今日頭條
官方微信
官方抖音
資訊頻道12月24日上午,十二屆全國人大常委會例會聽取關于檢查網絡安全法、加強網絡信息保護的決定實施情況的報告。小編特地整理部分內容,和大家及時分享!
全國人大常委會高度重視網絡安全工作,2012年12月審議通過《全國人民代表大會常務委員會關于加強網絡信息保護的決定》,2016年11月審議通過《中華人民共和國網絡安全法》(以下簡稱“一法一決定”)。根據2017年監(jiān)督工作計劃,全國人大常委會執(zhí)法檢查組于2017年8月至10月對“一法一決定”的實施情況進行了檢查。
這次執(zhí)法檢查的五個重點:一是開展法律宣傳教育的情況;二是制定配套法規(guī)規(guī)章的情況;三是強化關鍵信息基礎設施保護及落實網絡安全等級保護制度的情況;四是治理網絡違法違規(guī)信息,維護網絡空間良好生態(tài)的情況;五是落實公民個人信息保護制度,查處侵犯公民個人信息及相關違法犯罪的情況。
提升安全防范能力,著力保障網絡運行安全
一是強化關鍵信息基礎設施防護。2016年,國家互聯(lián)網信息辦公室等部門組織開展了關鍵信息基礎設施摸底排查工作,對1.1萬個重要信息系統(tǒng)安全運行狀況進行抽查和技術檢測,完成了對金融、能源、通信、交通、廣電、教育、醫(yī)療、社保等多個重點行業(yè)的網絡安全風險評估,提出整改建議4000余條。二是開展網絡基礎設施防護工作。工業(yè)和信息化部開展了網絡基礎設施摸底工作,全面梳理網絡設施和信息系統(tǒng),目前全行業(yè)共確定關鍵網絡設施和重要信息系統(tǒng)11590個。2017年以來,監(jiān)督抽查重點網絡系統(tǒng)和工業(yè)控制系統(tǒng)900余個,通知整改漏洞78980個。三是深入推進網絡安全等級保護。已累計受理備案14萬個信息系統(tǒng),其中三級以上重要信息系統(tǒng)1.7萬個,基本涵蓋了所有關鍵信息基礎設施。同時,對納入等級保護的信息系統(tǒng)開展常態(tài)化檢查,近年來累計發(fā)現(xiàn)整改各類安全漏洞近40萬個。四是建立通報預警機制。公安部牽頭建立了國家網絡安全通報預警機制,通報范圍已覆蓋100個中央黨政軍機構、101家央企、31個省(區(qū)、市)和新疆生產建設兵團,各地也都建立了網絡安全與信息安全通報機制,實時通報處置各類隱患漏洞。教育部建立了教育系統(tǒng)重要網站和信息系統(tǒng)安全監(jiān)測預警機制,已累計通報處置安全威脅3.5萬個。五是積極開展網絡安全協(xié)調聯(lián)動平臺建設。國家互聯(lián)網信息辦公室牽頭建立了關鍵信息基礎設施應急技術支持和協(xié)助機制,不斷提升關鍵信息基礎設施整體應急反應能力、安全保障能力和協(xié)調聯(lián)動能力。六是大力開展網絡安全專項整治工作。公安部會同有關單位組織開展了大型互聯(lián)網企業(yè)專項保衛(wèi)行動、網站安全和互聯(lián)網電子郵件安全專項整治行動,發(fā)現(xiàn)整改了一批網絡安全深層次問題和隱患。
加強個人信息保護,打擊侵犯用戶信息安全違法犯罪
全面落實網絡接入(網站備案和域名/IP地址)、固定電話、移動電話實名制辦理要求,凡用戶不提供真實信息的,運營者不再為其提供相關服務。五年來,組織電信企業(yè)對3億多未實名的老用戶進行補登記,對拒不補登記的1000余萬用戶依法暫停提供服務。為確保用戶信息安全,有關部門指導各網絡運營單位進一步強化了內控管理制度,要求對批量導出、復制、銷毀信息等重大操作的申請、使用和有效期實行嚴格管理,從工作流程上防止用戶信息的批量泄露。
工作中存在的困難和問題
從檢查情況看,各地在貫徹實施“一法一決定”、維護網絡安全方面還存在一些困難和問題。
(一)網絡安全意識亟待增強
許多關鍵信息基礎設施運營單位對網絡安全的重要性認識不到位,認為受到網絡攻擊只是小概率事件,對可能受到的網絡攻擊的危害性缺乏認知。在信息化方面“重建設、輕安全;重使用、輕防護”,缺乏主動防御意識,不愿在安全防護方面進行必要投入;在處理業(yè)務信息系統(tǒng)可用性和安全性的關系時,往往更重視可用性,在二者有沖突時,往往會降低安全性要求。不少地方政府和部門領導干部不能從國家安全的高度認識網絡安全,沒有把網絡安全工作列入本級政府和部門工作重要議程,或者只是口頭上重視,“說起來重要,干起來次要,忙起來不要”。
(二)網絡安全基礎建設總體薄弱
一是網絡安全態(tài)勢感知平臺建設滯后。網絡安全風險具有很強的隱蔽性,感知安全態(tài)勢是做好網絡安全最基本最基礎的工作。維護網絡安全,首先要知道風險在哪里,是什么樣的風險,什么時候發(fā)生風險。但不少省份尚未啟動網絡安全態(tài)勢感知平臺建設,不能實現(xiàn)對重要信息系統(tǒng)網絡安全風險的全天候實時、動態(tài)監(jiān)測。二是容災備份體系建設總體滯后。不少關系國計民生的關鍵信息基礎設施運營單位沒有按照法律規(guī)定對重要數據進行異地容災備份,而僅僅采取了一些簡單的數據備份措施,有的甚至尚未進行過容災備份,不能有效應對重大網絡安全風險。在有些省份,多數重要信息系統(tǒng)未按法律要求進行異地容災備份。三是重要工業(yè)控制企業(yè)的設備和控制系統(tǒng)國產化程度有待提高。一些重要工控企業(yè)對外國技術依賴嚴重,不僅生產控制系統(tǒng)由國外公司建設,配套的網絡及安全設備也采用國外產品,網絡及安全設備的配置由外方人員操控,企業(yè)內部人員甚至不掌握安全設備配置和管理權限。在有的省份,重要工控企業(yè)的生產控制系統(tǒng)國產化率不足20%。四是應急預案流于形式。有的網絡安全應急預案側重于設備設施障礙的排除,針對網絡攻擊、信息泄露等網絡空間安全事件的內容較少;有的應急預案缺乏可操作性;有的應急預案長期未修訂,已不能應對當下的網絡安全事件;許多單位由于應急演練相關條件不足,未真正舉行過應急演練;不少地方和行業(yè)用于解決網絡安全問題的經費不足,發(fā)現(xiàn)了問題后,往往因經費缺乏不能及時解決。
(三)網絡安全風險和隱患突出
為了解網絡運行情況,執(zhí)法檢查組委托中國信息安全測評中心對隨機選取的120個關鍵信息基礎設施(60個門戶網站和60個業(yè)務系統(tǒng))進行了遠程滲透測試和漏洞掃描。該中心出具的報告顯示,本次遠程測試的120個關鍵信息基礎設施中,共存在30個安全漏洞,包括高危漏洞13個,其中某省級部門互聯(lián)網監(jiān)管綜合平臺存在越權上傳、越權下載、越權刪除文件等3個高危漏洞,嚴重威脅了系統(tǒng)及服務器安全,也存在嚴重的用戶信息泄露風險。遠程檢測還發(fā)現(xiàn),多個設區(qū)的市政府門戶網站存在頁面被篡改風險。執(zhí)法檢查組現(xiàn)場抽查時發(fā)現(xiàn),許多單位沒有依照法律規(guī)定留存網絡日志,這可能導致發(fā)生網絡安全事件時無法及時進行追溯和處置;有的單位從未對重要信息系統(tǒng)進行風險評估,對可能面臨的網絡安全態(tài)勢缺乏認知。檢查還發(fā)現(xiàn),在許多單位,內網和專網安全建設沒有引起足夠重視,有的單位對內網系統(tǒng)未部署任何安全防護設施,長期不進行漏洞掃描,存在重大網絡安全隱患。隨著各地區(qū)各領域信息化建設的推進,各行業(yè)各領域數據化、在線化、遠程化趨勢更加明顯,對網絡安全提出了更高要求。
(四)用戶個人信息保護工作形勢嚴峻
“萬人調查報告”顯示,“一法一決定”關于用戶個人信息保護的多項制度落實得并不理想,有52.5%的人認為執(zhí)法部門保護用戶信息的成效一般或者不好,不少人反映,在發(fā)現(xiàn)本人信息被泄露或者被濫用后,舉報難、投訴難、立案難現(xiàn)象比較普遍。許多受訪者反映,當前免費應用程序普遍存在過度收集用戶信息、侵犯個人隱私問題,但幾乎沒有受到任何監(jiān)管和依法懲處。檢查發(fā)現(xiàn),有的互聯(lián)網公司和公共服務部門存儲了大量公民個人信息,但安防技術嚴重滯后,容易被不法分子竊取和盜用。一些單位內控制度不完善或不落實,少數“內鬼”為牟取不法利益鋌而走險,致使用戶信息大批量泄露。當前在一些地方,利用網絡非法采集、竊取、販賣和利用用戶信息已形成黑色產業(yè)鏈。
(五)網絡安全執(zhí)法體制有待進一步理順
網絡安全監(jiān)管“九龍治水”現(xiàn)象仍然存在,權責不清、各自為戰(zhàn)、執(zhí)法推諉、效率低下等問題尚未有效解決,法律賦予網信部門的統(tǒng)籌協(xié)調職能履行不夠順暢。一些地方網絡信息安全多頭管理問題比較突出,但在發(fā)生信息泄露、濫用用戶個人信息等信息安全事件后,用戶又經常遇到投訴無門、部門之間推諉扯皮的問題。
(六)網絡安全法配套法規(guī)有待完善
不少單位反映,作為網絡安全管理方面的基礎性法律,網絡安全法不少內容還只是原則性規(guī)定,真正“落地”還有賴于配套制度的完善。
(七)網絡安全人才短缺
幾點建議
根據檢查情況,檢查組對進一步貫徹實施“一法一決定”提出以下建議。
(一)進一步提高對網絡安全重要性的認識
(二)正確處理安全和發(fā)展的關系
要按照網絡安全法“堅持網絡安全與信息化發(fā)展并重”的要求,堅持一手抓網絡和信息化發(fā)展,一手抓網絡安全,“兩手抓,兩手都要硬”。
(三)加快完善網絡安全法配套法規(guī)規(guī)章
(四)著力提升網絡安全防護能力
(五)進一步加大用戶個人信息保護力度
(六)強化網絡安全工作統(tǒng)籌協(xié)調
要落實網絡安全法相關規(guī)定,加強網絡安全執(zhí)法隊伍和執(zhí)法能力建設,強化網信部門的統(tǒng)籌協(xié)調職責,明確各職能部門的權責界限和接口,形成網信、工信、公安、保密等各部門協(xié)調聯(lián)動機制,既要防止職能交叉、多頭管理,又要避免執(zhí)法推責、管理空白,不斷提高執(zhí)法效率,有效維護網絡空間的安全。
(七)加快網絡安全人才隊伍建設
北京市公安局海淀分局備案號:11010802023656號