网站不做保的将面临处罚
更新时间:2020-08-11 14:31:55
《网络安全法》第二十一条规定:
网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
《网络安全法》第三章第三十四条规定:除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;(二)定期对从业人员进行网络安全教育、技术培训和技能考核;(三)对重要系统和数据库进行容灾备份;(四)制定网络安全事件应急预案,并定期进行演练;(五)法律、行政法规规定的其他义务。
《网络安全法》第六章第五十九条:拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款;对直接负责的主管人员处五千元以上五万元以下罚款。
解读:
网络运营者应当设置专门安全管理机构以及负责人,来保障网站的安全,若导致危害网络安全等后果,将面临罚款。
案列:
(一)重庆永川公安经核实发现,某私立医院因未按照网络安全等级保护制度的要求履行安全保护义务造成业务瘫痪——医院HIS、LIS、PACS、EMR等后台系统业务以及医院网站等主要系统业务全部放置在同一套服务器中,未安装边界防护设备、未安装日志行为审计设备,未设置数据安全备份策略等其他网络安全技术措施,使得黑客可以通过互联网攻破医院系统后植入勒索病毒,导致医院业务停摆。针对此案,公安部门对医院按照《中华人民共和国网络安全法》第五十九条之规定,对医院处以罚款一万元,对直接负责的主管人员处以罚款五千元的行政处罚。
(二)江苏泰州某事业单位集中监控系统遭黑客攻击破坏。经查,该单位网络安全意识淡薄,曾因存在安全隐患、不落实网络安全等级保护制度被责令整改。整改期满后,未采取有效管理措施、技术防护措施。泰州警方依据《网络安全法》第21条、第59条规定,对该单位予以6万元罚款,对相关责任人予以2万元罚款,同时责令该单位停机整顿,开展定级备案、测评整改等网络安全等级保护工作。
哪些单位需要做等级保护
《中华人民共和国网络安全法》强调在网络安全等级保护制度的基础上,对关键信息基础设施实行重点保护,明确关键信息基础设施的运营者负有更多的安全保护义务,并配以国家安全审查、重要数据强制本地存储等法律措施,确保关键信息基础设施的运行安全。那么哪些单位需要做等级保护呢?
(一)政府机关:各大部委、各省级政府机关、各地市级政府机关、各事业单位等;
(二)金融行业:金融监管机构、各大银行、证券、保险公司等;
(三)电信行业:各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等;
(四)能源行业:电力公司、石油公司、烟草公司;(五)企业单位:大中型企业、央企、上市公司等;
(六)其它有信息系统定级需求的行业与单位。
如何对网站做保?
示例:医疗行业
一、合理开展系统定级备案工作
医疗行业目前急需落实网络安全等级保护的系统有两类,一是传统核心业务系统,二是新建融合了各种新技术的信息系统。开展网络安全等级保护工作的第一步就是合理对这些系统进行等级保护定级。
二、常规化风险评估、等级测评工作
医疗机构在完成定级备案工作后,由信息安全管理部门牵头进行安全建设整改工作,可以自行开展安全评估,或者委托第三方单位开展安全评估工作,依据等级保护标准对评估结果进行差距分析,查看是否符合等级保护基本要求。医疗机构根据各系统的定级情况,安排当年的等级测评工作,按照要求定级为三级及以上的系统每年开展一次测评,选择公安部推荐目录中的等级保护测评机构开展安全测评。
医疗机构应按照要求常规化风险评估、等级测评工作,做到定期排查系统安全隐患,对于不符合要求项,信息系统运营、使用单位及时开展安全整改。一般现场测评工作需要1周左右时间,测评完成后对未达到安全保护等级要求的问题进行整改,整改时间及程度依据系统安全现状及经费决定,不涉及购买设备、网络架构大变动小规模系统需要2周左右时间,总体测评及出具最终符合公安机关要求的测评报告需至少一月时间。
三、强化纵深防御能力
对系统进行了全方位的风险分析,完成了等级保护测评后,就需要对测评中发现的问题进行整改。最快速简单的整改办法就是从网络整体架构出发,完善医疗机构网络安全建设,配备并配置必要的网络安全设备,形成纵深防御能力,确保系统中无高风险问题,其次再逐渐修正一些中低风险问题。鉴于医疗行业数据的重要性,做好数据备份、数据加密存储和传输工作,保障医疗数据的安全