不做等保你就在違法!你知不知道?
最近在和一些客戶交流,很驚訝地發(fā)現(xiàn),都2020年了 ,還有人不知道《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第21條明確規(guī)定:國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。換句話說(shuō),不做等保就等于在違法。
不可能所有人都知道這個(gè)事,這是對(duì)所有人來(lái)說(shuō)是這樣。但是對(duì)于我們這些從事網(wǎng)絡(luò)安全工作,從事IT工作,負(fù)責(zé)信息化的同志來(lái)說(shuō)這是思想上認(rèn)識(shí)嚴(yán)重不足,對(duì)網(wǎng)絡(luò)安全工作對(duì)等保這項(xiàng)工作重視不夠,長(zhǎng)此以往,早晚要出事。上周一哥與一個(gè)縣級(jí)客戶交流,還是一個(gè)縣級(jí)比較權(quán)威的信息化管理部門,他說(shuō)他們幾年前做過(guò)三級(jí)等保,后來(lái)就沒(méi)做了,覺(jué)得沒(méi)什么用,不知道是不是隨口說(shuō)說(shuō)的,還是給自己沒(méi)做等保找臺(tái)階下。但是這種想法真的很危險(xiǎn),三級(jí)等保根據(jù)要求是每年都要進(jìn)行測(cè)評(píng),沒(méi)有及時(shí)開(kāi)展等保測(cè)評(píng)這項(xiàng)工作,理論上你已經(jīng)在違法了,可能你還不以為然,那只是你還差一個(gè)導(dǎo)火索。
至于為什么覺(jué)得沒(méi)用,可能當(dāng)時(shí)給你們做等保測(cè)評(píng)的公司比較水,隨便做了做,完了你們做等保的時(shí)候也沒(méi)用心,整個(gè)就是走了一個(gè)過(guò)場(chǎng),所以有可能你覺(jué)得沒(méi)用。一哥在此鄭重說(shuō)明下:如果你能按照等級(jí)保護(hù)的要求把信息系統(tǒng)好好捋一捋,最終得分在90分以上,結(jié)論優(yōu),那么你的信息系統(tǒng)相對(duì)來(lái)說(shuō)是很安全的。你們捫心自問(wèn)下,自己的等保做了多少分,結(jié)論是啥?所以不是等保沒(méi)用,而是你沒(méi)用心去做,去落實(shí)。
另外該客戶還說(shuō)了一件事,云平臺(tái)安全了,花了很多錢去做安全建設(shè)該有的安全措施也都有,放在云上面的應(yīng)用不會(huì)有什么問(wèn)題,也是安全的。補(bǔ)充一句他說(shuō)的云是政府建的私有政務(wù)云。一哥想說(shuō)的是這可能就代表著目前當(dāng)下不少客戶的真實(shí)想法,就是這種認(rèn)知,網(wǎng)絡(luò)安全工作能做好嗎?因?yàn)槟憔褪沁@種認(rèn)知水平,所以你認(rèn)為不用做等保,或者等保不重要。難道你不知道這個(gè)應(yīng)用是你自己開(kāi)發(fā)的?應(yīng)用上有漏洞,可能會(huì)導(dǎo)致各種各樣的問(wèn)題嗎?網(wǎng)頁(yè)篡改,數(shù)據(jù)泄露,暗鏈,SQL注入等等都有可能發(fā)生。安全技術(shù)措施有了,管理跟不上,一樣也是不安全的,這個(gè)你也不了解嗎?身為主管部門的人我不認(rèn)為你能把你們當(dāng)?shù)氐木W(wǎng)絡(luò)安全工作管好,這個(gè)社會(huì)需要有能力有想法的人上,不行就讓位,不要誤了事,耽誤了自己,害了自己,拖累了別人。
給你們看幾個(gè)近期的案例,話不多說(shuō)了,自己去悟。如果這個(gè)都悟不明白,還是換崗吧。
2020年3月,工作中發(fā)現(xiàn),山西省原平市第一人民醫(yī)院門戶網(wǎng)站存在安全風(fēng)險(xiǎn)漏洞,原平市公安局網(wǎng)安大隊(duì)立即前往該醫(yī)院調(diào)查取證。經(jīng)調(diào)查發(fā)現(xiàn),原平市第一人民醫(yī)院未履行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,網(wǎng)絡(luò)安全意識(shí)淡薄,未確定網(wǎng)絡(luò)安全責(zé)任人,未制定網(wǎng)絡(luò)安全應(yīng)急事件預(yù)案,未采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施,嚴(yán)重影響網(wǎng)站信息安全,同時(shí)該網(wǎng)站未辦理等級(jí)保護(hù)備案手續(xù)。
2020年4月,原平市公安局網(wǎng)安大隊(duì)根據(jù)《網(wǎng)絡(luò)安全法》第二十一條、五十九條之規(guī)定,決定對(duì)原平市第一人民醫(yī)院處以行政警告處罰,并責(zé)令其限期整改。
2020年4月,廣州警方在工作中發(fā)現(xiàn),廣州某學(xué)校對(duì)其所屬兩個(gè)辦公系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全等級(jí)保護(hù)備案之后,并未依法完成等級(jí)保護(hù)測(cè)評(píng)工作,未完成法定網(wǎng)絡(luò)安全等級(jí)保護(hù)義務(wù)。同時(shí)該校作為此二系統(tǒng)的網(wǎng)絡(luò)安全主責(zé)單位,卻對(duì)系統(tǒng)的安全情況不知悉,也未對(duì)系統(tǒng)安全風(fēng)險(xiǎn)及時(shí)排查整改。針對(duì)該校的違法行為,廣州警方對(duì)其作出行政處罰,并責(zé)令其限時(shí)完成等級(jí)保護(hù)測(cè)評(píng)。
近日,瀘水市公安局網(wǎng)絡(luò)安全大隊(duì)依法查處一起網(wǎng)絡(luò)運(yùn)營(yíng)者不按規(guī)定履行網(wǎng)絡(luò)安全義務(wù)案,開(kāi)出首張違反《網(wǎng)絡(luò)安全法》罰單
公司系統(tǒng)遭黑客攻擊
2020年4月14日,瀘水市某公司系統(tǒng)被黑客攻擊,本地?cái)?shù)據(jù)庫(kù)所有數(shù)據(jù)丟失。該公司在發(fā)現(xiàn)系統(tǒng)被攻擊后,未及時(shí)向公安機(jī)關(guān)網(wǎng)安部門報(bào)告,擅自聯(lián)系第三方公司技術(shù)員對(duì)信息系統(tǒng)進(jìn)行處理,并于當(dāng)天新建了一個(gè)數(shù)據(jù)庫(kù)。
未履行網(wǎng)絡(luò)安全保護(hù)義務(wù)而違法
獲取線索后,瀘水市網(wǎng)安部門立即聯(lián)合轄區(qū)派出所到現(xiàn)場(chǎng)對(duì)線索進(jìn)行核實(shí),對(duì)該公司開(kāi)展網(wǎng)絡(luò)安全檢查,并簽訂了《網(wǎng)絡(luò)安全責(zé)任書》。經(jīng)檢查,該公司網(wǎng)絡(luò)安全意識(shí)淡薄,網(wǎng)絡(luò)安全管理制度不健全,未落實(shí)網(wǎng)絡(luò)安全保護(hù)技術(shù)措施,未采取數(shù)據(jù)備份和加密等措施,未按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求履行定級(jí)、備案、等級(jí)測(cè)評(píng)、安全建設(shè)整改、安全自查等安全保護(hù)義務(wù)。瀘水市公安局向該公司下發(fā)了《網(wǎng)絡(luò)安全等級(jí)保護(hù)限期整改通知書》,但該公司未在規(guī)定期限內(nèi)整改。
該公司的行為違反了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第二十一條、第二十五條的規(guī)定,不按規(guī)定履行網(wǎng)絡(luò)安全保護(hù)義務(wù)導(dǎo)致危害網(wǎng)絡(luò)安全的不良后果,且不及時(shí)整改。按照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第五十九條第一款的規(guī)定,5月18日,瀘水市公安局依法給予該公司罰款15000元,公司主要負(fù)責(zé)人罰款5000元的行政處罰,并責(zé)令該公司立即整改到位。
網(wǎng)絡(luò)安全等級(jí)保護(hù)制度是由《中華人民共和國(guó)網(wǎng)絡(luò)安全法》規(guī)定的法定職責(zé),目的是通過(guò)按國(guó)家標(biāo)準(zhǔn)進(jìn)行安全整改,開(kāi)展等級(jí)測(cè)評(píng)驗(yàn)證,定期檢查動(dòng)態(tài)更新防護(hù)能力等各項(xiàng)工作措施來(lái)達(dá)到網(wǎng)絡(luò)安全法定要求,從而保障信息系統(tǒng)的安全穩(wěn)定運(yùn)行。
等級(jí)保護(hù)備案工作是整個(gè)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的起點(diǎn),而不是等級(jí)保護(hù)工作的終點(diǎn),等級(jí)保護(hù)的各網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)依法完成等級(jí)保護(hù)全部流程,切實(shí)履行安全網(wǎng)絡(luò)安全主體責(zé)任。
好了,案例也看了,話也說(shuō)了,真心希望對(duì)你們有所幫助,有所觸動(dòng)。等級(jí)保護(hù)制度是國(guó)家網(wǎng)絡(luò)安全基本國(guó)策,是國(guó)家網(wǎng)絡(luò)安全的基石,屬于各網(wǎng)絡(luò)運(yùn)營(yíng)者的基礎(chǔ)功和必修課。如果這一點(diǎn)你都不能很好地認(rèn)識(shí)與認(rèn)真貫徹,建議你早點(diǎn)去干點(diǎn)其他的,你太危險(xiǎn)了,你危險(xiǎn)你單位也很危險(xiǎn),特別是那些自以為是的,打開(kāi)窗戶或者出去走走,世界早已變了,只是你還沒(méi)變,都2020年了,你還不知道不做等保就是在違法?