網(wǎng)絡(luò)安全審查基于產(chǎn)品和服務(wù)的安全性和可控性實(shí)施審查,，這就需要企業(yè)對其產(chǎn)品和服務(wù)在設(shè)計(jì),、生產(chǎn),、交付和供應(yīng)鏈等各個(gè)階段的技術(shù)風(fēng)險(xiǎn)或管理風(fēng)險(xiǎn)進(jìn)行梳理，并通過制定管理制度的方式實(shí)施管理,。對于產(chǎn)品,，管理制度主要考慮各階段實(shí)施控制，明確設(shè)計(jì)時(shí)要把功能,、性能和安全性同時(shí)考慮,，避免設(shè)計(jì)時(shí)考慮不周引入的風(fēng)險(xiǎn)，還需考慮到產(chǎn)品升級等后續(xù)問題,，明確產(chǎn)品交付的控制手段,，防止外部的風(fēng)險(xiǎn)，另外,，通過引入供應(yīng)鏈管理,，確保產(chǎn)品生產(chǎn)的安全可控。對于服務(wù),，管理制度主要集中在以下幾點(diǎn)：首先,，服務(wù)設(shè)計(jì)是否遵循安全可控原則，服務(wù)設(shè)計(jì)過程中是否對數(shù)據(jù)采集,、保存,、處理、傳輸?shù)确矫孢M(jìn)行了管控,。其次,，服務(wù)過程中是否對服務(wù)進(jìn)行了監(jiān)控，確保服務(wù)能按照要求實(shí)施,。還有,，對關(guān)鍵崗位和供應(yīng)商建立背景審查的管理程序，控制風(fēng)險(xiǎn),，需要時(shí)配合審查辦對企業(yè)實(shí)施的背景審查,。（中國信息安全認(rèn)證中心 段靜輝）