信息泄露丨企业落实等级保护工作成为关键性证据 – 作者:北京华清信安

随着社会数字化进程的加快，网络安全问题逐渐得到重视，各种类型的网络攻击对企业和个人造成不同程度的损失。发生网络安全事件后，不仅企业受到损失，个人用户和社会可能都会受到影响，那么企业责任如何划分，怎样判定企业安全防护是否到位？

履行等级保护义务 证明企业无过错

NEWS

2021年1月，方月明诉北京金色世纪商旅网络科技股份有限公司、中国东方航空股份有限公司合同纠纷案，判决被告北京金色世纪商旅网络科技股份有限公司承担原告方月明80%经济损失。

事件起因为原告方月明在金色世纪公司的平台”金色世纪”订购了一张东航的机票，后续收到退票/改签的诈骗短信，被骗转出79629元，原告认为金色世纪和东航存在个人隐私信息泄露的问题，要求两个被告承担损失。

案件中东航没有承担原告损失，一审判决书中，法院认为东航“已充分举证”采取了有效措施保护乘客的个人信息。被告东航股份公司提交了以下证据：信息系统安全等级测评报告、等级测评情况说明、信息系统的等级保护备案证明。

东航通过提供企业落实等级保护工作的相关文件，证明了企业重要业务系统安全性，成为案件中的关键性证据。

落实等级保护已成为信息化发展基础工作

5月19日，八公山网警对辖区内的网络公司进行网络安全检查，在检查中发现该网络公司存在安全隐患，没有进行网络安全备案，且对公司的信息系统没有等级保护。现场对该公司进行了行政处罚，且责令公司法人限期整改。

2021年3月，四川凉山网安部门对当地某网络信息服务公司进行检查时发现，该公司在辖区内42个居民小区建设人脸识别门禁系统，采集了大量人脸信息，但所建系统未按照等级保护要求进行备案测评，未落实网络安全保护义务。 根据《中华人民共和国网络安全法》第五十九条之规定，公安网安部门责令该公司限期整改。

2021年1月，黄山黟县网安大队联合网信部门和辖区派出所，对辖区某大型宾馆突击开展网络安全检查。检查中，民警发现该企业安全组织制度、安全管理制度、安全技术措施、等级保护等方面存在问题，随后限期要求整改。检查中还对该单位负责人和安全员开展了培训。

自等级保护2.0制度施行以来，2020年有数十起企业未依法履行等级保护义务遭受处罚事件。

部分企业遭受黑客攻击盗取信息或企业系统、网站被篡改，企业不但因此受到损失还需承担未履行等级保护义务的处罚。

网警进行正常网络安全检查也会发现部分企业存在安全隐患，经检查企业未落实等级保护制度，会对企业责令限期整改。

信息化发展迅猛的今天，《网络安全法》作为我国网络空间基础性法规，法规中要求的企业落实等级保护工作近年来在各行业指导意见和网安的推动下，已经成为企业信息化发展的基础工作。

华清信安等级保护解决方案

等级保护工作对企业的技术人员和咨询团队拥有较高的要求，华清信安作为网络安全厂商，可以为企业提供专业的等级保护咨询服务，帮助企业顺利达到合规要求。

全流程服务

拥有安全厂商+等保咨询服务商专业优势

一站式实现等保五个环节全流程服务

项目团队

DJJS能力认证

等保测评师证书（CIIP-E）

CISP证书

CISAW安全保障证书

项目实施经验

丰富经验和优质资源

项目经验2000+

最短的交付周期

最好的测评结果

项目100%成功交付

售后运行保障

持续跟踪服务1年

协助年度安全检查

定期漏扫/渗透测试

安全加固服务

应急响应服务

安全培训服务

落实等级保护工作不仅为了合法合规，还可以提升企业自身网络安全防护能力，降低被攻击的风险。

来源：freebuf.com 2021-07-26 15:28:46 by: 北京华清信安