网络安全@@审查@@,就是对关系国家安全和社会稳定信息系统中使用的信息技术产品与服务进行测试评估@@、监测分析@@、持续监督的过程@@。
2000年@@,美国@@率先在国家安全系统中对采购的产品进行安全审查@@,随后@@陆续针对联邦政府@@云计算服务@@、国防供应链等出台了安全审查政策@@,实现了对国家安全系统@@、国防系统@@、联邦政府@@系统的全面覆盖@@。审查对象不仅涉及产品和服务@@,还会针对产品和服务提供商@@。
随后@@,美国@@等西方国家为保障国家安全@@、防范供应链安全风险@@,逐步建立了多种形式的网络安全@@审查@@制度@@。将全方位@@、综合性的供应链安全审查对策上升至国家战略高度@@。
美国@@网络安全@@审查@@标准@@和过程是不公开的@@。美国@@对供应链安全审查的过程@@、标准@@、机制完全封闭@@,不披露原因和理由@@,不接受供应方申诉@@。主要考虑对国家安全@@、司法和公共利益的潜在影响@@,且其审查没有明确的时间限制@@。
美国@@安全审查的要害之一@@,是安全审查结果具有强制性@@。美国@@国家安全系统委员会@@2000年@@1月@@发布的@@《国家信息安全@@保障采购政策@@》规定@@,自@@2002年@@7月@@起进入国家安全系统的信息技术产品必须通过审查@@。2011年@@12月@@,美国@@政府@@发布@@《联邦风险及授权管理计划@@》,要求为联邦政府@@提供云计算服务的服务商@@,必须通过安全审查@@、获得授权@@;联邦政府@@各部门不得采用未经审查的云计算服务@@。美国@@在政府@@采购招标文件中还进一步规定@@@@,向联邦机构提供云计算服务的基础设施必须位于美国@@境内@@。
从开始建立至今@@,美国@@的网络安全@@审查@@范围不断延伸@@。2000年@@1月@@,美国@@国家安全系统委员会@@发布了@@《国家信息安全@@保障采购政策@@》,对涉及国家安全的信息系统采购的信息技术产品进行安全审查@@。2002年@@,美国@@联邦政府@@执行美国@@国家标准@@技术研究院制定的信息安全@@标准@@@@,建立了面向联邦政府@@的网络安全@@审查@@制度@@。2013年@@11月@@,美国@@国防部@@颁布临时政策@@,规定@@国防系统@@及其合同商采购的产品和服务要经过供应链安全审查@@。
美国@@网络安全@@审查@@的内容不局限于技术@@。美国@@联邦政府@@要求@@,不仅要审查产品安全性能指标@@,还要审查产品的研发过程@@、程序@@、步骤@@、方法@@、产品的交付方法@@等@@,要求企业自@@己证明产品已达到了规定@@的安全强度@@。
美国@@要求被审查企业签署网络安全@@协议@@,协议通常包括@@:通信基础设施必须位于美国@@境内@@;通信数据@@、交易数据@@、用户信息等仅存储在美国@@境内@@;若外国政府@@要求访问通信数据@@必须获得美国@@司法部@@、国防部@@、国土安全部的批准@@;配合美国@@政府@@对员工实施背景调查等@@。
