更新时间:2024-12-13
网络安全审查,就是对关系国家安全性和社会平稳信息系统中用于的信息技术产品与服务展开测试评估、监测分析、持续监督的过程。2000年,美国首度在国家安全性系统中对订购的产品展开安全性审查,随后相继针对联邦政府云计算服务、国防供应链等实施了安全性审查政策,构建了对国家安全性系统、国防系统、联邦政府系统的全面覆盖面积。审查对象不仅牵涉到产品和服务,还不会针对产品和服务提供商。
随后,美国等西方国家为确保国家安全性、防止供应链安全性风险,逐步创建了多种形式的网络安全审查制度。将全方位、综合性的供应链安全性审查对策下降至国家战略高度。
美国网络安全审查标准和过程是不公开发表的。美国对供应链安全性审查的过程、标准、机制几乎堵塞,不透露原因和理由,不拒绝接受供应方受理。主要考虑到对国家安全性、司法和公共利益的潜在影响,且其审查没具体的时间容许。美国安全性审查的敌之一,是安全性审查结果具备强制性。
美国国家安全性系统委员会2000年1月公布的《国家信息安全确保订购政策》规定,自2002年7月起转入国家安全性系统的信息技术产品必需通过审查。2011年12月,美国政府公布《联邦风险及许可管理计划》,拒绝为联邦政府获取云计算服务的服务商,必需通过安全性审查、取得许可;联邦政府各部门不得使用未经审查的云计算服务。美国在政府订购招标文件中还更进一步规定,向联邦机构获取云计算服务的基础设施必需坐落于美国境内。从开始创建至今,美国的网络安全审查范围大大伸延。
2000年1月,美国国家安全性系统委员会公布了《国家信息安全确保订购政策》,对牵涉到国家安全性的信息系统订购的信息技术产品展开安全性审查。2002年,美国联邦政府继续执行美国国家标准技术研究院制订的信息安全标准,创建了面向联邦政府的网络安全审查制度。
2013年11月,美国国防部施行临时政策,规定国防系统及其合同商订购的产品和服务要经过供应链安全性审查。美国网络安全审查的内容不局限于技术。美国联邦政府拒绝,不仅要审查产品安全性能指标,还要审查产品的研发过程、程序、步骤、方法、产品的交付给方法等,拒绝企业自己证明产品已超过了规定的安全性强度。
美国拒绝被审查企业签订网络安全协议,协议一般来说还包括:通信基础设施必需坐落于美国境内;通信数据、交易数据、用户信息等仅有存储在美国境内;若外国政府拒绝采访通信数据必需取得美国司法部、国防部、国土安全部的批准后;因应美国政府对员工实行背景调查等。
本文来源:JN江南-www.juzirg.com