美光未通过网络安全审查,企业咋办?

来源:数据何规

文章摘要
2023年3月31日,网络安全审查办公室宣布对美光公司(Micron)在华销售产品启动网络安全审查。 昨日(2023年5月21日),网络安全审查办公室宣布美光公司在华销售产品未通过网络安全审查。

2023年3月31日,网络安全审查办公室宣布对美光公司(Micron)在华销售产品启动网络安全审查。
昨日(2023年5月21日),网络安全审查办公室宣布美光公司在华销售产品未通过网络安全审查。
美光是谁以及网络安全审查是什么等问题已经在《美光网络安全审查简析》一文中详述,感兴趣的朋友可以移步。本文将简析企业应该采取哪些措施。
简言之:
(1)关键信息基础设施运营者(“CIIO”)必须停止采购包含美光产品的一切硬件,并建议在内部进行摸排,考虑未来逐步替换包含美光产品的硬件。
(2)一般企业若未被通知为CIIO的,原则上无需采取任何措施。但出于自身供应链安全考量,未来亦可考虑优先采购其他厂商的产品。
一、CIIO应停止采购美光产品
审查发现,美光公司产品存在较严重网络安全问题隐患,对我国关键信息基础设施供应链造成重大安全风险,影响我国国家安全。为此,网络安全审查办公室依法作出不予通过网络安全审查的结论。按照《网络安全法》等法律法规,我国内关键信息基础设施的运营者应停止采购美光公司产品。
《美光公司在华销售的产品未通过网络安全审查》
网信办官网公告已经明确,“我国内关键信息基础设施的运营者应停止采购美光公司产品”。故CIIO在未来不得再采购包含美光产品的任何硬件。
CIIO的认定一般会由行业主管部门进行告知,若暂未接过相关通知,则不是CIIO,无需采取相关措施。
第十条保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。
《关键信息基础设施保护条例》
当然,如果复杂国际形势下企业供应链安全考虑,一般企业亦可考虑停止采购美光产品。
美光是全球最大的半导体储存及影像产品制造商之一,其主要产品包括 DRAM 、 NAND 闪存、NOR闪存、SSD 固态硬盘 和 CMOS 影像传感器。鉴于美光产品可能被使用在各种不同类型的电子设备中,相关电子设备的经销商可能也对产品所使用的存储器厂家没有那么了解,CIIO及相关企业可考虑:
(1)在硬件采购合同中予以明确,要求乙方承诺提供产品中不包含美光及其关联公司生产的任何产品,并约定严格的违约责任;
(2)由于硬件采购过程中,双方业务人员对合同条款敏感性并不高,只写一个条款实际落实起来效果并不一定好。因此还可考虑制作硬件采购单独的承诺函,要求供应商仅就所提供产品中不包含任何由美光及关联公司生产的任何产品这一事项进行承诺;
(3)硬件入库前,CIIO工作人员通过系统查看、拆机检查等方式核查所采购硬件无美光生产的相关产品。
二、建议逐步替换美光产品
《网络安全审查办法》第5条明确,CIIO采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。”
而网络安全审查办公室在审查时,主要考虑如下因素:
(1)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;
(2)产品和服务供应中断对关键信息基础设施业务连续性的危害;
(3)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
(4)产品和服务提供者遵守中国法律、行政法规、部门规章情况。
尽管监管部门暂未明确要求替换所有已采购包含美光的产品,但鉴于美光公司产品已被认定为:“存在较严重网络安全问题隐患,对我国关键信息基础设施供应链造成重大安全风险,影响我国国家安全。”
相关CIIO应开展内部摸排,做到心中有数。若监管被要求替换时,方可从容应对。
在摸排完成后,相关CIIO亦可结合自身状况、复杂的国际形势及相关设备折旧情况,考虑主动进行逐步替换处理。
一般企业,同理。
国家安全高于一切,国产化之路任重道远。
技术驱动法律,专业成就未来