不做等级保护等于违法,多家单位被罚:
(一)重庆永川公安经核实发现,某私立医院因未按照网络安全等级保护制度的要求履行安全保护义务造成业务瘫痪——医院HIS、LIS、PACS、EMR等后台系统业务以及医院网站等主要系统业务全部放置在同一套服务器中,未安装边界防护设备、未安装日志行为审计设备,未设置数据安全备份策略等其他网络安全技术措施,使得黑客可以通过互联网攻破医院系统后植入勒索病毒,导致医院业务停摆。针对此案,公安部门对医院按照《中华人民共和国网络安全法》第五十九条之规定,对医院处以罚款一万元,对直接负责的主管人员处以罚款五千元的行政处罚。
(二)江苏泰州某事业单位集中监控系统遭黑客攻击破坏。经查,该单位网络安全意识淡薄,曾因存在安全隐患、不落实网络安全等级保护制度被责令整改。整改期满后,未采取有效管理措施、技术防护措施。泰州警方依据《网络安全法》第21条、第59条规定,对该单位予以6万元罚款,对相关责任人予以2万元罚款,同时责令该单位停机整顿,开展定级备案、测评整改等网络安全等级保护工作。
(三)四川泸州某企业网络服务器受到境外黑客勒索病毒袭击,多台办公用计算机无法使用。调查发现,该公司网络安全意识淡薄,未制定内部安全管理制度和操作规程,未确定网络安全负责人;安装的防病毒软件和防火墙存在未完全开启安全审计策略、未关闭不安全的端口、未及时更新系统安全补丁等问题;服务器未设置日志留存,无法对入侵者进行追踪调查。随后,公安部门依据《网络安全法》相关规定对该企业处以警告的行政处罚,并责令改正。
开展等级保护工作,作为国家信息安全的基本制度,是企业义不容辞的信息安全义务。
《网络安全法》
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
第二十五条 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
第五十九条 第一款 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
《刑法》
第二百八十六条之一 【拒不履行信息网络安全管理义务罪】网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:
(一)致使违法信息大量传播的;
(二)致使用户信息泄露,造成严重后果的;
(三)致使刑事案件证据灭失,情节严重的;
(四)有其他严重情节的。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。
1.便于发现相关机构、单位、企业的网络和信息系统与国家安全标准之间存在的差距,发现系统安全隐患与不足;
2.通过安全整改,有效提高信息安全保障能力和水平,提高网络安全防护能力,降低系统被攻击的风险。
3.调动国家、法人、其他组织、公民安全防护积极性,有利于明确信息安全责任,加强企业信息安全管理。
閱讀更多 中企信認證服務中心 的文章
