企業(yè)履行網(wǎng)絡(luò)安全保護(hù)和信息安全監(jiān)管義務(wù)有多重要?
今天來(lái)給大家聊一聊,企業(yè)為何一定要認(rèn)真履行網(wǎng)絡(luò)安全保護(hù)和信息安全監(jiān)管義務(wù),不履行會(huì)帶來(lái)什么嚴(yán)重后果,造成什么損失,我國(guó)相關(guān)法律法規(guī)對(duì)此又是如何規(guī)定的。
網(wǎng)絡(luò)運(yùn)營(yíng)者為何要承擔(dān)網(wǎng)絡(luò)安全保護(hù)和信息安全監(jiān)管義務(wù)呢?
網(wǎng)絡(luò)運(yùn)營(yíng)者是網(wǎng)絡(luò)社會(huì)的關(guān)鍵節(jié)點(diǎn),掌握著用戶與網(wǎng)絡(luò)的連接橋梁,網(wǎng)絡(luò)運(yùn)營(yíng)者的行為在很大程度上影響著用戶的信息安全,甚至?xí)绊懻麄€(gè)網(wǎng)絡(luò)社會(huì)的安全狀態(tài)。
網(wǎng)絡(luò)運(yùn)營(yíng)者提供的服務(wù)具有公共產(chǎn)品的屬性,這一屬性隨著現(xiàn)代信息技術(shù)的不斷滲透而被強(qiáng)化,其安全狀態(tài)對(duì)整個(gè)社會(huì)的安全具有重大而深遠(yuǎn)的影響。
我國(guó)在網(wǎng)絡(luò)政策上主張“誰(shuí)接入,誰(shuí)負(fù)責(zé)”、“誰(shuí)運(yùn)營(yíng),誰(shuí)負(fù)責(zé)”,網(wǎng)絡(luò)運(yùn)營(yíng)者在提供網(wǎng)絡(luò)服務(wù)和產(chǎn)品的過(guò)程中獲取了經(jīng)濟(jì)收益,那么就應(yīng)當(dāng)負(fù)有相應(yīng)的防止危害發(fā)生的安全保護(hù)義務(wù)。
在全球網(wǎng)絡(luò)安全問(wèn)題日益復(fù)雜且嚴(yán)峻的情況下,提升網(wǎng)絡(luò)運(yùn)營(yíng)者的安全意識(shí),明確網(wǎng)絡(luò)運(yùn)營(yíng)者的義務(wù)責(zé)任,是實(shí)現(xiàn)國(guó)家安全和社會(huì)穩(wěn)定的必然要求。劃重點(diǎn)
企業(yè)作為網(wǎng)絡(luò)運(yùn)營(yíng)者,所掌握、控制的網(wǎng)絡(luò)資源不是企業(yè)私有財(cái)產(chǎn),而是社會(huì)公共產(chǎn)品,一旦遭到侵害就是威脅到社會(huì)公共安全。有朋友不明白,問(wèn):“如果黑客攻擊我們的網(wǎng)絡(luò),那是賊偷了我,我也是受害者,為什么還要受處罰呢?”
道理是這樣的:如果賊偷了個(gè)人的東西,那沒(méi)哪個(gè)警察蜀黍會(huì)去處罰受害者的。但比如你是銀行門衛(wèi)忘記關(guān)門,導(dǎo)致銀行被盜,那你說(shuō)說(shuō)你該不該受處罰呢?
網(wǎng)絡(luò)運(yùn)營(yíng)者要承擔(dān)哪些網(wǎng)絡(luò)安全保護(hù)和信息安全監(jiān)管義務(wù)呢?
作為網(wǎng)絡(luò)運(yùn)營(yíng)者,應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求,采取技術(shù)措施和其他必要措施,保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行,有效應(yīng)對(duì)網(wǎng)絡(luò)安全事件,防范網(wǎng)絡(luò)違法犯罪活動(dòng),維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性。
網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)履行的義務(wù)
網(wǎng)絡(luò)運(yùn)行安全義務(wù)
網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全義務(wù)
關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)義務(wù)
公民個(gè)人信息保護(hù)義務(wù)
網(wǎng)絡(luò)信息安全管理義務(wù)
對(duì)公安機(jī)關(guān)的執(zhí)法協(xié)助義務(wù)
其他法定義務(wù)
但是小企業(yè)有能力承擔(dān)這些網(wǎng)絡(luò)安全保護(hù)和信息安全監(jiān)管義務(wù)嗎?
正如上一個(gè)問(wèn)題所回答的,其實(shí)《網(wǎng)絡(luò)安全法》只是對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者提出了一些最基本、最簡(jiǎn)單的網(wǎng)絡(luò)安全保護(hù)和信息安全監(jiān)管義務(wù)。有些企業(yè)不認(rèn)真落實(shí),導(dǎo)致受到黑客侵害。請(qǐng)大家隨我來(lái)看看下面的種種不應(yīng)該:
1、沒(méi)有安全管理制度和應(yīng)急預(yù)案
江蘇泰州某事業(yè)單位網(wǎng)絡(luò)安全意識(shí)淡薄,曾因不落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度被責(zé)令整改。整改期滿后,仍未落實(shí)內(nèi)部管理制度和操作規(guī)程,再次遭到黑客攻擊破壞,后被泰州網(wǎng)安部門行政處罰并責(zé)令停機(jī)整頓。
2、沒(méi)有采取最基本的防病毒、防攻擊措施
江蘇無(wú)錫一上市企業(yè)使用的辦公系統(tǒng)及網(wǎng)站管理員登陸采用弱口令,且未采取初次登錄必須更改密碼或強(qiáng)制所設(shè)密碼強(qiáng)度等保護(hù)措施,導(dǎo)致公司存儲(chǔ)的用戶個(gè)人信息極易被黑客采取撞庫(kù)方式竊取,后依法被無(wú)錫網(wǎng)安部門行政處罰。
3、不留存網(wǎng)絡(luò)日志和重要數(shù)據(jù)
江蘇徐州某網(wǎng)絡(luò)科技公司經(jīng)營(yíng)的自動(dòng)發(fā)卡平臺(tái),涉嫌為網(wǎng)絡(luò)游戲外掛程序提供交易支付和自動(dòng)發(fā)貨服務(wù)。經(jīng)查,該公司對(duì)犯罪嫌疑人利用其經(jīng)營(yíng)的平臺(tái)兜售游戲外掛程序并不知情,但因疏于對(duì)平臺(tái)管理,未采取必要的安全保護(hù)技術(shù)措施,未落實(shí)重要數(shù)據(jù)日志備份,導(dǎo)致部分涉案證據(jù)滅失,被徐州網(wǎng)安部門依法行政處罰。
4、不及時(shí)上報(bào)網(wǎng)絡(luò)安全事件
江蘇南通警方在偵辦某機(jī)械制造有限公司網(wǎng)站遭黑客入侵案時(shí)發(fā)現(xiàn),該公司網(wǎng)絡(luò)安全意識(shí)淡薄,管理制度缺失。同時(shí),承擔(dān)網(wǎng)站運(yùn)維的某網(wǎng)絡(luò)技術(shù)有限公司明知網(wǎng)站多次遭黑客入侵,未將網(wǎng)站存在的安全缺陷、漏洞等風(fēng)險(xiǎn)及時(shí)告知用戶和主管部門,且不按規(guī)定操作導(dǎo)致日志丟失,被南通網(wǎng)安部門依法行政處罰。
5、拒不配合公安機(jī)關(guān)調(diào)查取證
江蘇南通如皋市某單位網(wǎng)站遭黑客攻擊植入木馬,致使網(wǎng)站跳轉(zhuǎn)為博彩網(wǎng)站。經(jīng)查,該單位網(wǎng)站管理混亂,技術(shù)防護(hù)措施薄弱。偵查過(guò)程中,為網(wǎng)站提供維護(hù)服務(wù)的南通某技術(shù)公司,在接到警方調(diào)取證據(jù)通知后,虛與委蛇,推脫應(yīng)付,甚至采取刪除木馬病毒文件的方式,拒不向公安機(jī)關(guān)提供協(xié)助,致使相關(guān)證據(jù)滅失,后被依法行政處罰。
6、故意侵犯用戶個(gè)人信息
上海某教育科技公司江蘇常州分公司運(yùn)營(yíng)的一款日語(yǔ)教學(xué)APP應(yīng)用超范圍收集用戶個(gè)人信息,未向用戶公開(kāi)收集、使用個(gè)人信息規(guī)則,未明示收集使用信息的目的、方式和范圍,被常州網(wǎng)安部門依法行政處罰。
不承擔(dān)網(wǎng)絡(luò)安全保護(hù)和信息安全監(jiān)管義務(wù)可能造成什么后果呢?
隨著網(wǎng)絡(luò)的迅猛發(fā)展,網(wǎng)絡(luò)越來(lái)越滲入到生產(chǎn)生活的各個(gè)方面,網(wǎng)絡(luò)安全越來(lái)越成為影響國(guó)家安全和社會(huì)安全的重要因素。網(wǎng)絡(luò)運(yùn)營(yíng)者不履行網(wǎng)絡(luò)安全保護(hù)和信息安全監(jiān)管義務(wù)造成的危害愈發(fā)凸顯。
1、網(wǎng)站遭黑客攻擊篡改
江蘇南通某農(nóng)業(yè)科技發(fā)展有限公司運(yùn)營(yíng)的網(wǎng)站存在重大安全漏洞,管理制度缺失,網(wǎng)絡(luò)安全意識(shí)淡薄,致使犯罪嫌疑人在其網(wǎng)站發(fā)布各類招嫖、詐騙廣告18000余條。
2、用戶信息和重要數(shù)據(jù)遭泄露
江蘇宿遷警方在偵辦一起非法買賣新生兒個(gè)人信息案件時(shí)發(fā)現(xiàn),部分新生兒個(gè)人信息系從宿遷某婦幼健康管理平臺(tái)泄露。經(jīng)查,平臺(tái)運(yùn)營(yíng)單位安全管理和技術(shù)防護(hù)措施缺失。
3、影響企業(yè)單位正常運(yùn)營(yíng),造成經(jīng)濟(jì)損失江蘇某通信技術(shù)公司因安全責(zé)任意識(shí)淡薄、網(wǎng)絡(luò)安全等級(jí)保護(hù)制度落實(shí)不到位、管理制度和技術(shù)防護(hù)措施嚴(yán)重缺失,導(dǎo)致該公司業(yè)務(wù)管理系統(tǒng)遭受攻擊破壞,對(duì)其正常業(yè)務(wù)開(kāi)展造成較大影響。
4、關(guān)鍵信息基礎(chǔ)設(shè)備停擺,引發(fā)重大安全事故
江蘇南通某水利工程管理所主機(jī)系統(tǒng)存在3個(gè)高風(fēng)險(xiǎn)漏洞,其中主機(jī)漏洞1處、弱口令2處。該所運(yùn)營(yíng)的港閘為國(guó)家大型水閘,承擔(dān)南通地區(qū)697平方公里擋潮排澇、360萬(wàn)畝農(nóng)田灌溉任務(wù),相關(guān)系統(tǒng)被公安部、水利部列入國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施目錄,一旦遭攻擊破壞,后果不堪設(shè)想。
網(wǎng)絡(luò)運(yùn)營(yíng)者不依法履行義務(wù)要負(fù)什么樣的法律責(zé)任呢?
應(yīng)按照《網(wǎng)絡(luò)安全法》等行政法律法規(guī)承擔(dān)行政法律責(zé)任。網(wǎng)絡(luò)服務(wù)提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù),經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正,符合法定情形的,構(gòu)成拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪,依法承擔(dān)刑事責(zé)任。
依法履行網(wǎng)絡(luò)安全保護(hù)和信息安全監(jiān)管義務(wù)落實(shí)安全措施是非常重要并且完全可以做到的有社會(huì)責(zé)任感的企業(yè)絕不會(huì)無(wú)設(shè)防地讓自己客戶的信息數(shù)據(jù)暴露在危險(xiǎn)之下絕不會(huì)忽視網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患