網(wǎng)絡(luò)安全審查基于產(chǎn)品和服務(wù)的安全性和可控性實(shí)施審查，這就需要企業(yè)對(duì)其產(chǎn)品和服務(wù)在設(shè)計(jì)、生產(chǎn),、交付和供應(yīng)鏈等各個(gè)階段的技術(shù)風(fēng)險(xiǎn)或管理風(fēng)險(xiǎn)進(jìn)行梳理,，并通過(guò)制定管理制度的方式實(shí)施管理。對(duì)于產(chǎn)品,，管理制度主要考慮各階段實(shí)施控制,，明確設(shè)計(jì)時(shí)要把功能、性能和安全性同時(shí)考慮,，避免設(shè)計(jì)時(shí)考慮不周引入的風(fēng)險(xiǎn),，還需考慮到產(chǎn)品升級(jí)等后續(xù)問(wèn)題，明確產(chǎn)品交付的控制手段,，防止外部的風(fēng)險(xiǎn),，另外，通過(guò)引入供應(yīng)鏈管理,，確保產(chǎn)品生產(chǎn)的安全可控,。對(duì)于服務(wù)，管理制度主要集中在以下幾點(diǎn)：首先,，服務(wù)設(shè)計(jì)是否遵循安全可控原則,，服務(wù)設(shè)計(jì)過(guò)程中是否對(duì)數(shù)據(jù)采集、保存,、處理,、傳輸?shù)确矫孢M(jìn)行了管控。其次,，服務(wù)過(guò)程中是否對(duì)服務(wù)進(jìn)行了監(jiān)控,，確保服務(wù)能按照要求實(shí)施。還有,，對(duì)關(guān)鍵崗位和供應(yīng)商建立背景審查的管理程序,，控制風(fēng)險(xiǎn)，需要時(shí)配合審查辦對(duì)企業(yè)實(shí)施的背景審查,。（中國(guó)信息安全認(rèn)證中心 段靜輝）