不做等保你就在违法!你知不知道?
最近在和一些客户交流,很惊讶地发现,都2020年了 ,还有人不知道《中华人民共和国网络安全法》第21条明确规定:国家实行网络安全等级保护制度。换句话说,不做等保就等于在违法。
不可能所有人都知道这个事,这是对所有人来说是这样。但是对于我们这些从事网络安全工作,从事IT工作,负责信息化的同志来说这是思想上认识严重不足,对网络安全工作对等保这项工作重视不够,长此以往,早晚要出事。上周一哥与一个县级客户交流,还是一个县级比较权威的信息化管理部门,他说他们几年前做过三级等保,后来就没做了,觉得没什么用,不知道是不是随口说说的,还是给自己没做等保找台阶下。但是这种想法真的很危险,三级等保根据要求是每年都要进行测评,没有及时开展等保测评这项工作,理论上你已经在违法了,可能你还不以为然,那只是你还差一个导火索。
至于为什么觉得没用,可能当时给你们做等保测评的公司比较水,随便做了做,完了你们做等保的时候也没用心,整个就是走了一个过场,所以有可能你觉得没用。一哥在此郑重说明下:如果你能按照等级保护的要求把信息系统好好捋一捋,最终得分在90分以上,结论优,那么你的信息系统相对来说是很安全的。你们扪心自问下,自己的等保做了多少分,结论是啥?所以不是等保没用,而是你没用心去做,去落实。
另外该客户还说了一件事,云平台安全了,花了很多钱去做安全建设该有的安全措施也都有,放在云上面的应用不会有什么问题,也是安全的。补充一句他说的云是政府建的私有政务云。一哥想说的是这可能就代表着目前当下不少客户的真实想法,就是这种认知,网络安全工作能做好吗?因为你就是这种认知水平,所以你认为不用做等保,或者等保不重要。难道你不知道这个应用是你自己开发的?应用上有漏洞,可能会导致各种各样的问题吗?网页篡改,数据泄露,暗链,SQL注入等等都有可能发生。安全技术措施有了,管理跟不上,一样也是不安全的,这个你也不了解吗?身为主管部门的人我不认为你能把你们当地的网络安全工作管好,这个社会需要有能力有想法的人上,不行就让位,不要误了事,耽误了自己,害了自己,拖累了别人。
给你们看几个近期的案例,话不多说了,自己去悟。如果这个都悟不明白,还是换岗吧。
2020年3月,工作中发现,山西省原平市第一人民医院门户网站存在安全风险漏洞,原平市公安局网安大队立即前往该医院调查取证。经调查发现,原平市第一人民医院未履行网络安全等级保护制度,网络安全意识淡薄,未确定网络安全责任人,未制定网络安全应急事件预案,未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,严重影响网站信息安全,同时该网站未办理等级保护备案手续。
2020年4月,原平市公安局网安大队根据《网络安全法》第二十一条、五十九条之规定,决定对原平市第一人民医院处以行政警告处罚,并责令其限期整改。
2020年4月,广州警方在工作中发现,广州某学校对其所属两个办公系统进行网络安全等级保护备案之后,并未依法完成等级保护测评工作,未完成法定网络安全等级保护义务。同时该校作为此二系统的网络安全主责单位,却对系统的安全情况不知悉,也未对系统安全风险及时排查整改。针对该校的违法行为,广州警方对其作出行政处罚,并责令其限时完成等级保护测评。
近日,泸水市公安局网络安全大队依法查处一起网络运营者不按规定履行网络安全义务案,开出首张违反《网络安全法》罚单
公司系统遭黑客攻击
2020年4月14日,泸水市某公司系统被黑客攻击,本地数据库所有数据丢失。该公司在发现系统被攻击后,未及时向公安机关网安部门报告,擅自联系第三方公司技术员对信息系统进行处理,并于当天新建了一个数据库。
未履行网络安全保护义务而违法
获取线索后,泸水市网安部门立即联合辖区派出所到现场对线索进行核实,对该公司开展网络安全检查,并签订了《网络安全责任书》。经检查,该公司网络安全意识淡薄,网络安全管理制度不健全,未落实网络安全保护技术措施,未采取数据备份和加密等措施,未按照网络安全等级保护制度的要求履行定级、备案、等级测评、安全建设整改、安全自查等安全保护义务。泸水市公安局向该公司下发了《网络安全等级保护限期整改通知书》,但该公司未在规定期限内整改。
该公司的行为违反了《中华人民共和国网络安全法》第二十一条、第二十五条的规定,不按规定履行网络安全保护义务导致危害网络安全的不良后果,且不及时整改。按照《中华人民共和国网络安全法》第五十九条第一款的规定,5月18日,泸水市公安局依法给予该公司罚款15000元,公司主要负责人罚款5000元的行政处罚,并责令该公司立即整改到位。
网络安全等级保护制度是由《中华人民共和国网络安全法》规定的法定职责,目的是通过按国家标准进行安全整改,开展等级测评验证,定期检查动态更新防护能力等各项工作措施来达到网络安全法定要求,从而保障信息系统的安全稳定运行。
等级保护备案工作是整个网络安全等级保护工作的起点,而不是等级保护工作的终点,等级保护的各网络运营者应依法完成等级保护全部流程,切实履行安全网络安全主体责任。
好了,案例也看了,话也说了,真心希望对你们有所帮助,有所触动。等级保护制度是国家网络安全基本国策,是国家网络安全的基石,属于各网络运营者的基础功和必修课。如果这一点你都不能很好地认识与认真贯彻,建议你早点去干点其他的,你太危险了,你危险你单位也很危险,特别是那些自以为是的,打开窗户或者出去走走,世界早已变了,只是你还没变,都2020年了,你还不知道不做等保就是在违法?