提供第三方网络服务,网警是认真的!你们是认真的吗?
千言万语一句话,网络安全系你我。
但是,作为安全服务企业该如何着手工作呢?也就是参考依据是什么,如何企业内部如何很好的管控安全服务工作,其实《信息安全技术 信息安全服务提供方管理要求》(以下简称“《管理标准》”)理论上是各个安全服务企业去考虑的一个国家标准。
我们回到《管理标准》,在标准4章信息安全服务原则的4.1节就是合规性,其描述如下:
具体原则如下 :
综上,其a)项,则是要求合法合规符合标准,则《网络安全法》第二十二条可以作为工作的上位要求,而《管理标准》则可以作为企业内部安全服务管理的参考。《管理标准》第5章信息安全服务组织级管理,分别从制度和体系、人力资源、保密、技术能力、服务协议、服务组合、供应链几个方面进行了规范;第6章信息安全服务项目级管理,分别从服务方案、服务人员、服务过程、服务工具和平台、服务风险、服务变更、服务沟通、服务交付几个方面进行了规范。
回到网安局公众号中宁夏这起处罚,银川某科技有限公司作为该网站设计建设方和日常运维提供方,在明知系统存在漏洞的情况下,未履行《网络安全法》第二十二条第一款法定要求,对其提供的网络产品、服务的安全缺陷、漏洞等风险未及时采取补救措施、未及时告知用户并向主管部门报告。
若该企业,能够规范化提供安全服务,对服务方案、服务人员以及服务过程进行充分的管控,则理论上不会出现“在明知系统存在漏洞的情况下”,而不履行法定义务的情况。这个过程中,服务者(企业)理应非常熟悉相关法律法规,提供规范化的安全服务。然而,很多企业对规范化这块的认知远不如对安全服务业务来的清楚,然而一个好的安全服务需要企业通过规范化流程,制度化管理保障其服务质量,才能将自身风险降到最低,将利益最大化。另外一点就是,任何时候都不要存在侥幸心理,要时刻保持警惕性,这既是合规方面面临监督检查,同时也是最大程度的防范黑客攻击。
我把本期公众号名称《提供第三方网络服务,网警是认真的!你们是认真的吗?》,调整了语序,是想就这个问题谈一下企业如何认真下去,本意是既然提供第三方网络服务,网警执法检查认真了,企业被处罚究其原因还是自身合规能力太差,为什么太差呢?有可能对这块了解甚少,平时只顾着做业务,对自身综合服务水平未做全面考虑。如何考虑这块呢?那就要从合法合规出发,参考国家标准,建立自身一套科学有效的服务规范和流程,整体提高自身安全服务综合能力。这里面涉及到法律法规、技术标准、自身技术、企业管理、风险管控等等。
所以,一个认真的第三方服务,自然不会成为供应链上的最弱的一环,如果成为最弱的一环,用户何以安呢?我个人的一些陋见,不足以正人,仅作为抛砖引玉之功,待方家批评指正共同回答好这个问题。
以下节选,网安局公众号供大家参考:
2月4日,宁夏银川市网安民警在工作中发现,辖区内某官方网站被黑客攻击篡改。经立案调查,银川某科技有限公司作为该网站设计建设方和日常运维提供方,在明知系统存在漏洞的情况下,未履行《网络安全法》第二十二条第一款法定要求,对其提供的网络产品、服务的安全缺陷、漏洞等风险未及时采取补救措施、未及时告知用户并向主管部门报告。
也就是说,甲方委托他们建设和运维的网站有没有毛病?有!怎么补救?不知道!这也太不专业!太不认真了!!!
调查清楚情况后,银川网安依照《网络安全法》六十条第二项之规定,对该公司不履行网络风险消除和告知义务的违法行为,给予单位罚款5万元、法人代表罚款1万元的行政处罚。同时对其他有关单位追究法律责任,依法予以相应处罚。
该案的办理,为宁夏全区网安部门办理此类行政案件提供了有益的法律实践。