《网络安全事件报告管理办法》(征求意见稿)解读
第一条 为了规范网络安全事件的报告,减少网络安全事件造成的损失和危害,维护国家网络安全,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》等法律法规,制定本办法。
关键词:规范、报告、安全、损失、危害;
要 点:
规范网络安全事件的报告;
减少网络安全事件造成的损失和危害;
维护国家网络安全;
第二条 在中华人民共和国境内建设、运营网络或者通过网络提供服务的网络运营者在发生危害网络安全的事件时,应当按照本办法规定进行报告。
关键词:境内、服务、发生危害、安全事件;
要 点:
主体:网络运营者;
主体动作:境内建设、运营网络、通过网络提供服务;
主体进行时:发生危害网络安全的事件;
主体约束:进行报告;
第三条 国家网信部门负责统筹协调国家网络安全事件报告工作和相关监督管理工作。地方网信部门负责统筹协调本行政区域内网络安全事件报告工作和相关监督管理工作。
关键词:统筹协调、监督管理、行政区;
要 点:
国家网信部门职责:统筹协调国家网络安全事件报告、监督管理;
国家网信部门职责范围:国家层面;
地方网信部门职责:统筹协调、监督管理;
地方网信部门职责范围:行政区内;
第四条 运营者在发生网络安全事件时,应当及时启动应急预案进行处置。按照《网络安全事件分级指南》,属于较大、重大或特别重大网络安全事件的,应当于1小时内进行报告。
网络和系统归属中央和国家机关各部门及其管理的企事业单位的,运营者应当向本部门网信工作机构报告。属于重大、特别重大网络安全事件的,各部门网信工作机构在收到报告后应当于1小时内向国家网信部门报告。
网络和系统为关键信息基础设施的,运营者应当向保护工作部门、公安机关报告。属于重大、特别重大网络安全事件的,保护工作部门在收到报告后,应当于1小时内向国家网信部门、国务院公安部门报告。
其他网络和系统运营者应当向属地网信部门报告。属于重大、特别重大网络安全事件的,属地网信部门在收到报告后,应当于1小时内逐级向上级网信部门报告。
有行业主管监管部门的,运营者还应当按照行业主管监管部门要求报告。
发现涉嫌犯罪的,运营者应当同时向公安机关报告。
关键词:应急预案、事件级别、时效、报告、报告级别;
要 点:
网络安全事件级别:较大、重大或特别重大;涉及重大或特别重大要求1小时内向指定部门报告;
主体:运营者;
运营者网络和系统归属分类:归属中央和国家机关各部门及其管理的企业事业单位、网络和系统为关键信息基础设施、其他网络和系统运营者;
有行业主管监管部门的:运营者还应当按照行业主管监管部门要求报告。
发现涉及犯罪的:运营者应当同时向公安机关报告。
对比分析:
对于运营者无论在网络和系统归属的单位级别,网络安全事件级别都是按照较大、重大或特别重大进行分类。对于较大的网络安全事件,如果不涉及行业主管监管部门,没有发生涉及犯罪的行为,直接向保护部门或直属单位进行报告,如果发生了重大或特别重大网络安全事件对运营主体报告的时效性及继续汇报的主体进行了明确要求,时效性要求1小时内、继续汇报主体(如:网络和系统归属中央和国家机关各部门及其管理的企事业单位的,各部门网信工作机构还需向国家网信部门报告;网络和系统为关键信息基础设施的,保护工作部门还需向国家网信部门、国务院公安部进行报告。相较于非关键信息基础设施,属于关键信息基础设施的发生重大或特别重大网络安全事件的,除向国家网信部门报告外,还需向国务院公安部门报告;涉及向公安机关报告的,还有在动作上发现涉及犯罪的,运营者也许向公安机关报告;对于其他网络和系统运营者如没有行业主管监管部门的,发生重大或特别重大的网络安全事件,属地网信部门应向上级网信部门报告;如其他网络和系统运营者有行业主管监管部门的,无论网络安全事件级别是较大、重大或特别重大的都需要向行业主管部门进行报告)。
第五条 运营者应当按照《网络安全事件信息报告表》报告事件,至少包括下列内容:
(一)事发单位名称及发生事件的设施、系统、平台的基本情况;
(二)事件发现或发生时间、地点、事件类型、已造成的影响和危害,已采取的措施及效果。对勒索软件攻击事件,还应当包括要求支付赎金的金额、方式、日期等;
(三)事态发展趋势及可能进一步造成的影响和危害;
(四)初步分析的事件原因;
(五)进一步调查分析所需的线索,包括可能的攻击者信息、攻击路径、存在的漏洞等;
(六)拟进一步采取的应对措施以及请求支援事项;
(七)事件现场的保护情况;
(八)其他应当报告的情况。
关键词:报告表、事件、内容;
要 点:
报告事件参照:《网络安全事件信息报告表》;
内容要点:事业单位基本信息、事件发生的影响与威胁、已采取的措施、勒索软件攻击事件的描述、事态的发展趋势、事件原因、线索诉求、支援诉求、现场等保护情况;
分 析:
明确运营者报告事件时的参照与依托(即:《网络安全事件信息报告表》);在《网络安全事件信息报告》涉及内容中,可分为基本信息内容、已采取的措施、发展态势、需要的帮助,具体如下:
基本信息层面:事发单位的基本信息、事件发生的基本信息、勒索软件攻击的基本信息、事件现场保护的基本信息等;
已采取措施层面:针对发生的网络安全事件已采取的措施;
发展态势层面:事态趋势及可能进一步造成的影响和危害;
需要的帮助层面:进步调查分析所需要的帮助、进一步采取措施所需要的帮助;
第六条 对于1小时内不能判定事发原因、影响或趋势等的,可先报告第五条第一项、第二项内容,其他情况于24小时内补报。
事件报告后出现新的重要情况或调查取得阶段性进展,相关单位应当及时报告。
关键词:缓冲、补报、及时;
要 点:
主要条件:1小时内不能判定;
不能判定的要点:事发原因、影响、趋势等;
报告遵循:符合上述条件的,事发单位基本情况、发生事件基本情况、事件发生基本情况、已采取的措施、勒索软件攻击基本情况;(参照第五条第一项、第二项);
动态变化需要及时报告:前置条件(事件报告后)、动态变化(重要情况进展、调查取得阶段性进展);
分 析:
此条保障了运营者发生网络安全事件无法按照内容全部要求进行上报,从另外一个角度出发,也是保证网络安全事件及时上报的一种方法。可先将基本情况进行上报,让主管、监管单位第一时间知悉,后续可按照要求进行动态补充,此条既保证了上报的及时性,也给运营者留有了缓冲空间;
第七条 事件处置结束后,运营者应当于5个工作日内对事件原因、应急处置措施、危害、责任处理、整改情况、教训等进行全面分析总结,形成报告按照原渠道上报。
关键词:结束、分析、总结、时效、上报;
要 点:
前置条件:事件处置结束后;
时 效:5个工作内形成报告;
总结报告内容:事件原因、应急处置措施、危害、责任处理、整改情况、教训等
分 析:
对运营者事件处置结束后进行要求,明确需要对事件进行总结分析,并及时进行上报,形成经验教训,避免再次发生;
第八条 为运营者提供服务的组织或个人发现运营者发生较大、重大或特别重大网络安全事件时,应当提醒运营者按照本办法规定报告事件,运营者有意隐瞒或拒不报告的,可向属地网信部门或国家网信部门报告。
关键词:监督、隐瞒、报告;
要 点:
前置条件:发现运营者发生较大、重大或特别重大网络安全事件;
前置条件监督主体:提供服务的组织、个人;
前置条件被监督主体:运营者;
监督主体义务:提醒运营者按照本办法规定报告事件;向属地网信部门或国家网信部门报告;
被监督主体义务:按照本办法报告事件;
分 析:
本条加强提供服务的组织、个人对运营者的监督,约束运营者按照本办法报告事件,强化对运营者的约束,保障网络安全事件及时上报;
第九条 鼓励社会组织和个人向网信部门报告较大、重大或特别重大网络安全事件。
关键词:鼓励、社会组织、个人、报告、安全事件;
要 点:
主体:社会组织、个人;
要求:鼓励;
动作:报告;
事件:较大、重大或特别重大网络安全事件;
分 析:
加强对网络安全事件上报力度,鼓励社会力量向网信部门报告网络安全事件;
第十条 运营者未按照本办法规定报告网络安全事件的,网信部门按照有关法律、行政法规的规定进行处罚。
因运营者迟报、漏报、谎报或者瞒报网络安全事件,造成重大危害后果的,对运营者及有关责任人依法从重处罚。
有关部门未按照本办法规定报告网络安全事件的,由其上级机关责令改正,对直接负责的主管人员和其他直接责任人员依法给予处分。涉嫌犯罪的,依法追究刑事责任。
关键词:运营者、责任人、处罚、处分;
要 点:
处罚条件:未按照本办法规定报告的;漏报、迟报、谎报、瞒报造成危害的;
处罚对象:运营者、有关责任人;
处分对象:直接负责的主管人员、其他直接责任人员;
第十一条 发生网络安全事件时,运营者已采取合理必要的防护措施,按照本办法规定主动报告,同时按照预案有关程序进行处置、尽最大努力降低事件影响,可视情免除或从轻追究运营者及有关责任人的责任。
关键词:合理必要、防护措施、主动报告、免除、从轻;
要 点:
约束前置条件:发生网络安全事件时;
免除或从轻追究责任的前置条件(需同时满足):采取合理必要的防护措施、按照本办法主动上报、按照预案有关程序进行处置、尽最大努力降低事件影响;
分 析:
网络安全事件是随机的、动态的、不确定的,尽管按照要求做了防护等措施,但仍然后发生网络安全事件的可能,没有绝对安全的地带。因此,本条将要求的硬条件与人性的软要求进行结合,将硬性要求合理化,符合人性要求;只要运营者按照要求进行了防护、主动上报、预案处置、降低影响等工作,可以免除或从轻追究运营者及有关责任人的责任;
第十二条 本办法所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或其中的数据造成危害,对社会造成负面影响的事件。
第十三条 涉及国家秘密的网络安全事件报告,按照有关部门规定执行。
第十四条 本办法自 年 月 日起施行。
