近日，國(guó)家互聯(lián)網(wǎng)信息辦公室、國(guó)家發(fā)展和改革委員會(huì)、工業(yè)和信息化部、公安部、國(guó)家安全部、財(cái)政部、商務(wù)部、中國(guó)人民銀行、國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家廣播電視總局、中國(guó)證券監(jiān)督管理委員會(huì)、國(guó)家保密局、國(guó)家密碼管理局等十三部門聯(lián)合修訂發(fā)布《網(wǎng)絡(luò)安全審查辦法》，自2022年2月15日起施行。

【重點(diǎn)解讀】01

第一條 為了確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全，保障網(wǎng)絡(luò)安全和數(shù)據(jù)安全，維護(hù)國(guó)家安全，根據(jù)《中華人民共和國(guó)國(guó)家安全法》、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)數(shù)據(jù)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，制定本辦法。

解讀：關(guān)鍵信息基礎(chǔ)設(shè)施包括電信、廣播電視、能源、金融、公路水路運(yùn)輸、鐵路、民航、郵政、水利、應(yīng)急管理、衛(wèi)生健康、社會(huì)保障、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域。一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的網(wǎng)絡(luò)和信息系統(tǒng)。此次修訂依據(jù)《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》，旨在確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全，保障網(wǎng)絡(luò)安全和數(shù)據(jù)安全，維護(hù)國(guó)家安全。

【重點(diǎn)解讀】02

第二條 關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者開展數(shù)據(jù)處理活動(dòng)，影響或者可能影響國(guó)家安全的，應(yīng)當(dāng)按照本辦法進(jìn)行網(wǎng)絡(luò)安全審查。

解讀：意味著一般數(shù)據(jù)處理者（網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者）的數(shù)據(jù)處理活動(dòng)也被納入網(wǎng)絡(luò)安全審查范圍，適用的范圍更加廣泛。依據(jù)《數(shù)據(jù)安全法》可以了解到數(shù)據(jù)處理活動(dòng)包括數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等活動(dòng)，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者、網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者對(duì)于數(shù)據(jù)的處理活動(dòng)是《網(wǎng)絡(luò)安全審查辦法》重點(diǎn)關(guān)注的，這有可能涉及到國(guó)家安全。對(duì)于數(shù)據(jù)處理過程中的安全防護(hù)，昂楷提供了一套數(shù)據(jù)安全解決方案。

數(shù)據(jù)全生命周期安全防護(hù)

【重點(diǎn)解讀】03

第七條 掌握超過100萬用戶個(gè)人信息的網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者赴國(guó)外上市，必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查。

解讀：過去中國(guó)監(jiān)管部門一度不允許電信、互聯(lián)網(wǎng)等關(guān)鍵行業(yè)公司直接在海外集資或上市。現(xiàn)在如果網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)企業(yè)因?yàn)槟承┮蛩匾欢ㄐ枰诤Ｍ馍鲜校毒W(wǎng)絡(luò)安全審查辦法》要求上市前需要申報(bào)網(wǎng)絡(luò)安全審查，在事前的監(jiān)管上加大力度。境外上市存在關(guān)鍵信息基礎(chǔ)設(shè)施、核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個(gè)人信息被外國(guó)政府影響、控制、惡意利用的風(fēng)險(xiǎn)。對(duì)于數(shù)據(jù)安全昂楷的思路是先梳理，再防護(hù)，最后持續(xù)運(yùn)營(yíng)。先將數(shù)據(jù)資產(chǎn)進(jìn)行梳理分級(jí)，然后制定數(shù)據(jù)安全策略，建設(shè)安全系統(tǒng)，持續(xù)運(yùn)營(yíng)。

數(shù)據(jù)安全治理實(shí)施模型

【重點(diǎn)解讀】04

第十條 網(wǎng)絡(luò)安全審查重點(diǎn)評(píng)估相關(guān)對(duì)象或者情形的以下國(guó)家安全風(fēng)險(xiǎn)因素：

（一）產(chǎn)品和服務(wù)使用后帶來的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、遭受干擾或者破壞的風(fēng)險(xiǎn)；

（二）產(chǎn)品和服務(wù)供應(yīng)中斷對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害；

（三）產(chǎn)品和服務(wù)的安全性、開放性、透明性、來源的多樣性，供應(yīng)渠道的可靠性以及因?yàn)檎巍⑼饨弧①Q(mào)易等因素導(dǎo)致供應(yīng)中斷的風(fēng)險(xiǎn)；

（四）產(chǎn)品和服務(wù)提供者遵守中國(guó)法律、行政法規(guī)、部門規(guī)章情況；

（五）核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個(gè)人信息被竊取、泄露、毀損以及非法利用、非法出境的風(fēng)險(xiǎn)；

（六）上市存在關(guān)鍵信息基礎(chǔ)設(shè)施、核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個(gè)人信息被外國(guó)政府影響、控制、惡意利用的風(fēng)險(xiǎn)，以及網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)；

（七）其他可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全的因素。

解讀：針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、遭受干擾或破壞，以及重要數(shù)據(jù)被竊取、泄露、毀損的風(fēng)險(xiǎn)。關(guān)鍵信息基礎(chǔ)設(shè)施的數(shù)據(jù)安全防護(hù)要通過識(shí)別認(rèn)定、安全防護(hù)、監(jiān)測(cè)預(yù)警這三個(gè)主流環(huán)節(jié)來進(jìn)行，其中識(shí)別認(rèn)定包括了資產(chǎn)識(shí)別和風(fēng)險(xiǎn)識(shí)別；安全防護(hù)包括鑒別與授權(quán)，入侵防范，數(shù)據(jù)安全防護(hù)以及自動(dòng)化工具等。

1、數(shù)據(jù)安全分類分級(jí)系統(tǒng)、數(shù)據(jù)庫漏掃描系統(tǒng)

昂楷數(shù)據(jù)安全分類分級(jí)系統(tǒng)能夠識(shí)別出數(shù)據(jù)資產(chǎn)并進(jìn)行分類分級(jí)，基于資產(chǎn)類別、資產(chǎn)重要性和支撐業(yè)務(wù)的重要性，對(duì)資產(chǎn)進(jìn)行優(yōu)先排序，確定資產(chǎn)防護(hù)的優(yōu)先級(jí)。數(shù)據(jù)庫漏掃描系統(tǒng)能夠識(shí)別關(guān)鍵業(yè)務(wù)鏈各環(huán)節(jié)數(shù)據(jù)庫的威脅、脆弱性，確定風(fēng)險(xiǎn)處置的優(yōu)先級(jí)，形成安全風(fēng)險(xiǎn)報(bào)告。

2、數(shù)據(jù)庫審計(jì)、數(shù)據(jù)庫防火墻

數(shù)據(jù)庫審計(jì)和數(shù)據(jù)庫防火墻進(jìn)行聯(lián)動(dòng)，能夠?qū)τ脩簟⒎?wù)或應(yīng)用、數(shù)據(jù)等進(jìn)行安全管控，對(duì)于重要業(yè)務(wù)操作或異常用戶操作行為進(jìn)行監(jiān)控,對(duì)數(shù)據(jù)庫的違規(guī)操作行為進(jìn)行訪問控制。通過系統(tǒng)內(nèi)置的安全規(guī)則，及時(shí)識(shí)別并阻斷入侵和病毒行為。

3、數(shù)據(jù)庫加密、數(shù)據(jù)脫敏和數(shù)據(jù)水印溯源技術(shù)

數(shù)據(jù)庫加密、數(shù)據(jù)脫敏和數(shù)據(jù)水印溯源技術(shù)能夠嚴(yán)格控制重要數(shù)據(jù)的公開、分析、交換、共享和導(dǎo)出等關(guān)鍵環(huán)節(jié)，保護(hù)敏感數(shù)據(jù)安全。

4、數(shù)據(jù)安全綜合治理平臺(tái)

通過數(shù)據(jù)安全綜合治理平臺(tái)整合昂楷或其他廠商提供的各數(shù)據(jù)安全產(chǎn)品作戰(zhàn)單元，整合終端安全、網(wǎng)絡(luò)安全等作戰(zhàn)單元，利用大數(shù)據(jù)關(guān)聯(lián)分析引擎，AI分析引擎統(tǒng)一分析各單元的威脅情報(bào)，對(duì)關(guān)鍵業(yè)務(wù)所涉及的數(shù)據(jù)庫的所有監(jiān)測(cè)信息進(jìn)行整合分析，及時(shí)關(guān)聯(lián)、分析關(guān)鍵信息基礎(chǔ)設(shè)施的安全態(tài)勢(shì)，并且可智能的通過全自動(dòng)或半自動(dòng)的模式指揮調(diào)度各數(shù)據(jù)安全作戰(zhàn)單元對(duì)威脅進(jìn)行防控。

關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)解決方案

【處罰與法律責(zé)任】

第二十條 當(dāng)事人違反本辦法規(guī)定的，依照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)數(shù)據(jù)安全法》的規(guī)定處理。

解讀：《網(wǎng)絡(luò)安全法》第六十五條規(guī)定，對(duì)于應(yīng)當(dāng)申報(bào)網(wǎng)絡(luò)安全審查而沒有申報(bào)的，或者使用網(wǎng)絡(luò)安全審查未通過的產(chǎn)品和服務(wù)，由有關(guān)主管部門責(zé)令停止使用，處采購金額一倍以上十倍以下罰款；對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款。

《數(shù)據(jù)安全法》對(duì)數(shù)據(jù)安全違法行為賦予了多項(xiàng)處罰說明，對(duì)違反國(guó)家核心數(shù)據(jù)管理制度，危害國(guó)家主權(quán)、安全和發(fā)展利益的，由有關(guān)主管部門處二百萬元以上一千萬元以下罰款，并根據(jù)情況責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照；構(gòu)成犯罪的，依法追究刑事責(zé)任。

根據(jù)國(guó)家互聯(lián)網(wǎng)信息辦公室通知，目前，部分企業(yè)已經(jīng)被進(jìn)行了網(wǎng)絡(luò)安全審查，比如滴滴出行、運(yùn)滿滿、貨車幫、BOSS直聘等。數(shù)據(jù)安全成為國(guó)家安全的重點(diǎn)。未來，網(wǎng)絡(luò)安全、數(shù)據(jù)安全審查態(tài)勢(shì)將更加嚴(yán)格化。