网络安全审查基于产品和服务的安全性和可控性实施审查,这就需要企业对其产品和服务在设计、生产、交付和供应链等各个阶段的技术风险或管理风险进行梳理,并通过制定管理制度的方式实施管理。对于产品,管理制度主要考虑各阶段实施控制,明确设计时要把功能、性能和安全性同时考虑,避免设计时考虑不周引入的风险,还需考虑到产品升级等后续问题,明确产品交付的控制手段,防止外部的风险,另外,通过引入供应链管理,确保产品生产的安全可控。对于服务,管理制度主要集中在以下几点:首先,服务设计是否遵循安全可控原则,服务设计过程中是否对数据采集、保存、处理、传输等方面进行了管控。其次,服务过程中是否对服务进行了监控,确保服务能按照要求实施。还有,对关键岗位和供应商建立背景审查的管理程序,控制风险,需要时配合审查办对企业实施的背景审查。(中国信息安全认证中心 段静辉)
