12月8日，为规范 网络安全 事件的报告，减少 网络安全 事件造成的损失和危害，维护国家 网络安全 ，国家互联网信息办公室发布了《 网络安全 事件报告管理办法（征求建议稿）》（以下简称《管理办法》），并向社会公开征求建议。

　　其中提到，运营者在发生 网络安全 事件时，应当及时启动应急预案进行处置。根据《 网络安全 事件分级指南》，属于较大、重大或特别重大 网络安全 事件的，应当于1小时内进行报告。

　　此前，对于 网络安全 事件报告制度已在多部法律法规和政策文件中有所提及。《 网络安全 法》第贰十五条规定：网络运营者在发生危害 网络安全 的事情时，立即启动应急预案，采取相应的补救措施，并根据规定向有关主管部门报告；《国家 网络安全 事件应急预案》则要求， 网络安全 事件发生后，事发单位应立即启动应急预案，实施处置并及时报送信息……对于初判为特别重大、重大 网络安全 事件的，立即报告应急办。

　　在报告对象方面，《管理办法》指出，网络和系统归属中央和国家机关各部门及其管理的企事业单位的，运营者应当向本部门网信工作机构报告。属于重大、特别重大 网络安全 事件的，各部门网信工作机构在收到报告后应当于1小时内向国家网信部门报告。

　　网络和系统为关键信息基础设施的，运营者应当向保护工作部门、公安机关报告。属于重大、特别重大 网络安全 事件的，保护工作部门在收到报告后，应当于1小时内向国家网信部门、国务院公安部门报告。

　　其它网络和系统运营者应当向属地网信部门报告。属于重大、特别重大 网络安全 事件的，属地网信部门在收到报告后，应当于1小时内逐级向上级网信部门报告。

　　另外，有行业主管监管职能部门的，运营者还应当根据行业主管监管职能部门要求报告。发现涉嫌犯罪的，运营者应当同时向公安机关报告。

　　对于未根据规定报告 网络安全 事件的，《管理办法》中表示网信部门根据相关法律、行政法规的规定进行处罚。其中，因运营者迟报、漏报、谎报或隐匿上报 网络安全 事件，造成重大危害后果的，对运营者及相关责任人依法从重处罚。

　　另一方面，对于已根据相关要求进行 网络安全 防护和报告的运营者，《管理办法》也给出了发生 网络安全 事件之后的责任豁免与减轻条件。其第十一条指出，发生 网络安全 事件时，运营者已采取合理必要的防护安全措施，根据本办法规定主动报告，同时根据预案有关程序进行处置、尽最大努力降低事件影响，可视情免去或从轻追究运营者及相关责任人的责任。

　　“此前很多网络和系统运营者在发生 网络安全 事件后，出于侥幸心理、害怕监管处罚或影响商誉等原因，往往不愿意主动进行报告，选择漏报、谎报、隐匿上报、避重就轻报告，这对安全事件的及时处理和后果评估是非常不利的。”南京某 网络安全 行业从业者在与记者交流时表示，《管理办法》从失职处罚和责任豁免两个角度明确了相关报告行为的处理原则，有助于进一步提高 网络安全 事件报告的及时性和准确性。