近日,一項重要的規(guī)定獲得了通過,并將在下個月開始實施(11月1日):中華人民共和國公安部令第151號:《公安機關(guān)互聯(lián)網(wǎng)安全監(jiān)督檢查規(guī)定》已經(jīng)2018年9月5日公安部部長辦公會議通過,現(xiàn)予發(fā)布,自2018年11月1日起施行。
根據(jù)規(guī)定,公安機關(guān)應(yīng)當(dāng)根據(jù)網(wǎng)絡(luò)安全防范需要和網(wǎng)絡(luò)安全風(fēng)險隱患的具體情況,對互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位開展監(jiān)督檢查。
此處劃重點,公安機關(guān)開展監(jiān)督檢查可以采取的措施包括:
·進入營業(yè)場所、機房、工作場所;
·要求監(jiān)督檢查對象的負責(zé)人或者網(wǎng)絡(luò)安全管理人員對監(jiān)督檢查事項作出說明;
·查閱、復(fù)制與互聯(lián)網(wǎng)安全監(jiān)督檢查事項相關(guān)的信息;
·查看網(wǎng)絡(luò)與信息安全保護技術(shù)措施運行情況等。
規(guī)定同時還明確,公安機關(guān)在互聯(lián)網(wǎng)安全監(jiān)督檢查中,發(fā)現(xiàn)互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位存在網(wǎng)絡(luò)安全風(fēng)險隱患的,應(yīng)當(dāng)督促指導(dǎo)其采取措施消除風(fēng)險隱患,并在監(jiān)督檢查記錄上注明;發(fā)現(xiàn)違法行為的,公安機關(guān)可以依法予以行政處罰;構(gòu)成違反治安管理行為的,依法予以治安管理處罰;構(gòu)成犯罪的,依法追究刑事責(zé)任。
與之前的互聯(lián)網(wǎng)相關(guān)管理法律法規(guī)相比,新的規(guī)定不僅賦予了公安機關(guān)更大的監(jiān)管監(jiān)察權(quán)限,更突出了依法處置不合法、不合規(guī)情形的要求——可以說,新的規(guī)定讓忽視、破壞網(wǎng)絡(luò)與信息安全的行為被查出和處置的可能性大大提高了。
為了能夠更具體地了解監(jiān)督檢查規(guī)定的細節(jié),安全狗把比較重要的段落摘抄出來了,重要內(nèi)容著重標(biāo)記。
首先是檢查的主體單位
第八條 互聯(lián)網(wǎng)安全監(jiān)督檢查由互聯(lián)網(wǎng)服務(wù)提供者的網(wǎng)絡(luò)服務(wù)運營機構(gòu)和聯(lián)網(wǎng)使用單位的網(wǎng)絡(luò)管理機構(gòu)所在地公安機關(guān)實施?;ヂ?lián)網(wǎng)服務(wù)提供者為個人的,可以由其經(jīng)常居住地公安機關(guān)實施。
其次是檢查對象,基本上與網(wǎng)絡(luò)有關(guān)聯(lián)的服務(wù)類型都被囊括了
第九條 公安機關(guān)應(yīng)當(dāng)根據(jù)網(wǎng)絡(luò)安全防范需要和網(wǎng)絡(luò)安全風(fēng)險隱患的具體情況,對下列互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位開展監(jiān)督檢查:
(一)提供互聯(lián)網(wǎng)接入、互聯(lián)網(wǎng)數(shù)據(jù)中心、內(nèi)容分發(fā)、域名服務(wù)的;
(二)提供互聯(lián)網(wǎng)信息服務(wù)的;
(三)提供公共上網(wǎng)服務(wù)的;
(四)提供其他互聯(lián)網(wǎng)服務(wù)的;
有“前科”的單位需要格外注意了,因為規(guī)定里還特別提到
對開展前款規(guī)定的服務(wù)未滿一年的,兩年內(nèi)曾發(fā)生過網(wǎng)絡(luò)安全事件、違法犯罪案件的,或者因未履行法定網(wǎng)絡(luò)安全義務(wù)被公安機關(guān)予以行政處罰的,應(yīng)當(dāng)開展重點監(jiān)督檢查。
大家最關(guān)心的檢查內(nèi)容
第十條 公安機關(guān)應(yīng)當(dāng)根據(jù)互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位履行法定網(wǎng)絡(luò)安全義務(wù)的實際情況,依照國家有關(guān)規(guī)定和標(biāo)準(zhǔn),對下列內(nèi)容進行監(jiān)督檢查:
(一)是否辦理聯(lián)網(wǎng)單位備案手續(xù),并報送接入單位和用戶基本信息及其變更情況;
(二)是否制定并落實網(wǎng)絡(luò)安全管理制度和操作規(guī)程,確定網(wǎng)絡(luò)安全負責(zé)人;
(三)是否依法采取記錄并留存用戶注冊信息和上網(wǎng)日志信息的技術(shù)措施;
(四)是否采取防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等技術(shù)措施;
(五)是否在公共信息服務(wù)中對法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒁婪ú扇∠嚓P(guān)防范措施;
(六)是否按照法律規(guī)定的要求為公安機關(guān)依法維護國家安全、防范調(diào)查恐怖活動、偵查犯罪提供技術(shù)支持和協(xié)助;
(七)是否履行法律、行政法規(guī)規(guī)定的網(wǎng)絡(luò)安全等級保護等義務(wù)。
第十一條 除本規(guī)定第十條所列內(nèi)容外,公安機關(guān)還應(yīng)當(dāng)根據(jù)提供互聯(lián)網(wǎng)服務(wù)的類型,對下列內(nèi)容進行監(jiān)督檢查:
(一)對提供互聯(lián)網(wǎng)接入服務(wù)的,監(jiān)督檢查是否記錄并留存網(wǎng)絡(luò)地址及分配使用情況;
(二)對提供互聯(lián)網(wǎng)數(shù)據(jù)中心服務(wù)的,監(jiān)督檢查是否記錄所提供的主機托管、主機租用和虛擬空間租用的用戶信息;
(三)對提供互聯(lián)網(wǎng)域名服務(wù)的,監(jiān)督檢查是否記錄網(wǎng)絡(luò)域名申請、變動信息,是否對違法域名依法采取處置措施;
(四)對提供互聯(lián)網(wǎng)信息服務(wù)的,監(jiān)督檢查是否依法采取用戶發(fā)布信息管理措施,是否對已發(fā)布或者傳輸?shù)姆?、行政法?guī)禁止發(fā)布或者傳輸?shù)男畔⒁婪ú扇√幹么胧?并保存相關(guān)記錄;
(五)對提供互聯(lián)網(wǎng)內(nèi)容分發(fā)服務(wù)的,監(jiān)督檢查是否記錄內(nèi)容分發(fā)網(wǎng)絡(luò)與內(nèi)容源網(wǎng)絡(luò)鏈接對應(yīng)情況;
(六)對提供互聯(lián)網(wǎng)公共上網(wǎng)服務(wù)的,監(jiān)督檢查是否采取符合國家標(biāo)準(zhǔn)的網(wǎng)絡(luò)與信息安全保護技術(shù)措施。
第十二條 在國家重大網(wǎng)絡(luò)安全保衛(wèi)任務(wù)期間,對與國家重大網(wǎng)絡(luò)安全保衛(wèi)任務(wù)相關(guān)的互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位,公安機關(guān)可以對下列內(nèi)容開展專項安全監(jiān)督檢查:
(一)是否制定重大網(wǎng)絡(luò)安全保衛(wèi)任務(wù)所要求的工作方案、明確網(wǎng)絡(luò)安全責(zé)任分工并確定網(wǎng)絡(luò)安全管理人員;
(二)是否組織開展網(wǎng)絡(luò)安全風(fēng)險評估,并采取相應(yīng)風(fēng)險管控措施堵塞網(wǎng)絡(luò)安全漏洞隱患;
(三)是否制定網(wǎng)絡(luò)安全應(yīng)急處置預(yù)案并組織開展應(yīng)急演練,應(yīng)急處置相關(guān)設(shè)施是否完備有效;
(四)是否依法采取重大網(wǎng)絡(luò)安全保衛(wèi)任務(wù)所需要的其他網(wǎng)絡(luò)安全防范措施;
(五)是否按照要求向公安機關(guān)報告網(wǎng)絡(luò)安全防范措施及落實情況。
對防范恐怖襲擊的重點目標(biāo)的互聯(lián)網(wǎng)安全監(jiān)督檢查,按照前款規(guī)定的內(nèi)容執(zhí)行。
再就是檢查方式
第十三條 公安機關(guān)開展互聯(lián)網(wǎng)安全監(jiān)督檢查,可以采取現(xiàn)場監(jiān)督檢查或者遠程檢測的方式進行。
第十六條 公安機關(guān)對互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位是否存在網(wǎng)絡(luò)安全漏洞,可以開展遠程檢測。
公安機關(guān)開展遠程檢測,應(yīng)當(dāng)事先告知監(jiān)督檢查對象檢查時間、檢查范圍等事項或者公開相關(guān)檢查事項,不得干擾、破壞監(jiān)督檢查對象網(wǎng)絡(luò)的正常運行。
第十七條 公安機關(guān)開展現(xiàn)場監(jiān)督檢查或者遠程檢測,可以委托具有相應(yīng)技術(shù)能力的網(wǎng)絡(luò)安全服務(wù)機構(gòu)提供技術(shù)支持。
網(wǎng)絡(luò)安全服務(wù)機構(gòu)及其工作人員對工作中知悉的個人信息、隱私、商業(yè)秘密和國家秘密,應(yīng)當(dāng)嚴(yán)格保密,不得泄露、出售或者非法向他人提供。公安機關(guān)應(yīng)當(dāng)嚴(yán)格監(jiān)督網(wǎng)絡(luò)安全服務(wù)機構(gòu)落實網(wǎng)絡(luò)安全管理與保密責(zé)任。
如果被發(fā)現(xiàn)存在違法違規(guī)行為,將會受到這樣的處理。
第二十一條 公安機關(guān)在互聯(lián)網(wǎng)安全監(jiān)督檢查中,發(fā)現(xiàn)互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位有下列違法行為的,依法予以行政處罰:
(一)未制定并落實網(wǎng)絡(luò)安全管理制度和操作規(guī)程,未確定網(wǎng)絡(luò)安全負責(zé)人的,依照《中華人民共和國網(wǎng)絡(luò)安全法》第五十九條第一款的規(guī)定予以處罰;
(二)未采取防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施的,依照《中華人民共和國網(wǎng)絡(luò)安全法》第五十九條第一款的規(guī)定予以處罰;
(三)未采取記錄并留存用戶注冊信息和上網(wǎng)日志信息措施的,依照《中華人民共和國網(wǎng)絡(luò)安全法》第五十九條第一款的規(guī)定予以處罰;
(四)在提供互聯(lián)網(wǎng)信息發(fā)布、即時通訊等服務(wù)中,未要求用戶提供真實身份信息,或者對不提供真實身份信息的用戶提供相關(guān)服務(wù)的,依照《中華人民共和國網(wǎng)絡(luò)安全法》第六十一條的規(guī)定予以處罰;
(五)在公共信息服務(wù)中對法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⑽匆婪ɑ蛘卟话凑展矙C關(guān)的要求采取停止傳輸、消除等處置措施、保存有關(guān)記錄的,依照《中華人民共和國網(wǎng)絡(luò)安全法》第六十八條或者第六十九條第一項的規(guī)定予以處罰;
(六)拒不為公安機關(guān)依法維護國家安全和偵查犯罪的活動提供技術(shù)支持和協(xié)助的,依照《中華人民共和國網(wǎng)絡(luò)安全法》第六十九條第三項的規(guī)定予以處罰。
有前款第四至六項行為違反《中華人民共和國反恐怖主義法》規(guī)定的,依照《中華人民共和國反恐怖主義法》第八十四條或者第八十六條第一款的規(guī)定予以處罰。
第二十二條 公安機關(guān)在互聯(lián)網(wǎng)安全監(jiān)督檢查中,發(fā)現(xiàn)互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位,竊取或者以其他非法方式獲取、非法出售或者非法向他人提供個人信息,尚不構(gòu)成犯罪的,依照《中華人民共和國網(wǎng)絡(luò)安全法》第六十四條第二款的規(guī)定予以處罰。
第二十三條 公安機關(guān)在互聯(lián)網(wǎng)安全監(jiān)督檢查中,發(fā)現(xiàn)互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位在提供的互聯(lián)網(wǎng)服務(wù)中設(shè)置惡意程序的,依照《中華人民共和國網(wǎng)絡(luò)安全法》第六十條第一項的規(guī)定予以處罰。
第二十四條 互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位拒絕、阻礙公安機關(guān)實施互聯(lián)網(wǎng)安全監(jiān)督檢查的,依照《中華人民共和國網(wǎng)絡(luò)安全法》第六十九條第二項的規(guī)定予以處罰;拒不配合反恐怖主義工作的,依照《中華人民共和國反恐怖主義法》第九十一條或者第九十二條的規(guī)定予以處罰。
總得來說,新的監(jiān)督檢查規(guī)定更加明確了公安機關(guān)在檢查過程中的檢查對象及檢查內(nèi)容,規(guī)范了相關(guān)流程,同時對各網(wǎng)絡(luò)運營者來說也進一步明確了法律責(zé)任,規(guī)定中詳細闡釋了相關(guān)的監(jiān)管要求,有助于讓網(wǎng)絡(luò)安全責(zé)任更好更準(zhǔn)確地落地。
當(dāng)然就具體的監(jiān)督檢查的內(nèi)容來看,信息安全等級保護工作的完善與否對是否符合規(guī)定的要求有較大的影響。對于企事業(yè)單位而言,滿足等保要求將不僅僅是對信息系統(tǒng)本身可靠性的資質(zhì)證明,更是符合法律法規(guī)的合規(guī)要求。
作為公安部頒發(fā)證書認可的、擁有等保服務(wù)資質(zhì)的機構(gòu),安全狗對國家等級保護規(guī)范進行了詳細整理,并依托完善的產(chǎn)品體系和專業(yè)的服務(wù)水平,把技術(shù)標(biāo)準(zhǔn)落實到每一種應(yīng)用的配置檢查工作上,同時結(jié)合等級保護工作過程,對業(yè)務(wù)系統(tǒng)資產(chǎn)進行等保定級跟蹤,根據(jù)資產(chǎn)定級自動進行對應(yīng)級別的安全配置檢查,對合規(guī)情況出具等保符合性報告,保證系統(tǒng)建設(shè)符合等保要求,促使等保監(jiān)督檢查工作高效執(zhí)行。我們將依托專業(yè)的技術(shù)和服務(wù)力量,持之以恒地為用戶提供專業(yè)的安全產(chǎn)品和服務(wù),滿足用戶的合規(guī)等保需求。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!