本文作者:qiaoqingyi

宜宾市网络安全管理(宜宾网络安全教育基地)

qiaoqingyi 04-15 107

  

  近日,我省宜宾公安机关网安部门依法查处了一起网络运营者未依法落实网络安全等级保护制度的违法行为。这是自今年6月1日《中华人民共和国网络安全法》(以下简称《网络安全法》)正式实施以来,我省公安机关依法处置的第一起违反《网络安全法》的行政案件。

  

  7月22日,宜宾市翠屏区“教师发展平台”网站因网络安全防护工作落实不到位,导致网站存在高危漏洞,造成网站发生被黑客攻击入侵的网络安全事件。宜宾网安部门在对事件进行调查时发现,该网站自上线运行以来,始终未进行网络安全等级保护的定级备案、等级测评等工作,未落实网络安全等级保护制度,未履行网络安全保护义务。根据《网络安全法》第五十九条第一款之规定,决定给予翠屏区教师培训与教育研究中心和直接负责的主管人员法定代表唐某某行政处罚决定,对翠屏区教师培训与教育研究中心处一万元罚款,对法人代表唐某某处五千元罚款。

  我们先来看看翠屏区教师培训与教育研究中心是一个什么单位,百度了下,官方网站应该是还在整改,没有上线。在百度学术上看到:宜宾市翠屏区教师培训与教育研究中心组建于2007年,由原宜宾市翠屏区教师进修学校、教研室和电教馆三家机构整合而成。基本可以确定该单位是一个事业单位而不是一个普通的企业。

  

  四川违反《网络安全法》第一案虽然不是国内第一例因违反《网络安全法》而受到处罚的案例,但是四川第一案却创造了国内的诸多第一。

  四川第一案是国内首例针对事业单位处罚的案例,打破了我们原先认为的只会先拿小企业开刀的看法。

  四川第一案是国内首例因未及时开展等级保护工作而受到处罚的案例,该案例必将对还没有开展过等级保护工作的单位敲响了警钟,提醒着这类型单位其实一直在违法中。不做等保就是违法。

  四川第一案是国内首例被直接罚款处罚的单位,违反《网络安全法》处罚不再只是先责令整改,该罚款时就罚款,该出手时就出手,不手软。

  四川第一案是国内首例直接对单位一把手负责人处罚的案例,看到案件中是对该单位的法定代表唐某某,法定代表一般都是单位的一把手负责人吧,那对应着各个单位是不是就是院长、局长、董事长啊什么的?领导们下次IT部门报预算特别是网络安全预算时,得批啊。以前我们对网络运营者主要负责人及网络安全主要负责人一直拿捏不准,四川网安同志给出了一个答案。

  四川第一案的横空出世,必将引领违反《网络安全法》处罚的新时代,不再是小打小闹,不疼不痒的处罚,而直接改为罚款,不仅是对单位罚款也对直接负责人罚款。此次四川第一案的处罚也算是点到即止,没有深究下去。按理还可以依据以下两条进行相应的处罚。调职、降职、开除这些也不是没可能。

  第七十一条 有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。

  第七十二条 国家机关政务网络的运营者不履行本法规定的网络安全保护义务的,由其上级机关或者有关机关责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。

  网络安全法真的已经来了,近期全国接二连三违法案例的发生,相信后期会有更多的各省第一案出现,中央网信办近期都对腾讯、百度、新浪进行立案调查了。同志们,该醒醒了,务必提高思想觉悟,不能麻痹大意,安全无小事。主席都说了,没有网络安全就没有国家安全。口号不但要喊的响,更要做的漂亮才是。

  “没有网络安全,就没有国家安全”,《网络安全法》第二十一条明确规定“国家实行网络安全等级保护制度”。各网络运营者应当按照要求,开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作。除此之外,《网络安全法》中还从网络运行安全、关键信息基础设施运行安全、网络信息安全等对以下方面做了详细规定:

  网络日志留存:第二十一条还规定,网络运营者应当制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;采取防计算机病毒、网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施,留存不少于六个月的相关网络日志;采取数据分类、重要数据备份和加密等措施。未履行上述网络安全保护义务的,会被依照此条款责令整改,拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

  

  漏洞处置:第二十五条规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。没有网络安全事件应急预案的,没有及时处置高危漏洞、网络攻击的;在发生网络安全事件时处置不恰当的,会被依照此条款责令整改,拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

  容灾备份:第三十四条第三项规定,关键信息基础设施单位对重要系统和数据库进行容灾备份。没有对重要系统和数据库进行容灾备份的会被依照此条款责令改正。

  

  应急演练:第三十四条第四项规定,关键信息基础设施单位应当制定网络安全事件应急预案,并定期进行演练。没有网络安全事件预案的,或者没有定期演练的,会被依照此条进行责令改正。

  安全检测评估:第三十八条规定,关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。每年没有进行安全检测评估的单位要被责令改正。

  下一步,四川全省公安网安部门将依据《网络安全法》,进一步加大网络安全监管和执法力度,继续深入开展2017年全省公安机关网络安全执法检查,对未落实网络安全等级保护制度、网络实名认证、侵害公民个人信息等违法行为严格依法查处,切实维护网络信息安全。

· END ·

来源丨四川网警安全执法、等级保护评测

宜宾市网络安全管理(宜宾网络安全教育基地)

  

  

阅读
分享