近日,河南省公安机关公布了一批“净网2020”专项行动网络安全行政执法典型案例,其中一起为:郑州新郑市某中等专业学校不履行网络安全保护义务案。
郑州新郑市公安局网安部门在工作中发现,郑州某中等专业学校信息系统遭到黑客攻击。经查,该校不履行网络安全保护义务,未制定内部安全管理制度和操作规程,未按照规定留存相关网络日志六个月。新郑警方依据《中华人民共和国网络安全法》第59条规定,对该校给予10000元罚款的行政处罚,对该校网络安全负责人给予5000元罚款的行政处罚。
以上信息转自:河南网警
根据违规内容:“该校不履行网络安全保护义务,未制定内部安全管理制度和操作规程,未按照规定留存相关网络日志六个月”可以推断公安部门应当是根据《网络安全法》第二十一条进行处罚的。
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
针对此次违法行为,对涉事单位处罚结果为:对该校给予10000元罚款的行政处罚,对该校网络安全负责人给予5000元罚款的行政处罚。处罚的依据是《网络安全法》第59条:
第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
不论是谁,被处罚了都会感觉很憋屈,明明学校自己是受害者,反而自己还被处罚,甚至自己平时工作做的还不错,感觉莫名其妙的被处罚。心情我们可以理解,但是法律面前人人平等,一切以事实为依据,这确实违法了。
教育部门先后多次对网络安全工作提出了相关要求,如教育部教职成司函〔2017〕100号文《关于进一步落实职业院校网络安全工作的通知》,明确提出了建立主要负责人为第一责任人的网络安全工作体系,落实网络安全责任制,全面实施安全等级保护制度。
河南省教育厅在2017年6月发布的《关于在全省教育系统开展网络安全综合治理行动的通知》中也提出了尽快完成信息系统的等级保护定级及备案工作,对新建系统应在上线前做好系统定级备案和测评整改,并且明确2017年8月底完成,其中对于二级信息系统要求每两年进行一次测评,同时也要求明确主管领导、牵头部门和责任人。
通过这些要求我们可以看到其实很早前教育部及省教育厅就已对此下发了文件,提出了明确要求,但是我们依然有一些单位没有按照要求及时将工作做到位。以前没做好可能只是工作没做到位,现在没做好,不好意思,你是在违法,就像这个案例一样,给予罚款处罚。这个案例提醒我们需要及时履行好网络安全保护义务,不仅仅是学校,只要是网络运营者都需要履行网络安全保护义务。
那么具体怎么做?建议大家按照以下几点开展:
1.及时开展网络安全等级保护工作,实行网络安全等级保护制度;
2.制定安全管理制度,明确网络安全负责人,落实网络安全保护责任;
3.采取相关技术措施,防范计算机病毒和网络攻击,做好重要数据备份和加密,留存相关的网络日志不少于六个月。
