[摘要] 2017年6月1日,《中华人民共和国网络安全法》正式实施,等级保护工作正式入法,等级保护制度已成为新时期国家网络安全的基本国策和基本制度。2019年12月1日等级保护2.0正式实施,以保障信息系统在新技术、新设施、新应用为代表的新经济、新环境下的平稳运行与数据安全。
现在,国内不少行业如教育、金融、电力等均加大了网络安全等级保护的力度,但一些网络运营者对等保2.0还是不够了解、重视,觉得网络安全工作以及等保开不开展都无所谓,那么对于这些没有及时开展的网络运营者,主管机关如何对他们进行处罚呢?
案例一、河南安阳某医院不履行等保义务案
一、案件基本情况
2019年1月,河南省安阳市某医院因未履行网络安全保护义务,造成业务系统被攻击破坏,正常工作无法开展。
二、处理情况
公安机关对网络攻击行为开展立案侦查的同时,依据《网络安全法》第59条,对医院处以罚款50000元、直接负责人罚款5000元的行政处罚。
案例二、四川某科技公司不履行等保义务案
一、案件基本情况
2月,四川省某科技公司运营的网站因未落实网络安全保护技术措施、网络安全管理制度不健全导致网站被植入黑链,发布违法有害信息。
二、处理情况
广元市公安局利州区分局网安大队依据《网络安全法》对其处以行政警告处罚。
案例三、南京某研究院等网络运营单位不履行网络安全保护义务案
一、案件基本情况
今年2月,南京某研究院、无锡某图书馆因安全责任意识淡薄、网络安全等级保护制度落实不到位、管理制度和技术防护措施严重缺失,导致网站遭受攻击破坏。
二、处理情况
南京、无锡警方依据《网络安全法》第21条、第59条规定,对上述单位分别予以5万元罚款,对相关责任人予以5千元、2万元不等罚款,同时责令限期整改安全隐患,落实网络安全等级保护制度。
案例四、泰州某事业单位不履行网络安全保护义务案
一、案件基本情况
今年3月,泰州某事业单位集中监控系统遭黑客攻击破坏。经查,该单位网络安全意识淡薄,曾因存在安全隐患、不落实网络安全等级保护制度被责令整改。整改期满后,未采取有效管理措施、技术防护措施。
二、处理情况
泰州警方依据《网络安全法》第21条、第59条规定,对该单位予以6万元罚款,对相关责任人予以2万元罚款,同时责令该单位停机整顿,开展定级备案、测评整改等网络安全等级保护工作。
案例五、四川甘孜某集团不履行等保义务案
一、案件基本情况
3月,四川省甘孜某发展集团因未能落实防攻击、防篡改的网络防护措施,导致公司OA系统和财务管理系统遭受勒索病毒攻击,公司业务系统瘫痪,单位重要数据无法恢复。
二、处理情况
甘孜州公安局网安支队依据《网络安全法》,对该公司作出罚款50000元的处罚,对直接责任人作出罚款5000元的处罚。
案例六、连云港某公司不履行等保义务被处罚
一、案件基本情况
工作发现,连云港某网络公司在提供互联网服务过程中未履行网络安全保护义务,未采取监测、记录网络运行状态、网络安全事件的技术措施,未按照规定留存相关的网络日志等。
二、处理情况
3月22日,连云港警方依法责令该公司限期整改,并予以警告。4月3日,复查中发现该公司存在拒不整改情形,警方依据《网络安全法》第21条、第59条规定,对连云港某网络公司予以罚款5万元,对该公司法人毛某某予以罚款2万元,责令其落实网络安全等级保护制度。
案例七、宿迁某党政机关不履行网络安全保护义务案
一、案件基本情况
工作发现,宿迁市某党政机关开设的党建网未落实网络安全管理制度和技术保护措施,导致遭黑客攻击入侵,网站页面跳转为赌博网站,致使党建网无法正常运行访问而被迫关闭。警方在黑客攻击入侵行为开展立案调查的同时,依法对该单位未履行网络安全保护义务开展查处。
二、处理情况
今年4月,宿迁警方依据《网络安全法》第21条、第59条规定,对该单位予以警告,并责令其限期整改,落实网络安全等级保护制度。
案例八、安徽某学校未落实等保义务被处罚
一、案件基本情况
8月12日,蚌埠怀远县某学校网站因网络安全防等级保护制度落实不到位,遭黑客攻击入侵。蚌埠市公安局网安支队调查案件时发现,该网站自上线运行以来,始终未进行网络安全等级保护的定级备案、等级测评等工作,未落实网络安全等级保护制度,未履行网络安全保护义务。
二、处理情况
根据《网络安全法》第五十六条之规定,省公安厅网络安全保卫总队约谈该学校法定代表人、怀远县人民政府分管副县长。蚌埠市局网安支队依法对该校处以一万五千元罚款,对负有直接责任的副校长处以五千元罚款。
1、《网络安全法》第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。
2、第五十九条:网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
3、《刑法》第二百八十六条:不履行信息网络安全管理义务罪。造成违法信息大量传播、用户信息泄漏,造成严重后果的。处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。
由此可见,等保工作没做的,网络安全义务肯定没有履行到位,依照《网络安全法》就已经是违法行为了。
原文始发于微信公众号(e安在线):8个等级保护违规处罚典型案例解析