不做等保你就在違法!你知不知道?
最近在和一些客戶交流,很驚訝地發(fā)現(xiàn),都2020年了 ,還有人不知道《中華人民共和國網(wǎng)絡(luò)安全法》第21條明確規(guī)定:國家實行網(wǎng)絡(luò)安全等級保護(hù)制度。換句話說,不做等保就等于在違法。
不可能所有人都知道這個事,這是對所有人來說是這樣。但是對于我們這些從事網(wǎng)絡(luò)安全工作,從事IT工作,負(fù)責(zé)信息化的同志來說這是思想上認(rèn)識嚴(yán)重不足,對網(wǎng)絡(luò)安全工作對等保這項工作重視不夠,長此以往,早晚要出事。上周一哥與一個縣級客戶交流,還是一個縣級比較權(quán)威的信息化管理部門,他說他們幾年前做過三級等保,后來就沒做了,覺得沒什么用,不知道是不是隨口說說的,還是給自己沒做等保找臺階下。但是這種想法真的很危險,三級等保根據(jù)要求是每年都要進(jìn)行測評,沒有及時開展等保測評這項工作,理論上你已經(jīng)在違法了,可能你還不以為然,那只是你還差一個導(dǎo)火索。
至于為什么覺得沒用,可能當(dāng)時給你們做等保測評的公司比較水,隨便做了做,完了你們做等保的時候也沒用心,整個就是走了一個過場,所以有可能你覺得沒用。一哥在此鄭重說明下:如果你能按照等級保護(hù)的要求把信息系統(tǒng)好好捋一捋,最終得分在90分以上,結(jié)論優(yōu),那么你的信息系統(tǒng)相對來說是很安全的。你們捫心自問下,自己的等保做了多少分,結(jié)論是啥?所以不是等保沒用,而是你沒用心去做,去落實。
另外該客戶還說了一件事,云平臺安全了,花了很多錢去做安全建設(shè)該有的安全措施也都有,放在云上面的應(yīng)用不會有什么問題,也是安全的。補充一句他說的云是政府建的私有政務(wù)云。一哥想說的是這可能就代表著目前當(dāng)下不少客戶的真實想法,就是這種認(rèn)知,網(wǎng)絡(luò)安全工作能做好嗎?因為你就是這種認(rèn)知水平,所以你認(rèn)為不用做等保,或者等保不重要。難道你不知道這個應(yīng)用是你自己開發(fā)的?應(yīng)用上有漏洞,可能會導(dǎo)致各種各樣的問題嗎?網(wǎng)頁篡改,數(shù)據(jù)泄露,暗鏈,SQL注入等等都有可能發(fā)生。安全技術(shù)措施有了,管理跟不上,一樣也是不安全的,這個你也不了解嗎?身為主管部門的人我不認(rèn)為你能把你們當(dāng)?shù)氐木W(wǎng)絡(luò)安全工作管好,這個社會需要有能力有想法的人上,不行就讓位,不要誤了事,耽誤了自己,害了自己,拖累了別人。
給你們看幾個近期的案例,話不多說了,自己去悟。如果這個都悟不明白,還是換崗吧。
2020年3月,工作中發(fā)現(xiàn),山西省原平市第一人民醫(yī)院門戶網(wǎng)站存在安全風(fēng)險漏洞,原平市公安局網(wǎng)安大隊立即前往該醫(yī)院調(diào)查取證。經(jīng)調(diào)查發(fā)現(xiàn),原平市第一人民醫(yī)院未履行網(wǎng)絡(luò)安全等級保護(hù)制度,網(wǎng)絡(luò)安全意識淡薄,未確定網(wǎng)絡(luò)安全責(zé)任人,未制定網(wǎng)絡(luò)安全應(yīng)急事件預(yù)案,未采取防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施,嚴(yán)重影響網(wǎng)站信息安全,同時該網(wǎng)站未辦理等級保護(hù)備案手續(xù)。
2020年4月,原平市公安局網(wǎng)安大隊根據(jù)《網(wǎng)絡(luò)安全法》第二十一條、五十九條之規(guī)定,決定對原平市第一人民醫(yī)院處以行政警告處罰,并責(zé)令其限期整改。
2020年4月,廣州警方在工作中發(fā)現(xiàn),廣州某學(xué)校對其所屬兩個辦公系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全等級保護(hù)備案之后,并未依法完成等級保護(hù)測評工作,未完成法定網(wǎng)絡(luò)安全等級保護(hù)義務(wù)。同時該校作為此二系統(tǒng)的網(wǎng)絡(luò)安全主責(zé)單位,卻對系統(tǒng)的安全情況不知悉,也未對系統(tǒng)安全風(fēng)險及時排查整改。針對該校的違法行為,廣州警方對其作出行政處罰,并責(zé)令其限時完成等級保護(hù)測評。
近日,瀘水市公安局網(wǎng)絡(luò)安全大隊依法查處一起網(wǎng)絡(luò)運營者不按規(guī)定履行網(wǎng)絡(luò)安全義務(wù)案,開出首張違反《網(wǎng)絡(luò)安全法》罰單
公司系統(tǒng)遭黑客攻擊
2020年4月14日,瀘水市某公司系統(tǒng)被黑客攻擊,本地數(shù)據(jù)庫所有數(shù)據(jù)丟失。該公司在發(fā)現(xiàn)系統(tǒng)被攻擊后,未及時向公安機關(guān)網(wǎng)安部門報告,擅自聯(lián)系第三方公司技術(shù)員對信息系統(tǒng)進(jìn)行處理,并于當(dāng)天新建了一個數(shù)據(jù)庫。
未履行網(wǎng)絡(luò)安全保護(hù)義務(wù)而違法
獲取線索后,瀘水市網(wǎng)安部門立即聯(lián)合轄區(qū)派出所到現(xiàn)場對線索進(jìn)行核實,對該公司開展網(wǎng)絡(luò)安全檢查,并簽訂了《網(wǎng)絡(luò)安全責(zé)任書》。經(jīng)檢查,該公司網(wǎng)絡(luò)安全意識淡薄,網(wǎng)絡(luò)安全管理制度不健全,未落實網(wǎng)絡(luò)安全保護(hù)技術(shù)措施,未采取數(shù)據(jù)備份和加密等措施,未按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求履行定級、備案、等級測評、安全建設(shè)整改、安全自查等安全保護(hù)義務(wù)。瀘水市公安局向該公司下發(fā)了《網(wǎng)絡(luò)安全等級保護(hù)限期整改通知書》,但該公司未在規(guī)定期限內(nèi)整改。
該公司的行為違反了《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條、第二十五條的規(guī)定,不按規(guī)定履行網(wǎng)絡(luò)安全保護(hù)義務(wù)導(dǎo)致危害網(wǎng)絡(luò)安全的不良后果,且不及時整改。按照《中華人民共和國網(wǎng)絡(luò)安全法》第五十九條第一款的規(guī)定,5月18日,瀘水市公安局依法給予該公司罰款15000元,公司主要負(fù)責(zé)人罰款5000元的行政處罰,并責(zé)令該公司立即整改到位。
網(wǎng)絡(luò)安全等級保護(hù)制度是由《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定的法定職責(zé),目的是通過按國家標(biāo)準(zhǔn)進(jìn)行安全整改,開展等級測評驗證,定期檢查動態(tài)更新防護(hù)能力等各項工作措施來達(dá)到網(wǎng)絡(luò)安全法定要求,從而保障信息系統(tǒng)的安全穩(wěn)定運行。
等級保護(hù)備案工作是整個網(wǎng)絡(luò)安全等級保護(hù)工作的起點,而不是等級保護(hù)工作的終點,等級保護(hù)的各網(wǎng)絡(luò)運營者應(yīng)依法完成等級保護(hù)全部流程,切實履行安全網(wǎng)絡(luò)安全主體責(zé)任。
好了,案例也看了,話也說了,真心希望對你們有所幫助,有所觸動。等級保護(hù)制度是國家網(wǎng)絡(luò)安全基本國策,是國家網(wǎng)絡(luò)安全的基石,屬于各網(wǎng)絡(luò)運營者的基礎(chǔ)功和必修課。如果這一點你都不能很好地認(rèn)識與認(rèn)真貫徹,建議你早點去干點其他的,你太危險了,你危險你單位也很危險,特別是那些自以為是的,打開窗戶或者出去走走,世界早已變了,只是你還沒變,都2020年了,你還不知道不做等保就是在違法?