多家單位未落實(shí)網(wǎng)絡(luò)防護(hù)義務(wù)被處罰，不做等級(jí)保護(hù)等于違法！

時(shí)間：2019-05-17作者：航標(biāo)軟件測(cè)評(píng)（廣州）有限公司瀏覽：2451

一、未履行網(wǎng)絡(luò)防護(hù)義務(wù)，多家單位遭處罰




近日，重慶永川公安經(jīng)核實(shí)發(fā)現(xiàn)，某私立醫(yī)院因未按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求履行安全保護(hù)義務(wù)造成業(yè)務(wù)癱瘓——醫(yī)院HIS、LIS、PACS、EMR等后臺(tái)系統(tǒng)業(yè)務(wù)以及醫(yī)院網(wǎng)站等主要系統(tǒng)業(yè)務(wù)全部放置在同一套服務(wù)器中，未安裝邊界防護(hù)設(shè)備、未安裝日志行為審計(jì)設(shè)備，未設(shè)置數(shù)據(jù)安全備份策略等其他網(wǎng)絡(luò)安全技術(shù)措施，使得黑客可以通過(guò)互聯(lián)網(wǎng)攻破醫(yī)院系統(tǒng)后植入勒索病毒，導(dǎo)致醫(yī)院業(yè)務(wù)停擺。

針對(duì)此案，公安部門(mén)對(duì)醫(yī)院按照《*人民共和國(guó)網(wǎng)絡(luò)安全法》*五十九條之規(guī)定，對(duì)醫(yī)院處以罰款一萬(wàn)元，對(duì)直接負(fù)責(zé)的主管人員處以罰款五千元的行政處罰。




▼

3月，江蘇泰州某事業(yè)單位集中監(jiān)控系統(tǒng)遭黑客攻擊破壞。經(jīng)查，該單位網(wǎng)絡(luò)安全意識(shí)淡薄，曾因存在安全隱患、不落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度被責(zé)令整改。整改期滿(mǎn)后，未采取有效管理措施、技術(shù)防護(hù)措施。泰州警方依據(jù)《網(wǎng)絡(luò)安全法》*21條、*59條規(guī)定，對(duì)該單位予以6萬(wàn)元罰款，對(duì)相關(guān)責(zé)任人予以2萬(wàn)元罰款，同時(shí)責(zé)令該單位停機(jī)整頓，開(kāi)展定級(jí)備案、測(cè)評(píng)整改等網(wǎng)絡(luò)安全等級(jí)保護(hù)工作。




▼

2月，四川瀘州某企業(yè)網(wǎng)絡(luò)服務(wù)器受到境外黑客勒索病毒襲擊，多臺(tái)辦公用計(jì)算機(jī)無(wú)法使用。調(diào)查發(fā)現(xiàn)，該公司網(wǎng)絡(luò)安全意識(shí)淡薄，未制定內(nèi)部安全管理制度和操作規(guī)程，未確定網(wǎng)絡(luò)安全負(fù)責(zé)人；安裝的防病毒軟件和*墻存在未完全開(kāi)啟安全審計(jì)策略、未關(guān)閉不安全的端口、未及時(shí)較新系統(tǒng)安全補(bǔ)丁等問(wèn)題；服務(wù)器未設(shè)置日志留存，無(wú)法對(duì)入侵者進(jìn)行追蹤調(diào)查。隨后，公安部門(mén)依據(jù)《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定對(duì)該企業(yè)處以警告的行政處罰，并責(zé)令改正。







二、為什么必須要做等級(jí)保護(hù)？




（一）政策合規(guī)要求


需要滿(mǎn)足等保合規(guī)的行業(yè)包括**、金融行業(yè)、電信運(yùn)營(yíng)商、能源行業(yè)、企業(yè)單位等。作為國(guó)家信息安全的基本制度，開(kāi)展等級(jí)保護(hù)工作是企業(yè)義不容辭的信息安全義務(wù)。

 

1.《網(wǎng)絡(luò)安全法》

*二十一條 國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，**網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪(fǎng)問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：

（一）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任；

（二）采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；

（三）采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月；

（四）采取數(shù)據(jù)分類(lèi)、重要數(shù)據(jù)備份和加密等措施；

（五）法律、行政法規(guī)規(guī)定的其他義務(wù)。

*二十五條 網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn)；在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí)，立即啟動(dòng)應(yīng)急預(yù)案，采取相應(yīng)的補(bǔ)救措施，并按照規(guī)定向有關(guān)主管部門(mén)報(bào)告。

*五十九條 **款 網(wǎng)絡(luò)運(yùn)營(yíng)者不履行本法*二十一條、*二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門(mén)責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬(wàn)元以上十萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處五千元以上五萬(wàn)元以下罰款。




2.《刑法》

*二百八十六條之一　【拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪】網(wǎng)絡(luò)服務(wù)提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門(mén)責(zé)令采取改正措施而拒不改正，有下列情形之一的，處三年以下有期徒刑、拘役或者管制，并處或者單處罰金：

(一)致使違法信息大量傳播的；

(二)致使用戶(hù)信息泄露，造成嚴(yán)重后果的；

(三)致使刑事案件證據(jù)滅失，情節(jié)嚴(yán)重的；

(四)有其他嚴(yán)重情節(jié)的。

單位犯前款罪的，對(duì)單位判處罰金，并對(duì)其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員，依照前款的規(guī)定處罰。




（二）等保實(shí)施意義

1.便于發(fā)現(xiàn)相關(guān)機(jī)構(gòu)、單位、企業(yè)的網(wǎng)絡(luò)和信息系統(tǒng)與*標(biāo)準(zhǔn)之間存在的差距，發(fā)現(xiàn)系統(tǒng)安全隱患與不足；

2.通過(guò)安全整改，有效提高信息安全**能力和水平，提高網(wǎng)絡(luò)安全防護(hù)能力，降低系統(tǒng)被攻擊的風(fēng)險(xiǎn)。

3.調(diào)動(dòng)國(guó)家、法人、其他組織、公民安全防護(hù)積極性，有利于明確信息安全責(zé)任，加強(qiáng)企業(yè)信息安全管理。




三、相關(guān)標(biāo)準(zhǔn)有哪些？




（一）國(guó)家標(biāo)準(zhǔn)

《*人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(**147號(hào)令)

《國(guó)家信息化**小組關(guān)于加強(qiáng)信息安全**工作的意見(jiàn)》（中辦發(fā)〔2003〕27號(hào)）

《信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（公通字[2004]66號(hào)）

《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》GB/T 25058-2010

《信息安全等級(jí)保護(hù)管理辦法》（公通字〔2007〕43號(hào)）

《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》GB/T 22239-2008

《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》 MSTL-JBZ-05-005

《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》GA/T 1389—2017

《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》GB/T 28449-2012

 

（二）行業(yè)相關(guān)標(biāo)準(zhǔn)

《金融行業(yè)信息安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)安全指引》

《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)測(cè)評(píng)指南》

《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指引》

《人民銀行信息系統(tǒng)信息安全等級(jí)保護(hù)測(cè)評(píng)指南(試行)》

《人民銀行信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指引(試行)》

《電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí)保護(hù)實(shí)施指南》

《廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》

《廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》

《水利網(wǎng)絡(luò)與信息安全體系建設(shè)基本技術(shù)要求》

《**行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等




四、等保測(cè)評(píng)工作實(shí)施




（一）信息系統(tǒng)定級(jí)


企業(yè)單位采用“自主定級(jí)原則”，遵循國(guó)家或行業(yè)定級(jí)指南對(duì)*二級(jí)以上信息系統(tǒng)進(jìn)行定級(jí)和備案。

 



信息系統(tǒng)定級(jí)方法

 

（二）信息系統(tǒng)差距分析

通過(guò)對(duì)現(xiàn)有信息系統(tǒng)的安全現(xiàn)狀調(diào)研和測(cè)評(píng)，發(fā)現(xiàn)現(xiàn)有系統(tǒng)存在的問(wèn)題，同時(shí)參考等級(jí)保護(hù)的要求，找出信息系統(tǒng)和等級(jí)保護(hù)的差距，為后期的等級(jí)保護(hù)安全整改方案設(shè)計(jì)奠定基礎(chǔ)。主要包括：信息系統(tǒng)現(xiàn)狀調(diào)研、信息系統(tǒng)現(xiàn)狀測(cè)評(píng)、信息系統(tǒng)差距分析報(bào)告等。




（三）信息系統(tǒng)整改方案

根據(jù)前期信息系統(tǒng)等級(jí)差距分析報(bào)告，按照等級(jí)保護(hù)要求對(duì)信息系統(tǒng)進(jìn)行整改設(shè)計(jì)，整改設(shè)計(jì)作為信息系統(tǒng)整改實(shí)施的指導(dǎo)，指導(dǎo)信息系統(tǒng)安全建設(shè)整改，從而滿(mǎn)足等級(jí)保護(hù)要求。

主要包括：應(yīng)用安全整改、主機(jī)安全整改、數(shù)據(jù)安全整改、網(wǎng)絡(luò)安全整改、物理安全整改、管理制度整改等




（四）信息系統(tǒng)正式測(cè)評(píng)

信息系統(tǒng)整改建設(shè)完成后，對(duì)整個(gè)信息系統(tǒng)進(jìn)行正式的等級(jí)測(cè)評(píng)，驗(yàn)證信息系統(tǒng)是否滿(mǎn)足信息系統(tǒng)等級(jí)保護(hù)要求。




信息系統(tǒng)測(cè)評(píng)要求：

• 三級(jí)信息系統(tǒng)要求每年進(jìn)行一次信息安全等級(jí)保護(hù)測(cè)評(píng)。

• 四級(jí)信息系統(tǒng)要求每半年進(jìn)行一次信息安全等級(jí)保護(hù)測(cè)評(píng)。

• 網(wǎng)絡(luò)安全保護(hù)條例新要求三級(jí)以上系統(tǒng)每年進(jìn)行一次等保測(cè)評(píng)，四級(jí)系統(tǒng)測(cè)評(píng)工作量縮小

• 新上線(xiàn)信息系統(tǒng)在正式運(yùn)營(yíng)之前要求進(jìn)行一次信息安全等級(jí)保護(hù)測(cè)評(píng)。

• 信息系統(tǒng)在運(yùn)維階段出現(xiàn)重大調(diào)整，例如信息系統(tǒng)結(jié)構(gòu)、功能等方面出現(xiàn)重大調(diào)整，要求進(jìn)行一次信息安全等級(jí)保護(hù)測(cè)評(píng)。





航標(biāo)軟件測(cè)評(píng)（廣州）有限公司專(zhuān)注于驗(yàn)收測(cè)試,安全測(cè)試,網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)試,登記測(cè)試,第三方軟件檢測(cè)機(jī)構(gòu),鑒定測(cè)試,代碼安全,滲透測(cè)試,性能測(cè)試等, 歡迎致電 17620028178

• 詞條

  詞條說(shuō)明

• 企業(yè)為什么要做等保測(cè)評(píng)

  等保測(cè)評(píng)是經(jīng)公安部認(rèn)證的具有資質(zhì)的測(cè)評(píng)機(jī)構(gòu)，依據(jù)國(guó)家信息安全等級(jí)保護(hù)規(guī)范規(guī)定，受有關(guān)單位委托，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)，也是大部分企業(yè)必須完成的一項(xiàng)工作，有著非常重要的作用。那么企業(yè)為什么要做等保測(cè)評(píng)?等保復(fù)測(cè)需要重新定級(jí)嗎?以下是詳細(xì)的內(nèi)容介紹。企業(yè)為什么要做等保測(cè)評(píng)?①網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)是為了發(fā)現(xiàn)用戶(hù)單位系統(tǒng)內(nèi)、外部存在的安全風(fēng)險(xiǎn)和脆弱性，能夠

• 軟件項(xiàng)目驗(yàn)收的具體流程

  航標(biāo)**集團(tuán)有限公司為企業(yè)提供高質(zhì)量的專(zhuān)業(yè)技術(shù)服務(wù)，包括科技項(xiàng)目驗(yàn)收測(cè)試；產(chǎn)品確認(rèn)測(cè)試；信息安全等級(jí)保護(hù)測(cè)評(píng)；區(qū)塊鏈產(chǎn)品評(píng)估測(cè)試； 區(qū)塊鏈技術(shù)培訓(xùn)認(rèn)證；雙軟認(rèn)定；CNAS CMA 高企認(rèn)定申請(qǐng)輔導(dǎo)；實(shí)驗(yàn)室建設(shè)質(zhì)量體系建設(shè)；各類(lèi)體系認(rèn)證咨詢(xún)服務(wù)；軟件著作權(quán)、作品著作權(quán)、商 標(biāo)注冊(cè)、專(zhuān)利申請(qǐng)、軟件評(píng)測(cè)、高企認(rèn)定及游戲版號(hào)等服務(wù)。 1、流程內(nèi)容 本流程描述項(xiàng)目驗(yàn)收的全過(guò)程。即招投標(biāo)管理 、軟件 采購(gòu)

• 哪里可以提供軟件第三方檢測(cè)報(bào)告，軟件項(xiàng)目驗(yàn)收用的

  科技項(xiàng)目驗(yàn)收測(cè)試是針對(duì)軟件進(jìn)行項(xiàng)目申報(bào)、科技成果鑒定等相關(guān)目的進(jìn)行的測(cè)試。采用《GB/T 25000.51-2016 系統(tǒng)與軟件工程 系統(tǒng)與軟件質(zhì)量要求和評(píng)價(jià)（SQuaRE）*51部分：就緒可用軟件產(chǎn)品（RUSP）的質(zhì)量要求和測(cè)試細(xì)則》國(guó)家標(biāo)準(zhǔn)作為測(cè)試依據(jù)，主要對(duì)軟件的功能性、可靠性、效率、易用性、可維護(hù)性、可移植性六大特性和軟件文檔進(jìn)行測(cè)試。軟件測(cè)試報(bào)告可以作為項(xiàng)目申報(bào)、科技成果鑒定等工作的依據(jù)

• 2020三送百萬(wàn)

  1024：是廣大程序員的共同節(jié)日。1024是2的十次方，二進(jìn)制計(jì)數(shù)的基本計(jì)量單位之一。程序員就像是一個(gè)個(gè)1024，以較低調(diào)、踏實(shí)、**的功能模塊搭建起這個(gè)科技世界。1G=1024M，而1G與1級(jí)諧音，也有一級(jí)棒的意思。11.11：是每年11月11日的網(wǎng)絡(luò)促銷(xiāo)日。