文章来源:https://www.cloudallonline.com/?sh5
【摘要】:等级保护相关标准虽然为非强制性的推荐标准,但网络(个人与家庭网络除外)运营者必须按网络安全法开展等级保护工作。
《信息安全等级保护定级指南》规定,只要符合以下三个特征,必须进行等级保护备案。
如果符合以下三个特征,并且安全保护等级是二级及以上,还必须通过等级保护测评。
等级保护是否是强制性的,可以不做吗?
答:《网络安全法》第二十一条规定网络运营者应当按照网络安全等级保护制度的要求,履行相关的安全保护义务。同时第七十六条定义了网络运营者是指网络的所有者、管理者和网络服务提供者。
等级保护相关标准虽然为非强制性的推荐标准,但网络(个人与家庭网络除外)运营者必须按网络安全法开展等级保护工作。
处罚案例
一、某宽带接入服务单位互联网平台存在严重漏洞导致用户信息泄露风险
2019年1月,市通信管理局监测发现本市某宽带接入服务单位的某电子商城平台存在严重安全漏洞,外部人员可利用相关漏洞查看商城用户的姓名、地址、手机号码等个人信息,从而导致用户信息泄露等严重风险。市通信管理局组织有关网络安全专业机构对相关问题进行了现场记录和分析取证,并按照《网络安全法》有关精神对企业负责人进行严肃约谈通报,责令其立即采取补救措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。
二、上海某传媒技术有限公司、上海某网络科技有限公司因未对安全漏洞风险采取整改措施被行政处罚
2019年1月,市通信管理局在网络安全回头看专项复查中发现,上海某传媒技术有限公司在接到《上海市通信管理局网络安全威胁通报(2018年第36期)》并责令改正的要求后,未对其移动互联网APP应用“某体育”存在的安全风险采取补救措施,未落实整改要求;上海某网络科技有限公司在接到上海市通信管理局网络安全威胁通报(2018年第42期)并责令改正的要求后,未对其移动互联网APP应用“旅游圈”存在的安全风险采取补救措施,未落实整改要求。对此,市通信管理局依据《网络安全法》有关规定,对两家企业分别处以罚款人民币五万元,并对两家企业直接负责的网络安全主管人员季某和李某分别处以罚款人民币一万元。
三、上海某科技有限公司、上海某科技网络通信有限公司因未履行网站备案手续被行政处罚
2019年2月,上海某网络科技有限公司某联网信息系统发生网络安全事件,并对公共互联网安全造成威胁。市通信管理局立即组织相关网络接入服务单位对涉事系统采取停止服务和屏蔽措施,及时阻断安全威胁的扩散。后续经查,涉事网络平台未按照有关要求在工业和信息化部备案管理系统履行备案手续,通过其网络接入服务单位上海某科技网络通信有限公司违规接入公共互联网并提供互联网信息服务。对此,市通信管理局依据《非经营性互联网信息服务备案管理办法》对上海某网络科技有限公司责令改正并处罚款人民币一万元,对涉事平台的网络接入服务单位上海某科技网络通信有限公司责令改正并处罚款人民币一万元。
四、上海上上某有限公司联网信息系统发生网络安全事件被责令暂停互联网信息服务
2018年11月,上海上上某有限公司某联网信息系统发生重大网络安全事件,并对公共互联网安全产生严重威胁。市通信管理局依据《网络安全法》、工业和信息化部《公共互联网网络安全威胁监测与处置办法》等有关要求,组织相关网络接入服务单位对涉事系统采取停止服务和屏蔽措施,及时阻断网络安全威胁的扩散;同时,责令涉事单位暂停相关系统的互联网信息服务,限期落实网络安全整改,在整改工作完成之前,涉事系统及其关联平台不得上线。
五、某零售连锁企业未提供互联网账号注销服务被责令整改
2018年12月,市通信管理局接用户投诉发现,本市某零售连锁企业在其运营管理的互联网服务平台上,未向其注册用户提供注销账号的服务。对此,市通信管理局依据《电信和互联网用户个人信息保护规定》有关要求,对企业负责人进行约谈通报,责令企业立即落实整改,采取有效措施,在用户合理终止使用互联网信息服务后,为其提供注销号码或者账号的服务。
六、某直播平台企业网络日志留存少于六个月
2018年12月,市通信管理局核查发现,本市某网络直播平台企业未按照《网络安全法》有关要求采取监测、记录网络运行状态、网络安全事件的技术措施,留存相关的网络日志少于六个月。对此,市通信管理局约谈企业相关负责人,责令其深入加强网络安全法律法规学习,切实履行网络运营者的安全责任义务,限期落实整改,按照法律规定留存相关的网络日志不少于六个月。
七、某网络音频FM企业未制定网络安全事件应急预案等安全事件管理制度
2019年1月,市通信管理局核查发现,本市某网络音频FM公司未按照《网络安全法》有关要求制定网络安全事件应急预案;同时,企业网络安全事件管理不到位,未制定事件报告和处置制度,未对安全事件制定通报流程,在发生安全事件后未按照规定向市通信管理局等主管部门报告有关情况。市通信管理局针对上述问题约谈企业主要负责人,要求其牢固树立网络安全责任意识,严格落实企业安全管理,完善应急预案和事件报告制度,切实履行网络运营者的安全保护义务。
八、某在线旅游服务企业明文存储游客信息存在严重安全风险
2019年1月,市通信管理局发现本市某在线旅游服务企业在其互联网信息系统内以明文形式存储游客的身份证件信息、护照信息、手机号码等个人信息,未按照《网络安全法》有关法律要求,采取技术措施和其他必要措施保障其收集的用户个人信息安全;且企业未明确个人信息在使用、传输和存储过程中的防护要求,存在严重的用户信息安全风险。市通信管理局在组织有关网络安全专业机构对相关漏洞进行现场记录和分析取证后,对企业负责人进行了严肃约谈通报,责令其立即采取技术防护措施,完善数据安全管理制度,确保其收集、存储的个人信息和数据安全,保障互联网用户的合法权益。
市通信管理局相关负责人强调,网络安全事关国家安全,各网络运营者要以上述典型案例为警示,进一步加强树立正确的网络安全观,进一步深入学习网络安全法律法规,对法律规定的网络安全责任义务要不折不扣的履行落实,不断强化内部安全管理,不断提升安全防护水平。下一步,市通信管理局将围绕关键系统安全防护、网络安全威胁处置、用户个人信息保护等重点工作,着力强化监督检查和执法力度,严厉打击各类违法违规行为,坚定不移筑牢公共互联网安全的坚固长城!
