网络安全典型案例

    某公司违反网络安全等级保护制度案

    警方在日常工作中发现,某电子商务有限公司一信息系统于2017年上线运行,并于2018年完成了等保备案(二级),但其后一直没有依法开展等级测评。为此,相关办案人员前往该公司开展调查。经查,该公司对相关的法律、法规制度不了解,误认为做完等级保护备案就完成了等保工作,因此,在备案后未进一步开展等级保护测评。随后,警方依法给予该公司警告处罚,并责令限期改正。

    此案反映了各单位在落实网络安全等级保护的过程中存在的一些认知误区。首先是对等保相关法律法规不了解,部分单位误认为取得了公安机关提供的备案证,就具备了等级保护级别,而没有启动测评流程,没有实质落实安全防护技术措施和管理制度。更有甚者认为进行等级保护备案是通过拿备案证“获取资质”,以便在招标时增加“筹码”,对于法律要求的“网络安全保护各项制度和措施”刻意不执行。如果等级保护相关网络安全技术措施未落实到位,可能导致敏感信息泄露、网络资源被侵占、受控设备瘫痪损坏等严重问题。

    警方提示:各单位在开展等保工作的过程中,首先要明确等级保护的目的——强化网络安全保护能力和水平,确保信息系统安全稳定运行。在此基础上,严格按照《网络安全法》等法律法规要求,落实各项安全管理制度和保护技术措施,切实强化网络安全防护水平。