4000-618-418

完成等保测评后还出安全事件,责任算谁的?

2020年09月29日

等保制度是我国基本的网络安全制度,不论是从各类文件通知还是到《网络安全法》的规定,都是这样明确要求的。而从12月1日起,等保2.0已经正式正式实施。我们在开展等保工作也是在履行自己的网络安全义务,当然也在一定程度地规避风险。但我必须强调,不等于抛弃网络安全责任,而不是将安全责任交给等级保护测评机构或其他第三方。

安全责任首先肯定是甲方自己的,但是我们可以明确几种情况下的网络安全责任问题归属。

1、等保工作没有开展,出了问题,安全责任肯定是甲方自己去承担。

这个没有什么好说的,等保制度作为国家最基本的网络安全制度,如果哪家单位到目前为止还未开展等保工作的,那么只要出了网络安全问题,这个安全责任必须自己去承担,不论你的安全工作平时做的有多么好。

2、等保工作开展了,高危风险没有及时去整改,出了问题,安全责任主要责任是甲方的。

发现问题特别是高危风险,是要求立即进行整改的,甲方没有及时整改,那么这个主要责任肯定也是甲方的。为什么说是主要责任,网络安全工作是一件专业性很强的工作,不少甲方单位没有能力去整改,会去请自己的集成商、软件开发方或者运维方去整改。如果甲乙双方签订过类似合同,乙方有义务去整改而未及时整改完成的,那么出了问题理应承担一定责任。这里乙方为什么不是主要责任,不得不等认为高危风险是重大风险,甲方自己没有能力整改的应当及时督促第三方进行整改而不是放任不管。这里有一个例外情况,就是甲方和乙方签署过安全运维服务合同,合同中明确了双方的责任,特别是明确了高危风险由乙方去整改而未及时整改出了问题责任归属乙方的。

3、等保工作开展了,测评机构测评不合规,对已有高危风险未检测出而导致的安全问题,主要责任应当有测评机构承担,甲方负有次要责任。

测评机构做为第三方检测机构,理应具有基本的技术服务能力,对甲方的信息系统进行安全测试,应当发现已有的高危风险,所以未检测出高危风险,这个主要责任,测评机构必须承担。同时甲方平时也应当做好网络安全其他工作,保障系统的安全,也负有一定责任。

4、等保工作开展了,发现的高危风险及其他风险也及时整改了,出了问题,主要责任不属于甲方。

网络安全工作是一件专业性很强的工作,需要持续进行开展。安全也没有绝对的安全,但是作为甲方,自己该做的工作都需要及时做到,在自己力所能及的情况下开展好网络安全工作,再出了事自己这块的工作首先肯定是做到位的,即使还需要进行承担的话,也不会承担主要责任。比如单位内部人员蓄意把内部资料泄露出去,那么这个责任肯定是由泄露出的人去承担。

等保工作不是万能的,但是没有开展等保工作肯定是万万不能的。尤其网络安全法明确规定,如果没有开展等保测评,除了安全事故严重是要承担相应法律责任的。

信息安全问题从来不是小事,尤其是现在等保2.0即将实施,年末岁初的关键时期,网络安全事故频发,相关职能部门的检查也更为频繁。所以广大网络运营者需要及时开展等保工作。


上一篇:钓鱼邮件主流攻击方式(电子邮件钓鱼攻击)

下一篇:盘点2020上半年10起重大的网络攻击事件