2017年7月20日,检查中发现,汕头市某信息科技有限公司于2015年11月向公安机关报备的信息系统安全等级为第三级,经测评合格后投入使用,但2016年至今未按规定定期开展等级测评。
根据《信息安全等级保护管理办法》第十四条第一款规定,信息系统安全保护等级为第三级的信息系统应当每年至少进行一次等级测评。根据新出台的《网络安全法》规定,定期开展测评属于第二十一条第(五)项规定的“法律、行政法规规定的其他义务”。
汕头市某信息科技有限公司之行为已违反《信息安全等级保护管理办法》第十四条第一款和《网络安全法》第二十一条第(五)项规定,构成未按规定履行网络安全等级测评义务。根据《网络安全法》第五十九条第一款规定,依法对该单位给予警告处罚并责令其改正。
以上内容转自微信公众号:汕头网警巡查执法
案例分析:
这是目前看到的国内首例依据《网络安全法》对相关单位未及时履行网络安全义务行为进行处罚的典型案例。该案例具有深远意义,为各地开展等级保护工作,开展网络安全工作指明了一条可借鉴之路。
很多人觉得网络安全法离自己很远,可是实际可能我们一直在违法,只是没有处罚你们而已。
为什么说这个案例很典型,因为不得不等看到不少三级用户单位并没有按照要求每年及时开展等级保护测评,按照这个案例来看,都可以给予警告处罚并责令改正。这次这是警告,按理还可以依据第七十一条 有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。
如果是国家机关政务网络的运营者的话还可以依据:第七十二条 国家机关政务网络的运营者不履行本法规定的网络安全保护义务的,由其上级机关或者有关机关责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。这个就比较严重了,要依法给予处分。
好在此次该单位违法行为不严重,没有造成什么严重后果或者网络安全事件,倘若给他人造成损害的,那依据:第七十四条 违反本法规定,给他人造成损害的,依法承担民事责任。违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。可能有人觉得我们能给别人造成什么损害啊,最普通的一件事:信息泄露,泄露他人个人隐私敏感信息的,都可以起诉网络运营者。
最后友情提醒各位网络运营者,特别是网络运营者主要负责人,网络安全相关负责人,三级等保每年请及时开展测评,还没有开展等级保护测评的更要抓紧了,赶紧启动起来,最后建议对定级不准确不合理的网络运营者们,你们需要准确履行自己的网络安全义务,工作还有做的不到位的地方可改进。
等保做好了,对信息系统,对单位,对用户,对个人百利而无一害,不要吝啬那么一点测评费,该节约的我们要节约,该花的钱一定要花。
还不知道《网络安全法》有哪些重点的,看一看↓
过等保其实并不难:云上等保合规
合规责任共担
阿里云平台与云上租户系统分别定级和测评;
阿里云平台测评结论可供租户系统测评时复用;
阿里云可提供
阿里云平台等保备案证明
阿里云测评报告关键页
阿里云云盾销售许可证
阿里云部分测评项说明
责任分担详解
阿里云是全国唯一一家参与和通过云计算等保标准试点示范的云服务商;
公共云、电子政务云通过等级保护三级备案和测评;
金融云通过等级保护四级的备案和测评;
根据监管部门明确的结论复用原则,阿里云上的租户系统通过等级保护测评时,物理安全、部分网络安全和安全管理的结论可以复用,阿里云可提供说明;
阿里云平台完备的安全技术和管理架构,以及阿里云提供的云盾安全防护体系,更有利于租户通过等级保护测评。
阿里云等保合规生态
