案例 | 网络安全管理不到位，四川多家单位被处罚！ - 新鲜讯息

近日，四川省互联网信息办公室“网信四川”公布了一批因网络安全管理不到位被处罚的案例。

案例一

我省某医院遭受网络攻击，造成全院系统瘫痪。公安机关迅速调集技术力量赶赴现场，指导相关单位开展事件调查和应急处置工作。经调查发现，该医院未制定内部安全管理制度和操作流程，未确定网络安全负责人，未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施，导致被黑客攻击造成系统瘫痪。公安机关根据《中华人民共和国网络安全法》第二十一条和五十九条之规定，对该院处以责令改正并警告的行政处罚。

案例二

我省某单位互联网门户网站被攻击篡改，公安机关第一时间督促采取应急处置措施，并立案对该单位遭受攻击事件开展调查，通过工作发现，该单位信息系统未按规定设立防火墙，未安装网络流量监测软件，未记录网站访问日志，未采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施，网站建设完成至今，未更新安全策略、未落实等级测评等安全防护措施。公安机关根据《中华人民共和国网络安全法》第二十一条、第五十九条之规定对负有主体责任的该单位作出罚款1万元，对直接责任人作出罚款5千元的行政处罚；对托管单位某公司作出罚款1万元、对直接责任人作出罚款5千元的行政处罚。

案情延伸

部分单位在信息化建设和应用中，存在“重应用，轻防护”的思想，对网络安全工作不重视、安全防护意识淡薄，未严格按照法律要求履行网络安全主体责任，存在较大安全隐患和漏洞被黑客利用进行攻击，导致部分信息系统或数据遭到破坏。公安机关通过开展“一案双查”，对于相关单位未履行安全管理义务情况开展调查并给予行政处罚，倒逼单位主动整改，切实履行网络安全保护义务。

相关法律法规

《中华人民共和国网络安全法》第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。

第五十九条网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

来源：网信四川