不做等保就违法,最新裁量基准来了

发布时间:2021-7-10 11:22:18 来源:本站

来源网安小蜂队、《网安一起行_上海网警》

上海市公安局于2016年制定并发布了《上海市公安局关于计算机信息网络安全管理行政处罚的裁量基准》。根据《上海市行政规范性文件管理规定》关于文件有效期5年的规定,《裁量基准》于2021年2月28日有效期届满。

上海市公安局关于印发《上海市公安局关于网络安全管理行政处罚的裁量基准》,自2021年3月8日起施行,有效期至2026年3月7日。其中,增加《中华人民共和国网络安全法》作为修改后《裁量基准》的制定依据之一,新增适用《中华人民共和国网络安全法》实施行政处罚的裁量基准,并规范了违法行为名称的表述。

如:网络运营者不履行网络安全保护义务

【法律依据】

《网络安全法》第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

(四)采取数据分类、重要数据备份和加密等措施;

(五)法律、行政法规规定的其他义务。

第二十五条网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

第五十九条第一款网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

【裁量基准】

初次警告:

初次违反规定,且未导致危害网络安全等后果的,责令改正,给予警告。

罚款:企业1万—5万;直接主管人员5千—2万

有下列情形之一的,处一万元以上五万元以下罚款,对直接负责的主管人员处五千元以上两万元以下罚款:

(一)拒不改正的;

(二)导致危害网络安全等后果的;

(三)在发生危害网络安全的事件时,未立即启动应急预案,或者未采取相应的补救措施,或者未按照规定向有关主管部门报告的;

(四)对国家安全、社会秩序和公共利益造成较重影响后果,影响人民群众工作、生活或者造成较大经济损失的。

罚款:企业5万—10万;直接主管人员2万—5万

有下列情形之一的,处五万元以上十万元以下罚款,对直接负责的主管人员处两万元以上五万元以下罚款:

(一)拒不改正且导致危害网络安全等后果,或者因不履行网络安全保护义务被罚款后一年内再次被查获的;

(二)未履行《网络安全法》第二十一条规定的多项网络安全保护义务,导致危害网络安全等后果的;

(三)在发生危害网络安全的事件时,未立即启动应急预案,且未采取相应的补救措施,且未按照规定向有关主管部门报告的;

(四)致使网络系统被攻击篡改,导致被张贴违法有害信息,造成不良社会影响的;

(五)导致刑事案件证据灭失的;

(六)对国家安全、社会秩序和公共利益造成严重影响后果,严重影响人民群众工作、生活或者造成重大经济损失的。

解读:对违反《网安法》第21条以及第25条,根据第59条处罚的细分规定

案例一:

2019年2月,南京某研究院、无锡某图书馆因安全责任意识淡薄、网络安全等级保护制度落实不到位、管理制度和技术防护措施严重缺失,导致网站遭受攻击破坏。

南京、无锡警方依据《网络安全法》第21条、第59条规定,对上述单位分别予以5万元罚款,对相关责任人予以5千元、2万元不等罚款,同时责令限期整改安全隐患,落实网络安全等级保护制度。

案例二:

2019年3月,泰州某事业单位集中监控系统遭黑客攻击破坏。经查,该单位网络安全意识淡薄,曾因存在安全隐患、不落实网络安全等级保护制度被责令整改。整改期满后,未采取有效管理措施、技术防护措施。

泰州警方依据《网络安全法》第21条、第59条规定,对该单位予以6万元罚款,对相关责任人予以2万元罚款,同时责令该单位停机整顿,开展定级备案、测评整改等网络安全等级保护工作。

案例三:

上海网安部门在工作中发现,上海市某网络科技有限公司的网站存在低危级别的安全漏洞,立即责令其限期整改。之后,网安部门在对整改情况开展复查时发现,该公司未按规定完成整改内容,并且又出现了其他5个高危安全漏洞。

对此,公安机关依据《网络安全法》第21条、第59条第一款之规定,对该公司罚款两万元。 

案例四:

上海网安部门在工作中发现,上海市某信息科技有限公司的网站被植入淫秽色情等违法信息。经查,该公司未采取网络安全技术保护措施、未落实网络安全保护管理制度。

对此,公安机关依据《网络安全法》第21条、第59条第一款之规定,对该公司罚款一万元。

结语:很多时候,企业可能一直在违法,只是没有被处罚而已!

《网络安全法》自2017年6月1日起,已经实行四周年了,网络空间不是法外之地,学法、知法、守法,没有网络安全就没有国家安全,维护网络安全,就是维护我们的切身利益。