國企、政府、事業(yè)單位的IT系統(tǒng)基本上是很多領(lǐng)域和行業(yè)的關(guān)鍵信息基礎設施,關(guān)系到國計民生的正常穩(wěn)定運轉(zhuǎn),但是在另外一些人眼里,這些設施都是有極高價值的攻擊目標,一旦攻破防線,無論是讀取數(shù)據(jù)還是篡改內(nèi)容,或是加密勒索,會產(chǎn)生極其惡劣和嚴重的后果。

安全防線不止需要高超的技術(shù)水平,也需要完善的管理制度。前不久,國務院國有資產(chǎn)監(jiān)督管理委員會新修訂的《中央企業(yè)負責人經(jīng)營業(yè)績考核辦法》(以下簡稱《辦法》)于2019年4月1日施行?！掇k法》增加了一個全新的業(yè)績考核指標——網(wǎng)絡安全事件,以建立重大事項報告制度等為表現(xiàn)。這意味著央企從價值管理進入網(wǎng)絡安全管理的新階段,利潤不再是央企考核的惟一標準。

《辦法》中新修訂的第五章第三十四條:

建立重大事項報告制度。企業(yè)發(fā)生較大及以上生產(chǎn)安全責任事故和網(wǎng)絡安全事件、重大及以上突發(fā)環(huán)境事件、重大及以上質(zhì)量事故、重大資產(chǎn)損失、重大法律糾紛案件、重大投融資和資產(chǎn)重組等,對經(jīng)營業(yè)績產(chǎn)生重大影響的,應及時向國資委報告。

以及第六章第四十八條中關(guān)于如何處理和懲罰

企業(yè)法定代表人及相關(guān)負責人違反國家法律法規(guī)和規(guī)定,導致發(fā)生較大及以上生產(chǎn)安全責任事故和網(wǎng)絡安全事件、重大及以上突發(fā)環(huán)境事件、重大質(zhì)量責任事故、重大違紀和法律糾紛案件、境外惡性競爭、偏離核定主業(yè)盲目投資等情形,造成重大不良影響或者國有資產(chǎn)損失的。

非常明確的一點是,此次考核的直接對象就是企業(yè)負責人。對于網(wǎng)絡安全的要求沒有說明,概要的說明一點:企業(yè)發(fā)生網(wǎng)絡安全事件需要及時向國資委進行報告,并且給予降級或者扣分處理,情節(jié)嚴重的,給予紀律處分或者對企業(yè)負責人進行調(diào)整等。這個處罰可以說相當嚴厲了,同時把網(wǎng)絡安全納入考核指標也體現(xiàn)了國家在這方面的決心。

總的來說,無論企業(yè)具體的網(wǎng)絡安全工作如何開展,避免發(fā)生網(wǎng)絡安全事件始終是核心。如何把握法律精神,做好網(wǎng)絡安全的技術(shù)和管理工作呢?其實關(guān)鍵點上文已經(jīng)圈出來了:違反國家法律法規(guī)和規(guī)定導致的網(wǎng)絡安全事件。合法合規(guī)永遠是開展網(wǎng)絡安全工作的第一準則,在《網(wǎng)絡安全法》里其實有詳細的規(guī)定:

第二十一條:國家實行網(wǎng)絡安全等級保護制度。網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求,履行下列安全保護義務,保障網(wǎng)絡免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取、篡改……

第三十四條:除本法第二十一條的規(guī)定外,關(guān)鍵信息基礎設施的運營者還應當履行下列安全保護義務……

*(限于篇幅就不摘引完整了,讀者可自行查閱)*

當然,央企只是國企的一部分,對于其他國企,《辦法》也是一樣有約束的:

第五十三條:國有資本參股公司、被托管和兼并企業(yè)中由國資委管理的企業(yè)負責人,其經(jīng)營業(yè)績考核參照本辦法執(zhí)行。

第五十四條:各省、自治區(qū)、直轄市和新疆生產(chǎn)建設兵團國有資產(chǎn)監(jiān)督管理機構(gòu),設區(qū)的市、自治州級國有資產(chǎn)監(jiān)督管理機構(gòu)對國家出資企業(yè)負責人的經(jīng)營業(yè)績考核,可參照本辦法并結(jié)合實際制定具體規(guī)定。

亡羊補牢猶未為晚,對于企業(yè),特別是《辦法》中指出的央企而言,有哪些工作是需要盡快落實完成的呢?

1、及時開展等級保護工作

2、確定網(wǎng)絡安全負責人,落實網(wǎng)絡安全保護責任

3、配備防范計算機病毒和網(wǎng)絡攻擊、網(wǎng)絡侵入等危害網(wǎng)絡安全行為的技術(shù)措施,如增設防火墻、IPS/IDS、防病毒、apt、安全準入、數(shù)據(jù)庫防火墻、身份驗證等技術(shù)措施

4、留存相關(guān)的網(wǎng)絡日志不少于六個月,配備專業(yè)的日志審計系統(tǒng)

5、做好數(shù)據(jù)備份及加密

可以看出,等保工作的完成質(zhì)量,很大程度上決定了企業(yè)網(wǎng)絡安全的工作質(zhì)量。為了幫助用戶更好地完成等保測評和后續(xù)整改,安全狗依托完善的產(chǎn)品體系和專業(yè)的服務水平,我們將會根據(jù)用戶的具體情況,提供建設咨詢和測評服務,全程協(xié)助用戶通過測評并完成整改,最終獲得等保測評報告。

作為專業(yè)的云安全廠商,安全狗已經(jīng)積極參與到信息安全等級保護標準制度、政策研究和建設實踐的活動中。我們將繼續(xù)增強對各行業(yè)信息安全領(lǐng)域的業(yè)務理解和技術(shù)服務創(chuàng)新,持續(xù)為各行各業(yè)輸出優(yōu)質(zhì)的云安全產(chǎn)品、服務和解決方案。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。