12月8日,为规范 网络安全 事件的报告,减少 网络安全 事件造成的损失和危害,维护国家 网络安全 ,国家互联网信息办公室发布了《 网络安全 事件报告管理办法(征求建议稿)》(以下简称《管理办法》),并向社会公开征求建议。
其中提到,运营者在发生 网络安全 事件时,应当及时启动应急预案进行处置。根据《 网络安全 事件分级指南》,属于较大、重大或特别重大 网络安全 事件的,应当于1小时内进行报告。
此前,对于 网络安全 事件报告制度已在多部法律法规和政策文件中有所提及。《 网络安全 法》第贰十五条规定:网络运营者在发生危害 网络安全 的事情时,立即启动应急预案,采取相应的补救措施,并根据规定向有关主管部门报告;《国家 网络安全 事件应急预案》则要求, 网络安全 事件发生后,事发单位应立即启动应急预案,实施处置并及时报送信息……对于初判为特别重大、重大 网络安全 事件的,立即报告应急办。
在报告对象方面,《管理办法》指出,网络和系统归属中央和国家机关各部门及其管理的企事业单位的,运营者应当向本部门网信工作机构报告。属于重大、特别重大 网络安全 事件的,各部门网信工作机构在收到报告后应当于1小时内向国家网信部门报告。
网络和系统为关键信息基础设施的,运营者应当向保护工作部门、公安机关报告。属于重大、特别重大 网络安全 事件的,保护工作部门在收到报告后,应当于1小时内向国家网信部门、国务院公安部门报告。
其它网络和系统运营者应当向属地网信部门报告。属于重大、特别重大 网络安全 事件的,属地网信部门在收到报告后,应当于1小时内逐级向上级网信部门报告。
另外,有行业主管监管职能部门的,运营者还应当根据行业主管监管职能部门要求报告。发现涉嫌犯罪的,运营者应当同时向公安机关报告。
对于未根据规定报告 网络安全 事件的,《管理办法》中表示网信部门根据相关法律、行政法规的规定进行处罚。其中,因运营者迟报、漏报、谎报或隐匿上报 网络安全 事件,造成重大危害后果的,对运营者及相关责任人依法从重处罚。
另一方面,对于已根据相关要求进行 网络安全 防护和报告的运营者,《管理办法》也给出了发生 网络安全 事件之后的责任豁免与减轻条件。其第十一条指出,发生 网络安全 事件时,运营者已采取合理必要的防护安全措施,根据本办法规定主动报告,同时根据预案有关程序进行处置、尽最大努力降低事件影响,可视情免去或从轻追究运营者及相关责任人的责任。
“此前很多网络和系统运营者在发生 网络安全 事件后,出于侥幸心理、害怕监管处罚或影响商誉等原因,往往不愿意主动进行报告,选择漏报、谎报、隐匿上报、避重就轻报告,这对安全事件的及时处理和后果评估是非常不利的。”南京某 网络安全 行业从业者在与记者交流时表示,《管理办法》从失职处罚和责任豁免两个角度明确了相关报告行为的处理原则,有助于进一步提高 网络安全 事件报告的及时性和准确性。