違反網(wǎng)絡安全等級保護制度-《網(wǎng)絡安全法》必受嚴厲懲罰

編輯:尚云 閱讀量:2981

2020年8月13日10時30分許,三河市公安局在對三河某燃氣有限公司進行網(wǎng)絡安全檢查時發(fā)現(xiàn),該單位未建立安全培訓和考核制度,沒有對信息安全進行等級保護,未落實網(wǎng)絡安全保護責任。

2020年8月17日,三河市公安局在對三河市內(nèi)三家關鍵信息基礎設施單位進行網(wǎng)絡安全檢查時發(fā)現(xiàn),這三家單位未建立安全培訓和考核制度,沒有對信息安全進行等級保護,未落實網(wǎng)絡安全保護責任。

公安根據(jù)《中華人民共和國網(wǎng)絡安全法》第三十三條、第三十四條、第三十六條、第三十八條和第五十九條第二款之規(guī)定,依法對上述四家單位警告處罰。

早在2014年2月27日召開的中央網(wǎng)絡安全和信息化領導小組第一次會議正式提出關鍵信息基礎設施。2017年6月1日《網(wǎng)絡安全法》正式實施,明確規(guī)定國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網(wǎng)絡安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的保護是貫徹《網(wǎng)絡安全法》的重中之重!

網(wǎng)絡安全法解讀

通過此次事件,以下我們就《網(wǎng)絡安全法》中關鍵信息基礎設施安全條款和法律責任加以解讀,條款提出了關鍵信息基礎設施的范圍,明確了與網(wǎng)絡安全等級保護制度的關系,規(guī)定了關鍵信息基礎設施保護的主要內(nèi)容。

【第三十一條】 國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網(wǎng)絡安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。國家鼓勵關鍵信息基礎設施以外的網(wǎng)絡運營者自愿參與關鍵信息基礎設施保護體系。

解讀:本條款定義了關鍵信息基礎設施的范圍,強調(diào)了必須落實網(wǎng)絡安全等級保護制度,并進行重點保護。國務院將制定相應的關鍵信息基礎設施安全保護辦法。

【第三十三條】 

建設關鍵信息基礎設施應當確保其具有支持業(yè)務穩(wěn)定、持續(xù)運行的性能,并保證安全技術措施同步規(guī)劃、同步建設、同步使用。

解讀:本條款說明了如何建設關鍵信息基礎設施,強調(diào)了安全技術實施的三同步原則。

適用法律責任:【第五十九條】

【第三十四條】 除本法第二十一條的規(guī)定外,關鍵信息基礎設施的運營者還應當履行下列安全保護義務:

(一)設置專門安全管理機構(gòu)和安全管理負責人,并對該負責人和關鍵崗位的人員進行安全背景審查;

(二)定期對從業(yè)人員進行網(wǎng)絡安全教育、技術培訓和技能考核;

(三)對重要系統(tǒng)和數(shù)據(jù)庫進行容災備份;

(四)制定網(wǎng)絡安全事件應急預案,并定期進行演練;

(五)法律、行政法規(guī)規(guī)定的其他義務。

解讀:本條款規(guī)定了關鍵信息基礎設施的保護要求高于第二十一條的網(wǎng)絡安全等級保護制度要求;同時強調(diào)了背景審查、教育培訓和考核、容災備份、應急預案和演練。

適用法律責任:【第五十九條】

【第三十六條】 關鍵信息基礎設施的運營者采購網(wǎng)絡產(chǎn)品和服務,應當按照規(guī)定與提供者簽訂安全保密協(xié)議,明確安全和保密義務與責任。 

解讀:本條款的核心是明確外包服務安全,強調(diào)簽訂安全保密協(xié)議。

適用法律責任:【第五十九條】 

【第三十八條】 關鍵信息基礎設施的運營者應當自行或者委托網(wǎng)絡安全服務機構(gòu)對其網(wǎng)絡的安全性和可能存在的風險每年至少進行一次檢測評估,并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。

解讀:本條款的關鍵詞是等級測評,風險評估,滲透測試。

適用法律責任:【第五十九條】

【第三十九條】 國家網(wǎng)信部門應當統(tǒng)籌協(xié)調(diào)有關部門對關鍵信息基礎設施的安全保護采取下列措施:

(一)對關鍵信息基礎設施的安全風險進行抽查檢測,提出改進措施,必要時可以委托網(wǎng)絡安全服務機構(gòu)對網(wǎng)絡存在的安全風險進行檢測評估;

(二)定期組織關鍵信息基礎設施的運營者進行網(wǎng)絡安全應急演練,提高應對網(wǎng)絡安全事件的水平和協(xié)同配合能力;

(三)促進有關部門、關鍵信息基礎設施的運營者以及有關研究機構(gòu)、網(wǎng)絡安全服務機構(gòu)等之間的網(wǎng)絡安全信息共享;

(四)對網(wǎng)絡安全事件的應急處置與網(wǎng)絡功能的恢復等,提供技術支持和協(xié)助。

解讀:本條款規(guī)定了國家主管部門關于承擔統(tǒng)籌協(xié)調(diào)的工作要求。 

具體法律責任條款

【第五十九條】 網(wǎng)絡運營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網(wǎng)絡安全等后果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。關鍵信息基礎設施的運營者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規(guī)定的網(wǎng)絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網(wǎng)絡安全等后果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。