2018年6月27日,公安部发布了《网络安全法》配套行政法规《网络安全等级保护条例(征求意见稿)》,向社会公开征求意见。为进一步促进网络安全等级保护制度的完善和有效落实,本期公众号汇总了网安法实施截至到目前10余起面向社会公开的等级保护执法案例。

从目前的执法案例可以看出,网安法实施以来,我国山西、广东、上海、四川、重庆、安徽、黑龙江、湖南等地已经出现了网络安全等级保护相关案例,涵盖教育、互联网、医疗、公共服务等领域。处罚涉及处罚对象发生了未定级备案、未按期进行等级测评、未按规定留存网络日志、未采取安全保护技术措施、未采取数据分类、重要数据备份和加密措施等违法行为。此外,从启动执法处罚的背景来看,除部分是因为执法机关在网络安全执法检查中发现问题,多数案件源于处罚对象发生漏洞利用攻击、重要信息泄露等网络安全事件。

网络安全等级保护执法案例汇总

相关法条

1.《网络安全法》

第21条  国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;

(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

(四)采取数据分类、重要数据备份和加密等措施;

(五)法律、行政法规规定的其他义务。

第25条   网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

第56条 省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施,进行整改,消除隐患。

第59条第1款  网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

2.《计算机信息网络国际联网安全保护管理办法》

第10条 互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行下列安全保护职责:

(一)负责本网络的安全保护管理工作,建立健全安全保护管理制度;

(二)落实安全保护技术措施,保障本网络的运行安全和信息安全;

(三)负责对本网络用户的安全教育和培训;

(四)对委托发布信息的单位和个人进行登记,并对所提供的信息内容按照本办法第五条进行审核;

(五)建立计算机信息网络电子公告系统的用户登记和信息管理制度;

(六)发现有本办法第四条、第五条、第六条、第七条所列情形之一的,应当保留有关原始记录,并在24小时内向当地公安机关报告;

(七)按照国家有关规定,删除本网络中含有本办法第五条内容的地址、目录或者关闭服务器。

第21条 有下列行为之一的,由公安机关责令限期改正,给予警告,有违法所得的,没收违法所得;在规定的限期内未改正的,对单位的主管负责人员和其他直接责任人员可以并处5000元以下的罚款,对单位可以并处1.5万元以下的罚款;情节严重的,并可以给予6个月以内的停止联网、停机整顿的处罚,必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格。

(一)未建立安全保护管理制度的;

(二)未采取安全技术保护措施的;

(三)未对网络用户进行安全教育和培训的;

(四)未提供安全保护管理所需信息、资料及数据文件,或者所提供内容不真实的;

(五)对委托其发布的信息内容未进行审核或者对委托单位和个人未进行登记的;

(六)未建立电子公告系统的用户登记和信息管理制度的;

(七)未按照国家有关规定,删除网络地址、目录或者关闭服务器的;

(八)未建立公用账号使用登记制度的;

(九)转借、转让用户账号的。

3. 《信息安全等级保护管理办法》

第14条 信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。

信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。

经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。

4.《刑法》

第286条之一【拒不履行信息网络安全管理义务罪】网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:

(一)致使违法信息大量传播的;

(二)致使用户信息泄露,造成严重后果的;

(三)致使刑事案件证据灭失,情节严重的;

(四)有其他严重情节的。

单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。

有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。

声明:本文来自公安三所网络安全法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。