品和服務時,應預判產品和服務上線運行后帶來的潛在安全風險,形成安全風險報告??赡軐е乱韵虑闆r的,應當向網絡安全審查辦公室申報網絡安全審查:

   (一)關鍵信息基礎設施整體停止運轉或主要功能不能正常運行;

 

   (二)大量個人信息和重要數據泄露、丟失、毀損或出境;

   (三)關鍵信息基礎設施運行維護、技術支持、升級更新換代面臨供應鏈安全威脅;

   (四)其他嚴重危害關鍵信息基礎設施安全的風險隱患。

   第七條 對于申報網絡安全審查的采購活動,運營者應通過采購文件、合同或其他有約束力的手段要求產品和服務提供者配合網絡安全審查,并與產品和服務提供者約定網絡安全審查通過后合同方可生效。

 

   第八條 運營者申報網絡安全審查時,應當提交以下材料:

   (一)申報書;

   (二)本辦法第六條中的安全風險報告;

   (三)采購合同、協議等;

   (四)網絡安全審查辦公室要求的其他材料。

   第九條 網絡安全審查辦公室受理網絡安全審查后,應在30個工作日內完成初步審查,情況復雜的可延長15個工作日。

   第十條 網絡安全審查重點評估采購活動可能帶來的國家安全風險,主要考慮以下因素:

   (一)對關鍵信息基礎設施持續安全穩定運行的影響,包括關鍵信息基礎設施被控制、被干擾和業務連續性被損害的可能性;

   (二)導致大量個人信息和重要數據泄露、丟失、毀損、出境等的可能性;

   (三)產品和服務的可控性、透明性以及供應鏈安全,包括因為政治、外交、貿易等非技術因素導致產品和服務供應中斷的可能性;

   (四)對國防軍工、關鍵信息基礎設施相關技術和產業的影響;

   (五)產品和服務提供者遵守國家法律與行政法規情況,以及承諾承擔的責任和義務;

   (六)產品和服務提供者受外國政府資助、控制等情況;

   (七)其他可能危害關鍵信息基礎設施安全和國家安全的因素。

   第十一條 網絡安全審查辦公室完成初步審查后,應形成審查結論建議,并送網絡安全審查工作機制成員單位征求意見。審查結論建議包括通過審查、附條件通過審查、未通過審查三種情況。

   網絡安全審查工作機制成員單位應在15個工作日內書面回復意見。網絡安全審查工作機制成員單位意見一致的,網絡安全審查辦公室以書面形式將審查結論反饋運營者;意見不一致的,進入特別審查程序并通知運營者。

   第十二條 進入特別審查程序的,網絡安全審查辦公室應進一步聽取相關部門、專業機構、專家意見,進行深入分析評估,形成審查結論建議,征求網絡安全審查工作機制成員單位意見后,按程序報中央網絡安全和信息化委員會批準。

   第十三條 特別審查原則上應在45個工作日內完成,情況復雜的可以延長。

 

   第十四條 網絡安全審查辦公室要求提供補充材料等,運營者應予以配合。審查時間從提交補充材料之日起計算。

   運營者應對所提供材料的真實性負責。在審查過程中拒絕按要求提供材料或故意提供虛假材料的,按未通過安全審查處理。

   第十五條 參與網絡安全審查的人員對審查工作中獲悉的信息等承擔保密義務,不得用于審查以外的目的。

   第十六條 運營者加強安全管理,督促產品和服務提供者認真履行網絡安全審查中作出的承諾。網絡安全審查辦公室通過抽查、接受舉報等形式加強事中事后監管。

   第十七條 運營者違反本辦法規定的,依照《中華人民共和國網絡安全法》第六十五條的規定處理。

   第十八條 本辦法中關鍵信息基礎設施運營者是指經關鍵信息基礎設施保護工作部門認定的運營者。

   安全可控是指產品和服務提供者不得利用提供產品和服務的便利條件非法獲取用戶數據、非法控制和操縱用戶設備,不得利用用戶對產品和服務的依賴性牟取不正當利益或者迫使用戶更新換代等。

   第十九條 網絡安全審查工作機制成員單位認為影響或可能影響國家安全的網絡產品和服務采購活動、信息技術服務活動,網絡安全審查辦公室按程序報中央網絡安全和信息化委員會批準,依照本辦法進行審查。

   第二十條 涉及國家秘密信息的,依照國家有關保密規定執行。

   第二十一條 本辦法自 年 月 日起實施,《網絡產品和服務安全審查辦法(試行)》同時廢止。

新疆35选7开奖结果79期 网上赚钱棋牌游戏 20选8稳赚技巧规律 平安银行股票代码 欢乐四川麻将下载 1990至2017上证走势图 个人转让二手麻将机 大智慧股票数据 申城棋牌网手机版? 中国中车股市行情 四川金7乐奖金设置