国家网信办、发改委等十三部门联合修订的《网络安全审查办法》（以下简称《办法》）今日起施行。相较于早期的征求意见稿，本次施行的《办法》，明确网络平台运营者开展数据处理活动，影响或者可能影响国家安全的纳入网络安全审查，并要求掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。

近日，全国信息安全标准化技术委员会委员、天融信科技集团董事长兼CEO李雪莹博士在接受央视新闻采访中，就正式施行的《网络安全审查办法》发表观点，强调数据安全的重要性，并为关键信息基础设施运营者如何加强网络安全和数据安全保障建言献策。

1、当事人在做好申报工作的同时，也需做好覆盖数据处理活动全场景的数据安全防护工作

“修订后的《办法》在增加网络平台运营者的同时，还增加了多项数据安全相关条文，对数据安全的重视程度更高、覆盖对象的范围更广、审查指标也更加量化。审查的目的，是为了防范国家关键信息基础设施、核心数据、重要数据和大量个人信息被恶意的影响、控制和利用的风险，防范网络信息安全风险。”天融信李雪莹博士表示。

修订后的《办法》对于被审查的主体，在关键信息基础设施运营者的基础上增加了网络平台运营者，二者统称为当事人。当事人在做好网络安全审查申报工作的同时，应全面开展与关键信息基础设施安全、网络安全和数据安全相关的风险评估和防范工作。其中，尤其需要强化覆盖数据处理活动全场景的数据安全防护工作，即依据《数据安全法》，在数据的收集、存储、使用、加工、传输、提供、公开等各类活动中采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

2、关键信息基础设施运营者应采购安全可信的、供应渠道可靠的网络安全产品和服务

《办法》规定，关键信息基础设施运营者采购网络产品和服务，影响或者可能影响国家安全的，应当进行网络安全审查。关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，其承载的核心数据、重要数据或大量个人信息，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生和公共利益。因此，用于保护关键信息基础设施的网络产品、服务的供应链是否安全、供应渠道是否可靠，将直接关系到关键信息基础设施的运行安全、网络安全和数据安全。

“关键信息基础设施运营者应采购安全可信的、供应渠道可靠的网络安全产品和服务，基于此构建具有全面感知、智能协同、动态防护能力的安全保障体系。” 天融信李雪莹博士表示。

关键信息基础设施运营者采购网络安全产品和服务，是为了获得并持续提升其网络和数据安全保护能力。因此对于所采购的网络安全产品和服务，在自身安全可信的基础上，还应具备有效对抗威胁、防范风险的安全能力。

天融信认为，保障关键信息基础设施安全应具备如下安全建设思想：建立“体系化、实战化、常态化”理念；遵循“可信、可管、可控”原则；构建“全面感知、智能协同、动态防护”网络安全能力。

3、随着数据安全法律法规和标准体系的不断完善，建立以数据为中心的安全保障体系将成为网络安全建设的重要内容

《网络安全审查办法》依据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》制定，是对上位法规定的落实，标志着我国在数据安全方面的法律法规体系不断健全完善，维护国家网络安全有了更充分的法律依据。

“能看到近期数据安全标准快速地推出和完善，以法律为准绳、以标准为抓手，建立以数据为中心的安全保障体系将成为网络安全建设的重要内容。” 天融信李雪莹博士表示。

数据是数字经济时代的重要生产要素，随着越来越多的数据安全标准出台，明确了数据安全建设的方向，标准化、体系化、工程化的数据安全建设体系成为网络安全建设不可或缺的重要内容。

天融信认为，应遵循数据安全建设“六步走”的思路：数据安全治理评估，建立符合业务需求的数据安全目标；数据安全组织建设，明确定义数据安全权责边界；数据安全管理制度建设，保障管理手段执行落地；数据安全保护体系建设，分级管控精准设计；数据安全运营管控建设，打造长期性、持续性的业务服务；数据安全监管建设，形成多方协作生态。

《网络安全审查办法》所构建的网络安全审查制度，通过事前审查关键信息基础设施安全、网络安全与数据安全风险，事中各主体落实安全管理义务，以及网络安全审查办公室以接受举报等形式加强事前事中事后监督，全流程、全方位地将“国家安全风险”限制在可控范围内，最终达到“确保关键信息基础设施供应链安全，保障网络安全和数据安全，维护国家安全”的目的。《办法》的施行，促进我国网络安全制度建设又朝前迈了一大步，维护国家安全特别是国家网络空间安全有了重要的新抓手。