網(wǎng)絡安全審查基于產(chǎn)品和服務的安全性和可控性實施審查，這就需要企業(yè)對其產(chǎn)品和服務在設計、生產(chǎn)、交付和供應鏈等各個階段的技術風險或管理風險進行梳理,，并通過制定管理制度的方式實施管理,。對于產(chǎn)品,，管理制度主要考慮各階段實施控制,，明確設計時要把功能,、性能和安全性同時考慮,，避免設計時考慮不周引入的風險,，還需考慮到產(chǎn)品升級等后續(xù)問題，明確產(chǎn)品交付的控制手段,，防止外部的風險,，另外，通過引入供應鏈管理,，確保產(chǎn)品生產(chǎn)的安全可控,。對于服務，管理制度主要集中在以下幾點：首先,，服務設計是否遵循安全可控原則,，服務設計過程中是否對數(shù)據(jù)采集、保存,、處理,、傳輸?shù)确矫孢M行了管控。其次,，服務過程中是否對服務進行了監(jiān)控,，確保服務能按照要求實施。還有,，對關鍵崗位和供應商建立背景審查的管理程序,，控制風險，需要時配合審查辦對企業(yè)實施的背景審查,。（中國信息安全認證中心 段靜輝）