2017年08月08日
最近朋友圈被重慶網安總隊查處重慶違反《網絡安全法》第一案小刷了一個屏幕,大概內容是:重慶某公司自2017年6月1日后,在提供互聯網數據中心服務時,存在未依法留存用戶登錄相關網絡日志的違法行為,根據《網絡安全法》第二十一條(三)項:采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于六個月;第五十九條之規定,決定給予該公司警告處罰,并責令限期十五日內進行整改。
前兩天是汕頭網警依照《網絡安全法》對沒有及時開展等級保護測評的單位進行處罰。另外也有家網警對一個違法行為依照《網絡安全法》進行處罰的,內容沒細看,記不清具體是哪個地方的了。這是目前不得不等看到的公開報道的三個案例。
后續預計全國各地首例依據《網絡安全法》處罰的案例會越來越多,星星之火已點起,燎原之勢還會遠嗎。不得不等分析下除了已報道的違法行為外還有哪些行為可能會被處罰:
1、第二十一條(二)項,采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施。服務器在裸奔的,單位網絡系統在裸奔的,安全防護措施明顯不到位的,會被依照此條款進行責令整改;
2、第二十一條(四)項,采取數據分類、重要數據備份和加密等措施。沒有對重要數據進行備份和加密的會被依照此條款進行責令整改;
3、第二十五條 網絡運營者應當制定網絡安全事件應急預案,及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險;在發生危害網絡安全的事件時,立即啟動應急預案,采取相應的補救措施,并按照規定向有關主管部門報告。沒有網絡安全事件應急預案的,沒有及時處置高危漏洞、網絡攻擊的;在發生網絡安全事件時處置不恰當的,會被依照此條款責令整改,拒不改正或者導致危害網絡安全等后果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。
4、關鍵信息基礎設施單位除了以上幾點,還有可能會被依據:
第三十四條(三)項:對重要系統和數據庫進行容災備份。沒有對重要系統和數據庫進行容災備份的會被依照此條款責令改正。
第三十四條(四)項:制定網絡安全事件應急預案,并定期進行演練。沒有網絡安全事件應急預案的,或者沒有定期演練的,會被依照此條進行責令改正。這條不得不等認為很多單位都不符合,這個要處罰起來一大片等著呢。
5、關鍵信息基礎設施單位:第三十八條 關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估,并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。每年沒有做過安全檢測評估的單位要被責令改正。
大概就是這些行為容易被處罰,因為這些行為很容易判斷和取證,處罰起來相對客觀,好操作。這樣就結束了嗎?網絡安全法:第八條 國家網信部門負責統籌協調網絡安全工作和相關監督管理工作。國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規的規定,在各自職責范圍內負責網絡安全保護和監督管理工作。除了公安外,還有網信辦、工信部、通管局、保密局、密碼管理局等主管單位,這么多主管單位都依據網絡安全法進行執法的話,應該會有更多的單位會被處罰吧。在不久的將來,預計會有一些單位會被除公安以外的主管單位處罰。我們一同見證首例的誕生。
處罰不是目的,目的是通過處罰督促大家盡快落實自己的網絡安全義務,保護自己單位的網絡安全,最終保障國家安全。安全是自己的,責任是自己的,自己的事不去上心做,還指望誰幫你嗎?不要等著被處罰了再去整改,不要等著出了安全事件再去整改。有時會收不了場的,或者不是你去整改了。
江蘇國駿信息科技有限公司在信息網絡安全、運維平臺建設、動漫設計、軟件研發、數據中心領域具備十多年的行業沉淀。公司遵循信息安全整體性的IATF模型,從“人員素養”、“制度流程”、“技術產品”三個視角提供全面、可信的方案,業務涵蓋咨詢、評估、規劃、管控、建設、培訓等。