一份十一年前的文件，透露了赴美IPO企业被网络安全审查的端倪

　　小贝案语｜滴滴等企业受到网络安全审查后，业界普遍感觉事发突然。目前，一种焦虑甚至恐慌开始在互联网企业中蔓延。这种恐慌来自于企业对国家政策“不确定性”、“不可预见性”的担忧。国家突然出手、手段接踵而至，而原因至今扑朔迷离，这是外界的普遍感受。但这真的是黑天鹅事件吗？今天，小贝说安全将回顾一份发布于2010年的政策文件。大风起于青萍之末，正是这份文件，使我们得以一窥滴滴被审查的端倪。

　　滴滴受网络安全审查事件产生了很多意想不到的“传闻”。“某头部互联网企业年薪一千万招数据保护官”，数据合规从业者们利好中……。“准备赴美IPO的企业都停下了，有的明显不属于互联网行业，也不涉及重要数据和个人信息处理，但投资方严令企业不可轻举妄动”，拟上市企业观望中……。“高科技企业被吓得无所适从，现在如履薄冰，生产积极性受到影响，营商环境开始出现不利因素”，地方政府官员担忧中……。 更多的是来自两个方面的疑问和不解。 一是国家为何行雷霆手段，使整个行业猝不及防？为何不设缓冲期，就不能对平台经济多点菩萨心肠？ 二是假如真如业界所传，滴滴等赴美IPO企业受审查，是因为美国监管部门要看企业的审计底稿，由此可能导致数据泄露，那这是不是危言耸听？让人看一眼审计底稿，难道是多么大不了的事？ 祸患常生于忽微。我们不能把善良和善意作为标杆，去衡量道高一尺、魔高一丈的网络安全对抗。 

        让我们看看下面这份文件。

　　这份文件是什么背景呢？2009年9月27日，国家认监委印发第47号公告《关于正式开展ISO27001信息安全管理体系认证工作的公告》。这个认证是对企业的信息安全管理体系实施的一种能力认证，类似于ISO9000质量管理体系认证、ISO14000环境管理体系认证。这种认证是一种商业活动，故不限制合法注册的外资认证机构在我国境内开展业务。

　　于是问题来了。认证机构在现场审核中，必然会接触被审核机构的大量信息，这称之为现场审核证据。基于现场获得的证据，认证机构才能做出是否发证的决定。如果是外资认证机构，这些审核证据一般需要传输到其位于境外的总部，总部确认后才能做出发证决定。

　　这其中隐藏着巨大的信息安全风险（彼时，中央网络安全和信息化领导小组尚未成立，业内仍称“信息安全”）。于是，当时作为信息安全统筹协调机构的工业和信息化部于2010年印发了前述的394号文件。核心要求是三点：

　　一是，政府机构不得申请任何ISO27001认证（无论由内资还是外资认证机构发证）。道理很简单，认证是由第三方机构做出的一种背书。而政府本来就是有权威性的，这种权威性不需要由社会上的认证机构去证明。此外，涉密系统更不得申请ISO27001认证。

　　二是，如果某机构为政府部门提供外包服务，那么该机构拟申请ISO27001认证前，应当经过工业和信息化主管部门审批。

　　三是，如果基础信息网络和重要信息系统（也就是今天所称的“关键信息基础设施”）运营单位拟申请ISO27001认证，应当经过主管部门审批。

　　为什么会提出这样的要求呢？基础信息网络和重要信息系统如果接受外资认证，其数据可能因此泄漏到境外。那么，为什么对外包服务机构申请ISO27001认证也要限制？因为当某机构为政府部门提供外包服务时，完全有机会获得政府用户的数据（云服务就是典型一例），那么这类机构再去向外资认证机构申请认证时，可能也会导致其含有的政府数据被泄露。

　　请注意，394号文防范的只是信息安全管理体系认证的安全风险，还不涉及审计。对于上市审计而言，其审核过程要比认证过程严苛十倍不止，被审计单位岂止是“裸奔”状态，相当于每一个毛孔都被拿放大镜去看。

　　于是我们看到，今天对滴滴等企业的网络安全审查，恰恰与十一年前394号文的理念如出一辙。固然，上市审计和信息安全管理体系认证不是一回事，互联网企业需要遵循的法律要求也不一样。但两者涉及到的数据安全风险有着共同性，日常业务中处理重要数据和批量个人信息的国内大型互联网公司，应当有这样的意识和自觉性，这既是社会责任的体现，也是企业长青的关键。

　　还能说，政府是突然出手吗？还能说，政府是小题大做吗？