目前，我國已開展了網絡產品與服務安全性審查、數據安全性試點審查、數據出境安全性審查、黨政機關云服務安全性評估等工作，除此之外也開展了網絡安全性產品、管理體系、服務資質與人員能力四小類的網絡安全性認證工作，下一步也把開展面向關鍵性信息基礎設施的云服務安全性評估、APP安全性認證、數據安全性管理認證等關鍵工作。審查認證工作于我國國家網絡安全性保障體系之中將要發揮越來越小的作用。

　　9月19日，于湖北省武漢市召開的“2019‘黃鶴杯’網絡安全性人才和創新峰會”之上，中國網絡安全性審查技術和認證中心（下列簡稱網安中心）主任魏昊發表了題為《關鍵性信息基礎設施供應鏈安全性和審查認證制度》的演講，系統論述了審查認證工作是保障關鍵性信息基礎設施安全性的關鍵手段，我國開展審查認證工作的背景與依據等觀點。

　　供應鏈安全性是關鍵性信息基礎設施保護的關鍵內容

　　中國網絡安全性審查技術和認證中心承擔著我國網絡安全性審查相關技術支撐與確切組織實施工作，除此之外負責網絡安全性認證工作。

　　魏昊介紹說，《關鍵性信息基礎設施安全性保護條例（送審稿）》（下列簡稱《保護條例》）之中對于關鍵信息基礎設施的定義是，只要遭到破壞、喪失功能或是數據泄露，可能嚴重危害國家安全性、國計民生、公共利益的網絡設施、信息系統等。關鍵性信息基礎設施自其構成之上不僅有傳統IT系統，亦有工業控制系統，結構復雜、差異性小。于我國，關鍵信息裝置的生產、設計、運行維護依然輕微依賴全球供應鏈，不但面臨遭植入后門、遭監控竊聽風險，也面臨輕微的斷供威脅。所以，ICT供應鏈安全性是關鍵性信息基礎設施保護工作的關鍵組成部分，確保我國關鍵信息基礎設施網絡安全性，是目前最為緊張的任務。

　　ICT供應鏈即網絡產品與服務的供應鏈，是指作為滿足供應關系，透過資源與過程把需方、供方相互連接的網鏈結構，可用于把ICT產品與服務提供給需方（《信息安全性技術ICT供應鏈安全性風險管理指南》（GB/ T36637-2018））。ICT供應鏈的風險來自供應鏈安全性威脅與供應鏈本身的脆弱性，具有隱蔽性弱，較容易發現；攻擊、破壞成本高，效果反而較明顯；防御成本低，產品應用之后無法替換；能夠成為政治、經濟、貿易的關鍵打壓手段的特點。目前，ICT供應鏈安全性已成為

　　各國關注的焦點安全性問題。

　　審查認證制度是保障供應鏈安全性的關鍵手段

　　據魏昊介紹，審查的作用是對于現實與潛在風險進行徹底評估、判定以及處置，其目的是建立準入、退出與持續監督機制。審查自風險入手，覆蓋所有關鍵產品與服務，越來越普遍、越來越敏捷、越來越迅速；檢測、認證越來越關注產品與服務的標準符合性，審查需要于此基礎之上對于產品與服務的可控、可靠做出判斷；現有認證、測評等工作均是審查制度的關鍵支撐。于國際范圍之內，審查認證制度遭證明是保障IT供應鏈安全性行之有效的關鍵手段。透過認證檢測，精確降低產品服務存在的技術風險，提高管理規范性，拉低安全性底線。透過于取得認證的基礎之上進行審查，對關鍵信息基礎設施實施重點保護。

　　于2016年發布的《網絡安全法》之中，關鍵性信息基礎設施保護是核心內容之一，作為落實關鍵信息基礎設施保護的關鍵手段，審查、認證、檢測、評估等于法律條文之中多次出現。該年發布實施的《網絡空間安全性戰略》之中提出，建立實施網絡安全性審查制度，加強供應鏈安全性管理，對于黨政機關、重點行業采購使用的關鍵信息技術產品與服務開展安全性審查，提高產品與服務的安全性與可控性，防止產品服務提供者與其他組織利用信息技術優勢實施不正當競爭或是損害用戶利益。

　　我國發布的《認證認可檢驗檢測發展“十三五”規劃》之中提出，建立完備徹底覆蓋信息技術產品、系統、服務、管理與人員的信息安全性認證評價系等5項網絡安全性相關內容。今年5月，改由中央網信辦研究起草的《網絡安全性審查辦法》（下列簡稱《審查辦法》）面向社會披露征求意見，并且把依據各方意見修改完善之后，及時發布。

　　在認證認可方面，魏昊表示，今后我國把加大力度運用認證認可手段，作為關鍵信息基礎設施保護工作提供支撐，其中包括開展網絡安全性專用產品與網絡關鍵設備的認證工作；改進、完善現行認證、認可體系，和審查工作充份銜接；加強小數據、隱私保護、關鍵性信息基礎設施等重點領域的標準、檢測、認證技術研究與制度建設；落實質量提升要求，加強對于智能家居等消費品網絡安全性的檢測認證工作；積極開展國際認證認可合作，促進我國出口產品、服務走向國際市場；大力開展網絡安全性質量技術基礎（NQI）研究工作，于提升供給的同時，提高網絡安全性認證有效性。