全国首例虚假撤销等级保护测评备案处罚

来源:中伦律师事务所

文章摘要
导读 Law NEWS 2023年7月18日,据广州市公安局新闻办公室通报,广州警方正以网络攻防演练和网络安全执法检查为抓手,全面加强关键信息基础设施和重要信息系统网络安全风险隐患排查整治。

导读
Law
NEWS
2023年7月18日,据广州市公安局新闻办公室通报,广州警方正以网络攻防演练和网络安全执法检查为抓手,全面加强关键信息基础设施和重要信息系统网络安全风险隐患排查整治。期间,广州警方对广州某科技有限公司(下称“A公司”)虚假撤销等保备案的违法行为给予警告的行政处罚,并责令限期改正。
据统计,今年上半年,广州警方共走访检查重点单位1100余家次,循环检测全市1000余个重要信息系统,发现并通报1100余个安全隐患,督促相关单位整改隐患、堵塞漏洞。对未履行网络安全职责、未落实网络安全保护技术措施的单位,依法作出行政处罚160余宗。
案件背景:
今年3月,广州网警支队检查发现,A公司运营的“**智慧办公管理软件”未依法开展等级保护测评工作。经查,该系统于2020年7月定级为三级等级保护系统并取得备案证明,却在依然正常投入使用的情况下撤销等级保护测评备案,在2021年度、2022年度均未依法开展三级系统的等级保护测评,未履行网络安全等级保护测评的法定职责。
据广州市公安局天河区分局网警大队民警介绍,由此可能会出现网络安全隐患,遭受攻击,导致重要信息被不法分子利用。为打击逃避履行等级保护测评而虚假撤销备案的行为,督促相关单位依法落实网络安全管理制度和保护技术措施,广州警方对该虚假撤销备案的违法行为给予警告的行政处罚,并责令限期改正。
据悉,该案是全国首起对虚假撤销等级保护测评备案作出处罚的行政案件。
案件快评:
2019年,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,宣布《信息安全技术网络安全等级保护基本要求(GB/T22239-2019)》等国标正式发布,标志着我国“等保2.0”体系的开启。该体系将网络划分为五个安全保护等级,并对各不同级别提出了相适应的安全要求。
该案例中,A公司涉案系统在三级等保定级、备案后,在系统依然正常投入使用的情况下,虚假撤销备案手续,未履行三级等保系统的年度测评与报告义务,受到了警告的行政处罚。从该案例来看,企业如对某系统已经开展过定级、评审、备案等工作,即使后续对该系统的定级进行撤销或变更,公安机关仍将对曾已备案系统的安全状态、义务履行情况保持关注。企业应避免侥幸心理,依法依规开展网络定级备案、安全建设整改、等级测评和自查等工作,如实履行各网络安全等级项下的安全要求,具体可参照《信息安全技术网络安全等级保护基本要求(GB/T22239-2019)》《信息安全技术网络安全等级保护测评要求(GB/T28448-2019)》《信息安全技术网络安全等级保护安全设计技术要求(GB/T25070-2019)》等国家标准。
相关法条
《网络安全法》第21条
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
《网络安全等级保护条例(征求意见稿)》第23条
第三级以上网络的运营者应当每年开展一次网络安全等级测评,发现并整改安全风险隐患,并每年将开展网络安全等级测评的工作情况及测评结果向备案的公安机关报告。
《网络安全等级保护条例(征求意见稿)》第18条第二款
因网络撤销或变更调整安全保护等级的,应当在10个工作日内向原受理备案公安机关办理备案撤销或变更手续。
信息来源:羊城晚报

技术驱动法律,专业成就未来