網(wǎng)絡(luò)安全審查基于產(chǎn)品和服務(wù)的安全性和可控性實施審查，這就需要企業(yè)對其產(chǎn)品和服務(wù)在設(shè)計、生產(chǎn)、交付和供應(yīng)鏈等各個階段的技術(shù)風(fēng)險或管理風(fēng)險進(jìn)行梳理，并通過制定管理制度的方式實施管理。對于產(chǎn)品，管理制度主要考慮各階段實施控制，明確設(shè)計時要把功能、性能和安全性同時考慮，避免設(shè)計時考慮不周引入的風(fēng)險，還需考慮到產(chǎn)品升級等后續(xù)問題，明確產(chǎn)品交付的控制手段，防止外部的風(fēng)險，另外，通過引入供應(yīng)鏈管理，確保產(chǎn)品生產(chǎn)的安全可控。對于服務(wù)，管理制度主要集中在以下幾點(diǎn)：首先，服務(wù)設(shè)計是否遵循安全可控原則，服務(wù)設(shè)計過程中是否對數(shù)據(jù)采集、保存、處理、傳輸?shù)确矫孢M(jìn)行了管控。其次，服務(wù)過程中是否對服務(wù)進(jìn)行了監(jiān)控，確保服務(wù)能按照要求實施。還有，對關(guān)鍵崗位和供應(yīng)商建立背景審查的管理程序，控制風(fēng)險，需要時配合審查辦對企業(yè)實施的背景審查。（中國信息安全認(rèn)證中心 段靜輝）