多家單位未落實網(wǎng)絡(luò)防護(hù)義務(wù)被處罰，不做等級保護(hù)等于違法！

時間：2019-05-17作者：航標(biāo)軟件測評（廣州）有限公司瀏覽：2435

一、未履行網(wǎng)絡(luò)防護(hù)義務(wù)，多家單位遭處罰




近日，重慶永川公安經(jīng)核實發(fā)現(xiàn)，某私立醫(yī)院因未按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求履行安全保護(hù)義務(wù)造成業(yè)務(wù)癱瘓——醫(yī)院HIS、LIS、PACS、EMR等后臺系統(tǒng)業(yè)務(wù)以及醫(yī)院網(wǎng)站等主要系統(tǒng)業(yè)務(wù)全部放置在同一套服務(wù)器中，未安裝邊界防護(hù)設(shè)備、未安裝日志行為審計設(shè)備，未設(shè)置數(shù)據(jù)安全備份策略等其他網(wǎng)絡(luò)安全技術(shù)措施，使得黑客可以通過互聯(lián)網(wǎng)攻破醫(yī)院系統(tǒng)后植入勒索病毒，導(dǎo)致醫(yī)院業(yè)務(wù)停擺。

針對此案，公安部門對醫(yī)院按照《*人民共和國網(wǎng)絡(luò)安全法》*五十九條之規(guī)定，對醫(yī)院處以罰款一萬元，對直接負(fù)責(zé)的主管人員處以罰款五千元的行政處罰。




▼

3月，江蘇泰州某事業(yè)單位集中監(jiān)控系統(tǒng)遭黑客攻擊破壞。經(jīng)查，該單位網(wǎng)絡(luò)安全意識淡薄，曾因存在安全隱患、不落實網(wǎng)絡(luò)安全等級保護(hù)制度被責(zé)令整改。整改期滿后，未采取有效管理措施、技術(shù)防護(hù)措施。泰州警方依據(jù)《網(wǎng)絡(luò)安全法》*21條、*59條規(guī)定，對該單位予以6萬元罰款，對相關(guān)責(zé)任人予以2萬元罰款，同時責(zé)令該單位停機(jī)整頓，開展定級備案、測評整改等網(wǎng)絡(luò)安全等級保護(hù)工作。




▼

2月，四川瀘州某企業(yè)網(wǎng)絡(luò)服務(wù)器受到境外黑客勒索病毒襲擊，多臺辦公用計算機(jī)無法使用。調(diào)查發(fā)現(xiàn)，該公司網(wǎng)絡(luò)安全意識淡薄，未制定內(nèi)部安全管理制度和操作規(guī)程，未確定網(wǎng)絡(luò)安全負(fù)責(zé)人；安裝的防病毒軟件和*墻存在未完全開啟安全審計策略、未關(guān)閉不安全的端口、未及時較新系統(tǒng)安全補丁等問題；服務(wù)器未設(shè)置日志留存，無法對入侵者進(jìn)行追蹤調(diào)查。隨后，公安部門依據(jù)《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定對該企業(yè)處以警告的行政處罰，并責(zé)令改正。







二、為什么必須要做等級保護(hù)？




（一）政策合規(guī)要求


需要滿足等保合規(guī)的行業(yè)包括**、金融行業(yè)、電信運營商、能源行業(yè)、企業(yè)單位等。作為國家信息安全的基本制度，開展等級保護(hù)工作是企業(yè)義不容辭的信息安全義務(wù)。

 

1.《網(wǎng)絡(luò)安全法》

*二十一條 國家實行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，**網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：

（一）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實網(wǎng)絡(luò)安全保護(hù)責(zé)任；

（二）采取防范計算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；

（三）采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月；

（四）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；

（五）法律、行政法規(guī)規(guī)定的其他義務(wù)。

*二十五條 網(wǎng)絡(luò)運營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時處置系統(tǒng)漏洞、計算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險；在發(fā)生危害網(wǎng)絡(luò)安全的事件時，立即啟動應(yīng)急預(yù)案，采取相應(yīng)的補救措施，并按照規(guī)定向有關(guān)主管部門報告。

*五十九條 **款 網(wǎng)絡(luò)運營者不履行本法*二十一條、*二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。




2.《刑法》

*二百八十六條之一　【拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪】網(wǎng)絡(luò)服務(wù)提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正，有下列情形之一的，處三年以下有期徒刑、拘役或者管制，并處或者單處罰金：

(一)致使違法信息大量傳播的；

(二)致使用戶信息泄露，造成嚴(yán)重后果的；

(三)致使刑事案件證據(jù)滅失，情節(jié)嚴(yán)重的；

(四)有其他嚴(yán)重情節(jié)的。

單位犯前款罪的，對單位判處罰金，并對其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員，依照前款的規(guī)定處罰。




（二）等保實施意義

1.便于發(fā)現(xiàn)相關(guān)機(jī)構(gòu)、單位、企業(yè)的網(wǎng)絡(luò)和信息系統(tǒng)與*標(biāo)準(zhǔn)之間存在的差距，發(fā)現(xiàn)系統(tǒng)安全隱患與不足；

2.通過安全整改，有效提高信息安全**能力和水平，提高網(wǎng)絡(luò)安全防護(hù)能力，降低系統(tǒng)被攻擊的風(fēng)險。

3.調(diào)動國家、法人、其他組織、公民安全防護(hù)積極性，有利于明確信息安全責(zé)任，加強(qiáng)企業(yè)信息安全管理。




三、相關(guān)標(biāo)準(zhǔn)有哪些？




（一）國家標(biāo)準(zhǔn)

《*人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》(**147號令)

《國家信息化**小組關(guān)于加強(qiáng)信息安全**工作的意見》（中辦發(fā)〔2003〕27號）

《信息安全等級保護(hù)工作的實施意見》（公通字[2004]66號）

《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實施指南》GB/T 25058-2010

《信息安全等級保護(hù)管理辦法》（公通字〔2007〕43號）

《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》GB/T 22239-2008

《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求》 MSTL-JBZ-05-005

《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南》GA/T 1389—2017

《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南》GB/T 28449-2012

 

（二）行業(yè)相關(guān)標(biāo)準(zhǔn)

《金融行業(yè)信息安全等級保護(hù)測評服務(wù)安全指引》

《金融行業(yè)信息系統(tǒng)信息安全等級保護(hù)測評指南》

《金融行業(yè)信息系統(tǒng)信息安全等級保護(hù)實施指引》

《人民銀行信息系統(tǒng)信息安全等級保護(hù)測評指南(試行)》

《人民銀行信息系統(tǒng)信息安全等級保護(hù)實施指引(試行)》

《電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)實施指南》

《廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)定級指南》

《廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)基本要求》

《水利網(wǎng)絡(luò)與信息安全體系建設(shè)基本技術(shù)要求》

《**行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》等




四、等保測評工作實施




（一）信息系統(tǒng)定級


企業(yè)單位采用“自主定級原則”，遵循國家或行業(yè)定級指南對*二級以上信息系統(tǒng)進(jìn)行定級和備案。

 



信息系統(tǒng)定級方法

 

（二）信息系統(tǒng)差距分析

通過對現(xiàn)有信息系統(tǒng)的安全現(xiàn)狀調(diào)研和測評，發(fā)現(xiàn)現(xiàn)有系統(tǒng)存在的問題，同時參考等級保護(hù)的要求，找出信息系統(tǒng)和等級保護(hù)的差距，為后期的等級保護(hù)安全整改方案設(shè)計奠定基礎(chǔ)。主要包括：信息系統(tǒng)現(xiàn)狀調(diào)研、信息系統(tǒng)現(xiàn)狀測評、信息系統(tǒng)差距分析報告等。




（三）信息系統(tǒng)整改方案

根據(jù)前期信息系統(tǒng)等級差距分析報告，按照等級保護(hù)要求對信息系統(tǒng)進(jìn)行整改設(shè)計，整改設(shè)計作為信息系統(tǒng)整改實施的指導(dǎo)，指導(dǎo)信息系統(tǒng)安全建設(shè)整改，從而滿足等級保護(hù)要求。

主要包括：應(yīng)用安全整改、主機(jī)安全整改、數(shù)據(jù)安全整改、網(wǎng)絡(luò)安全整改、物理安全整改、管理制度整改等




（四）信息系統(tǒng)正式測評

信息系統(tǒng)整改建設(shè)完成后，對整個信息系統(tǒng)進(jìn)行正式的等級測評，驗證信息系統(tǒng)是否滿足信息系統(tǒng)等級保護(hù)要求。




信息系統(tǒng)測評要求：

• 三級信息系統(tǒng)要求每年進(jìn)行一次信息安全等級保護(hù)測評。

• 四級信息系統(tǒng)要求每半年進(jìn)行一次信息安全等級保護(hù)測評。

• 網(wǎng)絡(luò)安全保護(hù)條例新要求三級以上系統(tǒng)每年進(jìn)行一次等保測評，四級系統(tǒng)測評工作量縮小

• 新上線信息系統(tǒng)在正式運營之前要求進(jìn)行一次信息安全等級保護(hù)測評。

• 信息系統(tǒng)在運維階段出現(xiàn)重大調(diào)整，例如信息系統(tǒng)結(jié)構(gòu)、功能等方面出現(xiàn)重大調(diào)整，要求進(jìn)行一次信息安全等級保護(hù)測評。





航標(biāo)軟件測評（廣州）有限公司專注于驗收測試,安全測試,網(wǎng)絡(luò)安全等級保護(hù)測試,登記測試,第三方軟件檢測機(jī)構(gòu),鑒定測試,代碼安全,滲透測試,性能測試等, 歡迎致電 17620028178

• 詞條

  詞條說明

• 多家單位未落實網(wǎng)絡(luò)防護(hù)義務(wù)被處罰，不做等級保護(hù)等于違法！

  一、未履行網(wǎng)絡(luò)防護(hù)義務(wù)，多家單位遭處罰 近日，重慶永川公安經(jīng)核實發(fā)現(xiàn)，某私立醫(yī)院因未按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求履行安全保護(hù)義務(wù)造成業(yè)務(wù)癱瘓——醫(yī)院HIS、LIS、PACS、EMR等后臺系統(tǒng)業(yè)務(wù)以及醫(yī)院網(wǎng)站等主要系統(tǒng)業(yè)務(wù)全部放置在同一套服務(wù)器中，未安裝邊界防護(hù)設(shè)備、未安裝日志行為審計設(shè)備，未設(shè)置數(shù)據(jù)安全備份策略等其他網(wǎng)絡(luò)安全技術(shù)措施，使得黑客可以通過互聯(lián)網(wǎng)攻破醫(yī)院系統(tǒng)后植入勒索病毒，導(dǎo)致醫(yī)院業(yè)

• 信息安全等級保護(hù)

  政策法規(guī)*人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例 (1994年**147號令)(“*九條 計算機(jī)信息系統(tǒng)實行安全等級保護(hù)。安全等級的劃分標(biāo)準(zhǔn)和安全等級保護(hù)的具體辦法，由公安部會同有關(guān)部門制定”)計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 (GB 17859-1999)(“**級：用戶自主保護(hù)級;*二級：系統(tǒng)審計保護(hù)級;*三級：安全標(biāo)記保護(hù)級;*四級：結(jié)構(gòu)化保護(hù)級;*五級：訪問驗證保護(hù)級”)國家信息化領(lǐng)

• 安全測試

  ◆?響應(yīng)國家網(wǎng)絡(luò)與信息安全相關(guān)法規(guī)政策要求◆?協(xié)助**及重點行業(yè)主管部門實施安全自查◆?評估安全威脅和安全風(fēng)險，提出防范對策和改進(jìn)措施◆?切實**網(wǎng)絡(luò)與信息安全，維護(hù)*和公共利益信息安全風(fēng)險評估依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進(jìn)行評價。評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事

• 軟件測評機(jī)構(gòu)哪家比較正規(guī)？

  ? ? ? ? ? 軟件評測中心是專業(yè)的信息技術(shù)領(lǐng)域第三方檢驗檢測機(jī)構(gòu)。具有國家認(rèn)監(jiān)委頒發(fā)的檢驗檢測機(jī)構(gòu)資質(zhì)認(rèn)定證書（CMA），國家認(rèn)可委頒發(fā)的CNAS 認(rèn)可實驗室證書等資質(zhì)。 ? ? ? ? ??按照北京市經(jīng)濟(jì)和信息化局《關(guān)于印發(fā)落實軟件產(chǎn)品增值稅政策相關(guān)的軟件檢測機(jī)構(gòu)認(rèn)可管理辦法（2