2017年08月08日
最近朋友圈被重庆网安总队查处重庆违反《网络安全法》第一案小刷了一个屏幕,大概内容是:重庆某公司自2017年6月1日后,在提供互联网数据中心服务时,存在未依法留存用户登录相关网络日志的违法行为,根据《网络安全法》第二十一条(三)项:采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;第五十九条之规定,决定给予该公司警告处罚,并责令限期十五日内进行整改。
前两天是汕头网警依照《网络安全法》对没有及时开展等级保护测评的单位进行处罚。另外也有家网警对一个违法行为依照《网络安全法》进行处罚的,内容没细看,记不清具体是哪个地方的了。这是目前不得不等看到的公开报道的三个案例。
后续预计全国各地首例依据《网络安全法》处罚的案例会越来越多,星星之火已点起,燎原之势还会远吗。不得不等分析下除了已报道的违法行为外还有哪些行为可能会被处罚:
1、第二十一条(二)项,采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。服务器在裸奔的,单位网络系统在裸奔的,安全防护措施明显不到位的,会被依照此条款进行责令整改;
2、第二十一条(四)项,采取数据分类、重要数据备份和加密等措施。没有对重要数据进行备份和加密的会被依照此条款进行责令整改;
3、第二十五条 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。没有网络安全事件应急预案的,没有及时处置高危漏洞、网络攻击的;在发生网络安全事件时处置不恰当的,会被依照此条款责令整改,拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
4、关键信息基础设施单位除了以上几点,还有可能会被依据:
第三十四条(三)项:对重要系统和数据库进行容灾备份。没有对重要系统和数据库进行容灾备份的会被依照此条款责令改正。
第三十四条(四)项:制定网络安全事件应急预案,并定期进行演练。没有网络安全事件应急预案的,或者没有定期演练的,会被依照此条进行责令改正。这条不得不等认为很多单位都不符合,这个要处罚起来一大片等着呢。
5、关键信息基础设施单位:第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。每年没有做过安全检测评估的单位要被责令改正。
大概就是这些行为容易被处罚,因为这些行为很容易判断和取证,处罚起来相对客观,好操作。这样就结束了吗?网络安全法:第八条 国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。除了公安外,还有网信办、工信部、通管局、保密局、密码管理局等主管单位,这么多主管单位都依据网络安全法进行执法的话,应该会有更多的单位会被处罚吧。在不久的将来,预计会有一些单位会被除公安以外的主管单位处罚。我们一同见证首例的诞生。
处罚不是目的,目的是通过处罚督促大家尽快落实自己的网络安全义务,保护自己单位的网络安全,最终保障国家安全。安全是自己的,责任是自己的,自己的事不去上心做,还指望谁帮你吗?不要等着被处罚了再去整改,不要等着出了安全事件再去整改。有时会收不了场的,或者不是你去整改了。
江苏国骏信息科技有限公司在信息网络安全、运维平台建设、动漫设计、软件研发、数据中心领域具备十多年的行业沉淀。公司遵循信息安全整体性的IATF模型,从“人员素养”、“制度流程”、“技术产品”三个视角提供全面、可信的方案,业务涵盖咨询、评估、规划、管控、建设、培训等。