12月8日,为规范网络安全事件的报告,减少网络安全事件造成的损失和危害,维护国家网络安全,国家互联网信息办公室发布了《网络安全事件报告管理办法(征求意见稿)》(以下简称《管理办法》),并向社会公开征求意见。
其中提到,运营者在发生网络安全事件时,应当及时启动应急预案进行处置。按照《网络安全事件分级指南》,属于较大、重大或特别重大网络安全事件的,应当于1小时内进行报告。
此前,对于网络安全事件报告制度已在多部法律法规和政策文件中有所提及。《网络安全法》第二十五条规定:网络运营者在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告;《国家网络安全事件应急预案》则要求,网络安全事件发生后,事发单位应立即启动应急预案,实施处置并及时报送信息……对于初判为特别重大、重大网络安全事件的,立即报告应急办。
在报告对象方面,《管理办法》指出,网络和系统归属中央和国家机关各部门及其管理的企事业单位的,运营者应当向本部门网信工作机构报告。属于重大、特别重大网络安全事件的,各部门网信工作机构在收到报告后应当于1小时内向国家网信部门报告。
网络和系统为关键信息基础设施的,运营者应当向保护工作部门、公安机关报告。属于重大、特别重大网络安全事件的,保护工作部门在收到报告后,应当于1小时内向国家网信部门、国务院公安部门报告。
其他网络和系统运营者应当向属地网信部门报告。属于重大、特别重大网络安全事件的,属地网信部门在收到报告后,应当于1小时内逐级向上级网信部门报告。
此外,有行业主管监管部门的,运营者还应当按照行业主管监管部门要求报告。发现涉嫌犯罪的,运营者应当同时向公安机关报告。
对于未按照规定报告网络安全事件的,《管理办法》中表示网信部门按照有关法律、行政法规的规定进行处罚。其中,因运营者迟报、漏报、谎报或者瞒报网络安全事件,造成重大危害后果的,对运营者及有关责任人依法从重处罚。
另一方面,对于已按照相关要求进行网络安全防护和报告的运营者,《管理办法》也给出了发生网络安全事件之后的责任豁免与减轻条件。其第十一条指出,发生网络安全事件时,运营者已采取合理必要的防护措施,按照本办法规定主动报告,同时按照预案有关程序进行处置、尽最大努力降低事件影响,可视情免除或从轻追究运营者及有关责任人的责任。
“此前很多网络和系统运营者在发生网络安全事件后,出于侥幸心理、害怕监管处罚或影响商誉等原因,往往不愿意主动进行报告,选择漏报、谎报、瞒报、避重就轻报告,这对安全事件的及时处理和后果评估是非常不利的。”南京某网络安全行业从业者在与记者交流时表示,《管理办法》从失职处罚和责任豁免两个角度明确了相关报告行为的处理原则,有助于进一步提升网络安全事件报告的及时性和准确性。
来源:21世纪经济报道 作者: 吴立洋