《办法》在进行国家安全风险审查时，将“产品和服务供应中断对关键信息基础设施业务连续性的危害”以及“供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险”，作为安全风险审查的重要内容，特别强调对于产品与服务“供应中断”风险的审查。而《办法》对于“供应渠道的可靠性”规定，应该是与商务部的 “不可靠实体清单”制度相对应的。

从上述规定可以看出，《办法》的颁布，意味着网络安全观从更加侧重技术性规则到更加侧重核心供应链“自主可控”。

二、审查对象的安全判断维度清晰、聚焦

与《试行办法》相比，《办法》所涉及的审查维度，更加清晰聚焦。两个办法对于安全的审查，都涉及“主体”和“网路产品与服务（简称“产品”）”两个安全判断维度。《试行办法》对于这两个维度的界定不够清晰，操作性和针对性均较差。

1、审查对象的主体维度

《办法》第二条明确了被审查的主体为关键信息基础设施运营者，第二十条确认了关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。

鉴于《网络安全法》第三十一条规定关键基础设施的具体范围和安全保护办法由国务院制定，且目前尚未正式发布关键信息基础设施的具体认定细则，对于《办法》中关键信息基础设施运营者范围的界定尚未有明确的法规规定。针对这一问题，国家互联网信息办公室有关负责人在就《办法》答记者问中，明确了《办法》中规定的应当预判风险申报网络安全审查的义务主体为“电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者”。在关键信息基础设施的具体认定细则正式出台之前，上述范围内的运营者将作为《办法》的被审查主体承担申报审查的义务。

2、审查对象的产品维度

对于纳入安全审查的网络产品和服务，《办法》的规定也更加突出网络基础安全层面。《办法》第二十条规定：“本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全有重要影响的网络产品和服务。”

《试行办法》对于纳入安全审查的产品和服务的规定则较为笼统，仅规定“重要网络安全与服务”。该界定不够清晰和具体，可能会产生扩大适用的情况，从而影响正常的网络产品及服务采购。

从《办法》的规定可以看出，纳入产品审查范围的设施界定更加清晰，从网络结构角度看，涉及到了网络系统的物理层、数据链路层、网络层、传输层等基础层面。从功能角度看，涉及到了信息传输、运算、存储、网络安全、数据库、云计算等各个重要方面。

《办法》在我国开启“新基建”的关键时期发布，具有积极的规范意义。从新基建的角度看，毫无疑问，关键信息基础设施运营者将成为“新基建”的主要建设任务承担者，而对关键信息基础设施安全有重要影响的网络产品和服务，无疑是保障“新基建”基础设施安全、可控的基础。因此，将安全审查聚焦于“关键信息基础设施运营者”采购“对安全有重要影响的网络产品和服务”，在“新基建”与国际上围绕信息网络安全所展开的大博弈背景下，其意义可谓深远。

主体与产品两个维度，其关系具体如下图示：

三、审查主体全面覆盖

网络产品和服务的采购，必然涉及国家产业政策、网络系统维护与管理、网络系统的信息安全、国家安全、财政资金的使用和划拨、对外贸易政策的制定与调整、金融安全与金融支持、市场秩序的维护与清理、新闻发布与传播、保守国家秘密、以及密码体系的安全与可靠。这些功能，任何一个部门均无法单独完成，为了避免在安全审查上的漏洞和标准不一，需要建立多部门的强力协同机制。

相较之下，《试行办法》的规定过于简单， 仅在第五条规定，国家互联网信息办公室会同有关部门成立网络安全审查委员会，负责审议网络安全审查的重要政策，统一组织网络安全审查工作，协调网络安全审查相关重要问题。该规定，对于如何形成安全审查委员会，并没有制度性的安排，不利于发挥审查制度的作用。

四、“多样、可控”新理念

具体而言，《办法》第九条规定了网络安全审查过程中，对于国家安全影响的重要考量因素。其中第（三）款的规定特别值得关注，“产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险。”该条款的关键词包括“来源的多样性”以及“供应渠道的可靠性”。应该说，这一规则有深刻的国际信息技术博弈的大背景。近几年来，中国的网络设备与服务领域面临巨大的不确定性，对于国家安全形成一定压力。如美国政府对于纳入“实体清单”的中国企业或其他机构，在采购美国相关网络产品或服务时，设置了诸多审查或限制，而这些限制往往与政治、外交、贸易冲突等背景紧密相关。同时，由于在诸多核心技术领域，中国对于境外供应商的依赖度较高，来源过于集中。一旦受到其他因素影响“断供”，对于网络安全与正常运营将带来巨大冲击。

“渠道单一化”一旦遭遇“供应渠道的不可靠”，其叠加效果将会非常巨大。因此，通过对“来源的多样性”以及“供应渠道的可靠性”进行规定，并作为审查的重要内容，有利于促成企业选择多元产品和更为“可靠”的渠道。通过企业的选择，可以进一步培育“多元化”的供应链。

某种意义上讲，“来源的多样性”以及“供应渠道的可靠性”并不是一个传统意义上的网络安全技术审核标准，而是一个供应链安全的标准。这一标准的设立，不仅有利于国际间网络信息技术的均衡分布于合理流动，也有利于国内相关网络产品及服务提供者的长期发展。

五、不同主体面的合规策略选择

总体而言，《办法》是一部体现全面网络安全观的规范。在强调技术带来的网络安全风险的同时，对于产品于服务来源单一、供应渠道不可靠性等供应链安全风险也提升到了重要的位置。对于《办法》，企业也应顺势而为：

1、关键信息基础设施运营者

关键信息基础设施运营者，应充分读懂《办法》所蕴含的深层含义与审查措施，并积极规划自身的合规方案，在源头采购环节就应采用全面安全观指导自己的采购行为。简单的技术风险容易解决，而产品组合不合理带来的供应链风险，则不仅难以解决，而且成本巨大。

除常规的技术能力外，供应商需要考虑的是，如何证明“供应渠道的可靠性”以及如何避免被纳入“因为政治、外交、贸易等因素导致供应中断的风险”中。

境外供应商，对于可靠性问题的考量通常更为复杂，因为不仅要受制于中国的法律规范，还要受制于其所在国的法律规范。如何减少所在国法律、政治、贸易政策对于设备与服务出口造成影响，成为其首先应考量的合规策略。