安全資訊

網(wǎng)絡(luò )安全法，以及等級保護制度是我國基本的國家網(wǎng)絡(luò )安全制度，目前已經(jīng)上升到法律地位，同時(shí)國內不少行業(yè)（如教育、金融、海關(guān)、電力等）發(fā)過(guò)相關(guān)行業(yè)通知或要求大家及時(shí)開(kāi)展網(wǎng)絡(luò )安全工作，但是時(shí)至今日還有一些網(wǎng)絡(luò )運營(yíng)者對等保還不夠了解，不夠重視，覺(jué)得網(wǎng)絡(luò )安全工作以及等保開(kāi)不開(kāi)展都無(wú)所謂，那么對于這些沒(méi)有及時(shí)開(kāi)展的網(wǎng)絡(luò )運營(yíng)者，主管機關(guān)可以如何對他們進(jìn)行處罰呢？


          案例一 淮南職業(yè)技術(shù)學(xué)院未落實(shí)網(wǎng)絡(luò )安全等級保護制度造成數據泄露，依法對淮南職業(yè)技術(shù)學(xué)院處以立即整改和行政警告的處罰措施
 
一、 案件基本情況


          2017年9月28日下午，市網(wǎng)絡(luò )與信息安全信息通報中心（市公安局網(wǎng)安支隊）接到國家網(wǎng)絡(luò )與信息安全信息通報中心通報：淮南職業(yè)技術(shù)學(xué)院系統存在高危漏洞，系統存儲的4000余名學(xué)生身份信息已經(jīng)造成泄露。
接到通報后，市公安局網(wǎng)安支隊立即組織警力攜帶專(zhuān)業(yè)技術(shù)工具前往淮南職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò )中心機房開(kāi)展現場(chǎng)調查和勘驗取證工作，并依法對網(wǎng)絡(luò )中心系統管理員和操作維護人員進(jìn)行詢(xún)問(wèn)。經(jīng)過(guò)現場(chǎng)勘驗和調查，確認淮南職業(yè)技術(shù)學(xué)院招生信息管理系統存在越權漏洞，后臺登錄密碼弱口令，學(xué)院未落實(shí)網(wǎng)絡(luò )安全管理制度，未建立網(wǎng)絡(luò )安全防護技術(shù)措施、網(wǎng)絡(luò )日志留存少于六個(gè)月，未采取數據分類(lèi)、重要數據備份和加密措施，致使系統存儲的4353名學(xué)生的身份信息泄露。
 
二、 處理情況
 
          根據現場(chǎng)勘驗和調查取證工作情況，市公安局網(wǎng)安支隊依法傳喚學(xué)院分管網(wǎng)絡(luò )信息安全工作的院長(cháng)和網(wǎng)絡(luò )中心主任及相關(guān)工作人員進(jìn)行調查，確認該學(xué)校因未落實(shí)網(wǎng)絡(luò )安全等級保護制度造成數據泄露，依法對淮南職業(yè)技術(shù)學(xué)院處以立即整改和行政警告的處罰措施。對泄露的學(xué)生身份信息流向，市公安局正在依法調查中。


案例二、蚌埠懷遠縣教師進(jìn)修學(xué)校因未落實(shí)網(wǎng)絡(luò )安全防等級保護制度學(xué)校法人及分管副縣長(cháng)被約談同時(shí)處以相應罰款


一、 案件基本情況


          2017年8月12日，蚌埠懷遠縣教師進(jìn)修學(xué)校網(wǎng)站因網(wǎng)絡(luò )安全防護及等級保護制度落實(shí)不到位，遭黑客攻擊入侵。蚌埠市公安局網(wǎng)安支隊調查案件時(shí)發(fā)現，該網(wǎng)站自上線(xiàn)運行以來(lái)，始終未進(jìn)行網(wǎng)絡(luò )安全等級保護的定級備案、等級測評等工作，未落實(shí)網(wǎng)絡(luò )安全等級保護制度，未履行網(wǎng)絡(luò )安全保護義務(wù)。


二、 處理情況
 
          報經(jīng)廳領(lǐng)導同意，2017年8月16日，安徽省公安廳網(wǎng)絡(luò )安全保衛總隊約談懷遠縣教師進(jìn)修學(xué)校法定代表人、懷遠縣人民政府分管副縣長(cháng)。蚌埠市局網(wǎng)安支隊依法對網(wǎng)絡(luò )運營(yíng)單位懷遠縣教師進(jìn)修學(xué)校處以一萬(wàn)五千元罰款，對負有直接責任的副校長(cháng)處以五千元罰款。

相關(guān)法律條文
 
          1、《網(wǎng)絡(luò )安全法》第二十一條：國家實(shí)行網(wǎng)絡(luò )安全等級保護制度。網(wǎng)絡(luò )運營(yíng)者應當按照網(wǎng)絡(luò )安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò )免受干擾、破壞或者未經(jīng)授權的訪(fǎng)問(wèn)，防止網(wǎng)絡(luò )數據泄露或者被竊取、篡改：（一）制定內部安全管理制度和操作規程，確定網(wǎng)絡(luò )安全負責人，落實(shí)網(wǎng)絡(luò )安全保護責任；（二）采取防范計算機病毒和網(wǎng)絡(luò )攻擊、網(wǎng)絡(luò )侵入等危害網(wǎng)絡(luò )安全行為的技術(shù)措施；（三）采取監測、記錄網(wǎng)絡(luò )運行狀態(tài)、網(wǎng)絡(luò )安全事件的技術(shù)措施，并按照規定留存相關(guān)的網(wǎng)絡(luò )日志不少于六個(gè)月；（四）采取數據分類(lèi)、重要數據備份和加密等措施；（五）法律、行政法規規定的其他義務(wù)。  

          2、第五十九條：網(wǎng)絡(luò )運營(yíng)者不履行本法第二十一條、第二十五條規定的網(wǎng)絡(luò )安全保護義務(wù)的，由有關(guān)主管部門(mén)責令改正，給予警告；拒不改正或者導致危害網(wǎng)絡(luò )安全等后果的，處一萬(wàn)元以上十萬(wàn)元以下罰款，對直接負責的主管人員處五千元以上五萬(wàn)元以下罰款。

          3、《刑法》第二百八十六條：不履行信息網(wǎng)絡(luò )安全管理義務(wù)罪。造成違法信息大量傳播、用戶(hù)信息泄漏，造成嚴重后果的。處三年以下有期徒刑、拘役或者管制，并處或者單處罰金。
 
如何處罰未及時(shí)開(kāi)展等保工作的網(wǎng)絡(luò )運營(yíng)者？
 
          通過(guò)這兩個(gè)案例可以確定的是：等保工作沒(méi)做的，網(wǎng)絡(luò )安全義務(wù)肯定沒(méi)有履行到位，依照《網(wǎng)絡(luò )安全法》就已經(jīng)是違法行為了。至于怎么處罰要根據情況可輕可重。等保工作沒(méi)開(kāi)展的，首先我們依照網(wǎng)絡(luò )安全法59條可以對相關(guān)網(wǎng)絡(luò )運營(yíng)者責令其改正，給予警告處罰，同時(shí)可以約談相關(guān)網(wǎng)絡(luò )安全責任人或其上級主管部門(mén)；其次對于拒不改正或者導致危害網(wǎng)絡(luò )安全等后果的單位可以處以罰款，乃至追究相關(guān)民事或刑事責任。

          網(wǎng)絡(luò )安全及等級保護工作是網(wǎng)絡(luò )安全基礎性工作，等保測評是開(kāi)展好等保安全建設整改的前提。通過(guò)等保測評可以了解到單位內部網(wǎng)絡(luò )安全工作到底做的如何，有沒(méi)有風(fēng)險點(diǎn)，風(fēng)險點(diǎn)在哪，可能會(huì )造成什么破壞，什么影響，后期應該如何對這些薄弱點(diǎn)進(jìn)行加固。最后不得不等再強調下：大家盡早把等保工作常態(tài)化開(kāi)展起來(lái)，補齊短板，加強網(wǎng)絡(luò )安全防護，不做違法之人。網(wǎng)絡(luò )安全責任是自己的，出了事得自己扛，基礎性工作做扎實(shí)了，煩惱和壓力會(huì )少很多。

安徽靈狐科技提供一站式等保合規測評和網(wǎng)絡(luò )安全整改服務(wù)，為用戶(hù)構建合法合規、重點(diǎn)突出、節約成本、符合實(shí)際的安全保障體系，幫助企業(yè)快速通過(guò)公安部要求的《信息系統安全等級保護》測評。