重点解读
- 所有国内网络服务都受本办法管辖,关注的是造成了实际影响的安全事件。
- 出较大及以上安全事件时,要1小时内报告,及时同步进展,结束后总结。
- 较大及以上:基本是稍微有点影响的网络服务出了服务中断2小时以上以及泄露数据超过100万以上。
- 安全事件:主要指服务不可用以及数据泄露等。任何原因导致的服务不可用都算,不只是网络安全导致的。
- 1小时内报告:1小时内搞不清楚的,要先把目前已知的情况报上去,其他信息24小时内报完,后面有任何新进展及时报告。
- 结束后5天内总结:事件处置结束后,5天内运营者应对事件进行全面分析总结,并形成报告上报。
- 未按规定报告网络安全事件的运营者,将按照相关法律法规受到处罚。对于迟报/漏报/慌报/瞒报,并会加重处罚,鼓励所有人举报。如果运营者已采取合理的防护措施并主动报告,可视情免除或减轻责任。
“网络安全事件报告管理办法”包含了对所有导致服务不可用的故障的上报要求,不仅仅是网络安全原因。这可能是对今年以来阿里云、滴滴、腾讯视频等企业频繁发生大规模故障的反应。此外,该办法要求企业在发生网络安全事件时必须及时上报,这一点很容易理解。鉴于历史上发生的众多数据泄露事件,如LinkedIn、Yahoo、Target、Adobe、Sony Pictures、Ebay、Equifax、Facebook、Capital One等国际公司的数据泄露案例,国外企业在技术故障或安全事件后通常会公开细节,且会受到监管机构的调查。
与此相比,国内的天涯社区、多玩、CSDN、网易、网宿、华住、Boss直聘、途牛、17k、12306、知乎、新浪微博、滴滴、拉勾、当当网等都发生过数据泄露事件,但这些事件往往未被广泛知晓。很多时候,出于维护公司名誉、保持客户信任、避免监管罚款及个人职业发展等考虑,企业选择不公开这些安全事件。实施这项管理办法,建议能提高国内安全事件的透明度相关指导。使其他企业能够从这些真实案例中吸取教训,从而提升整体网络安全水平。
另外希望能明确安全事件1小时是指安全事件发生时还是安全事件发现时开始算,安全事件发生的时间和发现的时间差异可太大了。安全事件发现的来源多种多样,有靠外部情报,有靠内部感知,甚至摸底排查。要做到在安全事件发生后1小时立马上报,现在大部分企业都做不到。
网络安全事件报告管理办法(征求意见稿)
- 第一条 为了规范网络安全事件的报告,减少网络安全事件造成的损失和危害,维护国家网络安全,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》等法律法规,制定本办法。
- 第二条 在中华人民共和国境内建设、运营网络或者通过网络提供服务的网络运营者在发生危害网络安全的事件时,应当按照本办法规定进行报告。
- 第三条 国家网信部门负责统筹协调国家网络安全事件报告工作和相关监督管理工作。地方网信部门负责统筹协调本行政区域内网络安全事件报告工作和相关监督管理工作。
- 第四条 运营者在发生网络安全事件时,应当及时启动应急预案进行处置。按照《网络安全事件分级指南》,属于较大、重大或特别重大网络安全事件的,应当于1小时内进行报告。
- 网络和系统归属中央和国家机关各部门及其管理的企事业单位的,运营者应当向本部门网信工作机构报告。属于重大、特别重大网络安全事件的,各部门网信工作机构在收到报告后应当于1小时内向国家网信部门报告。
- 网络和系统为关键信息基础设施的,运营者应当向保护工作部门、公安机关报告。属于重大、特别重大网络安全事件的,保护工作部门在收到报告后,应当于1小时内向国家网信部门、国务院公安部门报告。
- 其他网络和系统运营者应当向属地网信部门报告。属于重大、特别重大网络安全事件的,属地网信部门在收到报告后,应当于1小时内逐级向上级网信部门报告。
- 有行业主管监管部门的,运营者还应当按照行业主管监管部门要求报告。
- 发现涉嫌犯罪的,运营者应当同时向公安机关报告。
- 第五条 运营者应当按照《网络安全事件信息报告表》报告事件,至少包括下列内容:
- (一)事发单位名称及发生事件的设施、系统、平台的基本情况;
- (二)事件发现或发生时间、地点、事件类型、已造成的影响和危害,已采取的措施及效果。对勒索软件攻击事件,还应当包括要求支付赎金的金额、方式、日期等;
- (三)事态发展趋势及可能进一步造成的影响和危害;
- (四)初步分析的事件原因;
- (五)进一步调查分析所需的线索,包括可能的攻击者信息、攻击路径、存在的漏洞等;
- (六)拟进一步采取的应对措施以及请求支援事项;
- (七)事件现场的保护情况;
- (八)其他应当报告的情况。
- 第六条 对于1小时内不能判定事发原因、影响或趋势等的,可先报告第五条第一项、第二项内容,其他情况于24小时内补报。
- 事件报告后出现新的重要情况或调查取得阶段性进展,相关单位应当及时报告。
- 第七条 事件处置结束后,运营者应当于5个工作日内对事件原因、应急处置措施、危害、责任处理、整改情况、教训等进行全面分析总结,形成报告按照原渠道上报。
- 第八条 为运营者提供服务的组织或个人发现运营者发生较大、重大或特别重大网络安全事件时,应当提醒运营者按照本办法规定报告事件,运营者有意隐瞒或拒不报告的,可向属地网信部门或国家网信部门报告。
- 第九条 鼓励社会组织和个人向网信部门报告较大、重大或特别重大网络安全事件。
- 第十条 运营者未按照本办法规定报告网络安全事件的,网信部门按照有关法律、行政法规的规定进行处罚。
- 因运营者迟报、漏报、谎报或者瞒报网络安全事件,造成重大危害后果的,对运营者及有关责任人依法从重处罚。
- 有关部门未按照本办法规定报告网络安全事件的,由其上级机关责令改正,对直接负责的主管人员和其他直接责任人员依法给予处分。涉嫌犯罪的,依法追究刑事责任。
- 第十一条 发生网络安全事件时,运营者已采取合理必要的防护措施,按照本办法规定主动报告,同时按照预案有关程序进行处置、尽最大努力降低事件影响,可视情免除或从轻追究运营者及有关责任人的责任。
- 第十二条 本办法所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或其中的数据造成危害,对社会造成负面影响的事件。
- 第十三条 涉及国家秘密的网络安全事件报告,按照有关部门规定执行。
- 第十四条 本办法自 年 月 日起施行。
附件1:网络安全事件分级指南
附件2:网络安全事件信息报告表