今日頭條
官方微信
官方抖音
資訊頻道12月24日上午,十二屆全國(guó)人大常委會(huì)例會(huì)聽(tīng)取關(guān)于檢查網(wǎng)絡(luò)安全法、加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定實(shí)施情況的報(bào)告。小編特地整理部分內(nèi)容,和大家及時(shí)分享!
全國(guó)人大常委會(huì)高度重視網(wǎng)絡(luò)安全工作,2012年12月審議通過(guò)《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》,2016年11月審議通過(guò)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》(以下簡(jiǎn)稱(chēng)“一法一決定”)。根據(jù)2017年監(jiān)督工作計(jì)劃,全國(guó)人大常委會(huì)執(zhí)法檢查組于2017年8月至10月對(duì)“一法一決定”的實(shí)施情況進(jìn)行了檢查。
這次執(zhí)法檢查的五個(gè)重點(diǎn):一是開(kāi)展法律宣傳教育的情況;二是制定配套法規(guī)規(guī)章的情況;三是強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)及落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的情況;四是治理網(wǎng)絡(luò)違法違規(guī)信息,維護(hù)網(wǎng)絡(luò)空間良好生態(tài)的情況;五是落實(shí)公民個(gè)人信息保護(hù)制度,查處侵犯公民個(gè)人信息及相關(guān)違法犯罪的情況。
提升安全防范能力,著力保障網(wǎng)絡(luò)運(yùn)行安全
一是強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)。2016年,國(guó)家互聯(lián)網(wǎng)信息辦公室等部門(mén)組織開(kāi)展了關(guān)鍵信息基礎(chǔ)設(shè)施摸底排查工作,對(duì)1.1萬(wàn)個(gè)重要信息系統(tǒng)安全運(yùn)行狀況進(jìn)行抽查和技術(shù)檢測(cè),完成了對(duì)金融、能源、通信、交通、廣電、教育、醫(yī)療、社保等多個(gè)重點(diǎn)行業(yè)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估,提出整改建議4000余條。二是開(kāi)展網(wǎng)絡(luò)基礎(chǔ)設(shè)施防護(hù)工作。工業(yè)和信息化部開(kāi)展了網(wǎng)絡(luò)基礎(chǔ)設(shè)施摸底工作,全面梳理網(wǎng)絡(luò)設(shè)施和信息系統(tǒng),目前全行業(yè)共確定關(guān)鍵網(wǎng)絡(luò)設(shè)施和重要信息系統(tǒng)11590個(gè)。2017年以來(lái),監(jiān)督抽查重點(diǎn)網(wǎng)絡(luò)系統(tǒng)和工業(yè)控制系統(tǒng)900余個(gè),通知整改漏洞78980個(gè)。三是深入推進(jìn)網(wǎng)絡(luò)安全等級(jí)保護(hù)。已累計(jì)受理備案14萬(wàn)個(gè)信息系統(tǒng),其中三級(jí)以上重要信息系統(tǒng)1.7萬(wàn)個(gè),基本涵蓋了所有關(guān)鍵信息基礎(chǔ)設(shè)施。同時(shí),對(duì)納入等級(jí)保護(hù)的信息系統(tǒng)開(kāi)展常態(tài)化檢查,近年來(lái)累計(jì)發(fā)現(xiàn)整改各類(lèi)安全漏洞近40萬(wàn)個(gè)。四是建立通報(bào)預(yù)警機(jī)制。公安部牽頭建立了國(guó)家網(wǎng)絡(luò)安全通報(bào)預(yù)警機(jī)制,通報(bào)范圍已覆蓋100個(gè)中央黨政軍機(jī)構(gòu)、101家央企、31個(gè)省(區(qū)、市)和新疆生產(chǎn)建設(shè)兵團(tuán),各地也都建立了網(wǎng)絡(luò)安全與信息安全通報(bào)機(jī)制,實(shí)時(shí)通報(bào)處置各類(lèi)隱患漏洞。教育部建立了教育系統(tǒng)重要網(wǎng)站和信息系統(tǒng)安全監(jiān)測(cè)預(yù)警機(jī)制,已累計(jì)通報(bào)處置安全威脅3.5萬(wàn)個(gè)。五是積極開(kāi)展網(wǎng)絡(luò)安全協(xié)調(diào)聯(lián)動(dòng)平臺(tái)建設(shè)。國(guó)家互聯(lián)網(wǎng)信息辦公室牽頭建立了關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)急技術(shù)支持和協(xié)助機(jī)制,不斷提升關(guān)鍵信息基礎(chǔ)設(shè)施整體應(yīng)急反應(yīng)能力、安全保障能力和協(xié)調(diào)聯(lián)動(dòng)能力。六是大力開(kāi)展網(wǎng)絡(luò)安全專(zhuān)項(xiàng)整治工作。公安部會(huì)同有關(guān)單位組織開(kāi)展了大型互聯(lián)網(wǎng)企業(yè)專(zhuān)項(xiàng)保衛(wèi)行動(dòng)、網(wǎng)站安全和互聯(lián)網(wǎng)電子郵件安全專(zhuān)項(xiàng)整治行動(dòng),發(fā)現(xiàn)整改了一批網(wǎng)絡(luò)安全深層次問(wèn)題和隱患。
加強(qiáng)個(gè)人信息保護(hù),打擊侵犯用戶(hù)信息安全違法犯罪
全面落實(shí)網(wǎng)絡(luò)接入(網(wǎng)站備案和域名/IP地址)、固定電話、移動(dòng)電話實(shí)名制辦理要求,凡用戶(hù)不提供真實(shí)信息的,運(yùn)營(yíng)者不再為其提供相關(guān)服務(wù)。五年來(lái),組織電信企業(yè)對(duì)3億多未實(shí)名的老用戶(hù)進(jìn)行補(bǔ)登記,對(duì)拒不補(bǔ)登記的1000余萬(wàn)用戶(hù)依法暫停提供服務(wù)。為確保用戶(hù)信息安全,有關(guān)部門(mén)指導(dǎo)各網(wǎng)絡(luò)運(yùn)營(yíng)單位進(jìn)一步強(qiáng)化了內(nèi)控管理制度,要求對(duì)批量導(dǎo)出、復(fù)制、銷(xiāo)毀信息等重大操作的申請(qǐng)、使用和有效期實(shí)行嚴(yán)格管理,從工作流程上防止用戶(hù)信息的批量泄露。
工作中存在的困難和問(wèn)題
從檢查情況看,各地在貫徹實(shí)施“一法一決定”、維護(hù)網(wǎng)絡(luò)安全方面還存在一些困難和問(wèn)題。
(一)網(wǎng)絡(luò)安全意識(shí)亟待增強(qiáng)
許多關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)單位對(duì)網(wǎng)絡(luò)安全的重要性認(rèn)識(shí)不到位,認(rèn)為受到網(wǎng)絡(luò)攻擊只是小概率事件,對(duì)可能受到的網(wǎng)絡(luò)攻擊的危害性缺乏認(rèn)知。在信息化方面“重建設(shè)、輕安全;重使用、輕防護(hù)”,缺乏主動(dòng)防御意識(shí),不愿在安全防護(hù)方面進(jìn)行必要投入;在處理業(yè)務(wù)信息系統(tǒng)可用性和安全性的關(guān)系時(shí),往往更重視可用性,在二者有沖突時(shí),往往會(huì)降低安全性要求。不少地方政府和部門(mén)領(lǐng)導(dǎo)干部不能從國(guó)家安全的高度認(rèn)識(shí)網(wǎng)絡(luò)安全,沒(méi)有把網(wǎng)絡(luò)安全工作列入本級(jí)政府和部門(mén)工作重要議程,或者只是口頭上重視,“說(shuō)起來(lái)重要,干起來(lái)次要,忙起來(lái)不要”。
(二)網(wǎng)絡(luò)安全基礎(chǔ)建設(shè)總體薄弱
一是網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)建設(shè)滯后。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)具有很強(qiáng)的隱蔽性,感知安全態(tài)勢(shì)是做好網(wǎng)絡(luò)安全最基本最基礎(chǔ)的工作。維護(hù)網(wǎng)絡(luò)安全,首先要知道風(fēng)險(xiǎn)在哪里,是什么樣的風(fēng)險(xiǎn),什么時(shí)候發(fā)生風(fēng)險(xiǎn)。但不少省份尚未啟動(dòng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)建設(shè),不能實(shí)現(xiàn)對(duì)重要信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的全天候?qū)崟r(shí)、動(dòng)態(tài)監(jiān)測(cè)。二是容災(zāi)備份體系建設(shè)總體滯后。不少關(guān)系國(guó)計(jì)民生的關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)單位沒(méi)有按照法律規(guī)定對(duì)重要數(shù)據(jù)進(jìn)行異地容災(zāi)備份,而僅僅采取了一些簡(jiǎn)單的數(shù)據(jù)備份措施,有的甚至尚未進(jìn)行過(guò)容災(zāi)備份,不能有效應(yīng)對(duì)重大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。在有些省份,多數(shù)重要信息系統(tǒng)未按法律要求進(jìn)行異地容災(zāi)備份。三是重要工業(yè)控制企業(yè)的設(shè)備和控制系統(tǒng)國(guó)產(chǎn)化程度有待提高。一些重要工控企業(yè)對(duì)外國(guó)技術(shù)依賴(lài)嚴(yán)重,不僅生產(chǎn)控制系統(tǒng)由國(guó)外公司建設(shè),配套的網(wǎng)絡(luò)及安全設(shè)備也采用國(guó)外產(chǎn)品,網(wǎng)絡(luò)及安全設(shè)備的配置由外方人員操控,企業(yè)內(nèi)部人員甚至不掌握安全設(shè)備配置和管理權(quán)限。在有的省份,重要工控企業(yè)的生產(chǎn)控制系統(tǒng)國(guó)產(chǎn)化率不足20%。四是應(yīng)急預(yù)案流于形式。有的網(wǎng)絡(luò)安全應(yīng)急預(yù)案?jìng)?cè)重于設(shè)備設(shè)施障礙的排除,針對(duì)網(wǎng)絡(luò)攻擊、信息泄露等網(wǎng)絡(luò)空間安全事件的內(nèi)容較少;有的應(yīng)急預(yù)案缺乏可操作性;有的應(yīng)急預(yù)案長(zhǎng)期未修訂,已不能應(yīng)對(duì)當(dāng)下的網(wǎng)絡(luò)安全事件;許多單位由于應(yīng)急演練相關(guān)條件不足,未真正舉行過(guò)應(yīng)急演練;不少地方和行業(yè)用于解決網(wǎng)絡(luò)安全問(wèn)題的經(jīng)費(fèi)不足,發(fā)現(xiàn)了問(wèn)題后,往往因經(jīng)費(fèi)缺乏不能及時(shí)解決。
(三)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和隱患突出
為了解網(wǎng)絡(luò)運(yùn)行情況,執(zhí)法檢查組委托中國(guó)信息安全測(cè)評(píng)中心對(duì)隨機(jī)選取的120個(gè)關(guān)鍵信息基礎(chǔ)設(shè)施(60個(gè)門(mén)戶(hù)網(wǎng)站和60個(gè)業(yè)務(wù)系統(tǒng))進(jìn)行了遠(yuǎn)程滲透測(cè)試和漏洞掃描。該中心出具的報(bào)告顯示,本次遠(yuǎn)程測(cè)試的120個(gè)關(guān)鍵信息基礎(chǔ)設(shè)施中,共存在30個(gè)安全漏洞,包括高危漏洞13個(gè),其中某省級(jí)部門(mén)互聯(lián)網(wǎng)監(jiān)管綜合平臺(tái)存在越權(quán)上傳、越權(quán)下載、越權(quán)刪除文件等3個(gè)高危漏洞,嚴(yán)重威脅了系統(tǒng)及服務(wù)器安全,也存在嚴(yán)重的用戶(hù)信息泄露風(fēng)險(xiǎn)。遠(yuǎn)程檢測(cè)還發(fā)現(xiàn),多個(gè)設(shè)區(qū)的市政府門(mén)戶(hù)網(wǎng)站存在頁(yè)面被篡改風(fēng)險(xiǎn)。執(zhí)法檢查組現(xiàn)場(chǎng)抽查時(shí)發(fā)現(xiàn),許多單位沒(méi)有依照法律規(guī)定留存網(wǎng)絡(luò)日志,這可能導(dǎo)致發(fā)生網(wǎng)絡(luò)安全事件時(shí)無(wú)法及時(shí)進(jìn)行追溯和處置;有的單位從未對(duì)重要信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估,對(duì)可能面臨的網(wǎng)絡(luò)安全態(tài)勢(shì)缺乏認(rèn)知。檢查還發(fā)現(xiàn),在許多單位,內(nèi)網(wǎng)和專(zhuān)網(wǎng)安全建設(shè)沒(méi)有引起足夠重視,有的單位對(duì)內(nèi)網(wǎng)系統(tǒng)未部署任何安全防護(hù)設(shè)施,長(zhǎng)期不進(jìn)行漏洞掃描,存在重大網(wǎng)絡(luò)安全隱患。隨著各地區(qū)各領(lǐng)域信息化建設(shè)的推進(jìn),各行業(yè)各領(lǐng)域數(shù)據(jù)化、在線化、遠(yuǎn)程化趨勢(shì)更加明顯,對(duì)網(wǎng)絡(luò)安全提出了更高要求。
(四)用戶(hù)個(gè)人信息保護(hù)工作形勢(shì)嚴(yán)峻
“萬(wàn)人調(diào)查報(bào)告”顯示,“一法一決定”關(guān)于用戶(hù)個(gè)人信息保護(hù)的多項(xiàng)制度落實(shí)得并不理想,有52.5%的人認(rèn)為執(zhí)法部門(mén)保護(hù)用戶(hù)信息的成效一般或者不好,不少人反映,在發(fā)現(xiàn)本人信息被泄露或者被濫用后,舉報(bào)難、投訴難、立案難現(xiàn)象比較普遍。許多受訪者反映,當(dāng)前免費(fèi)應(yīng)用程序普遍存在過(guò)度收集用戶(hù)信息、侵犯?jìng)€(gè)人隱私問(wèn)題,但幾乎沒(méi)有受到任何監(jiān)管和依法懲處。檢查發(fā)現(xiàn),有的互聯(lián)網(wǎng)公司和公共服務(wù)部門(mén)存儲(chǔ)了大量公民個(gè)人信息,但安防技術(shù)嚴(yán)重滯后,容易被不法分子竊取和盜用。一些單位內(nèi)控制度不完善或不落實(shí),少數(shù)“內(nèi)鬼”為牟取不法利益鋌而走險(xiǎn),致使用戶(hù)信息大批量泄露。當(dāng)前在一些地方,利用網(wǎng)絡(luò)非法采集、竊取、販賣(mài)和利用用戶(hù)信息已形成黑色產(chǎn)業(yè)鏈。
(五)網(wǎng)絡(luò)安全執(zhí)法體制有待進(jìn)一步理順
網(wǎng)絡(luò)安全監(jiān)管“九龍治水”現(xiàn)象仍然存在,權(quán)責(zé)不清、各自為戰(zhàn)、執(zhí)法推諉、效率低下等問(wèn)題尚未有效解決,法律賦予網(wǎng)信部門(mén)的統(tǒng)籌協(xié)調(diào)職能履行不夠順暢。一些地方網(wǎng)絡(luò)信息安全多頭管理問(wèn)題比較突出,但在發(fā)生信息泄露、濫用用戶(hù)個(gè)人信息等信息安全事件后,用戶(hù)又經(jīng)常遇到投訴無(wú)門(mén)、部門(mén)之間推諉扯皮的問(wèn)題。
(六)網(wǎng)絡(luò)安全法配套法規(guī)有待完善
不少單位反映,作為網(wǎng)絡(luò)安全管理方面的基礎(chǔ)性法律,網(wǎng)絡(luò)安全法不少內(nèi)容還只是原則性規(guī)定,真正“落地”還有賴(lài)于配套制度的完善。
(七)網(wǎng)絡(luò)安全人才短缺
幾點(diǎn)建議
根據(jù)檢查情況,檢查組對(duì)進(jìn)一步貫徹實(shí)施“一法一決定”提出以下建議。
(一)進(jìn)一步提高對(duì)網(wǎng)絡(luò)安全重要性的認(rèn)識(shí)
(二)正確處理安全和發(fā)展的關(guān)系
要按照網(wǎng)絡(luò)安全法“堅(jiān)持網(wǎng)絡(luò)安全與信息化發(fā)展并重”的要求,堅(jiān)持一手抓網(wǎng)絡(luò)和信息化發(fā)展,一手抓網(wǎng)絡(luò)安全,“兩手抓,兩手都要硬”。
(三)加快完善網(wǎng)絡(luò)安全法配套法規(guī)規(guī)章
(四)著力提升網(wǎng)絡(luò)安全防護(hù)能力
(五)進(jìn)一步加大用戶(hù)個(gè)人信息保護(hù)力度
(六)強(qiáng)化網(wǎng)絡(luò)安全工作統(tǒng)籌協(xié)調(diào)
要落實(shí)網(wǎng)絡(luò)安全法相關(guān)規(guī)定,加強(qiáng)網(wǎng)絡(luò)安全執(zhí)法隊(duì)伍和執(zhí)法能力建設(shè),強(qiáng)化網(wǎng)信部門(mén)的統(tǒng)籌協(xié)調(diào)職責(zé),明確各職能部門(mén)的權(quán)責(zé)界限和接口,形成網(wǎng)信、工信、公安、保密等各部門(mén)協(xié)調(diào)聯(lián)動(dòng)機(jī)制,既要防止職能交叉、多頭管理,又要避免執(zhí)法推責(zé)、管理空白,不斷提高執(zhí)法效率,有效維護(hù)網(wǎng)絡(luò)空間的安全。
(七)加快網(wǎng)絡(luò)安全人才隊(duì)伍建設(shè)
北京市公安局海淀分局備案號(hào):11010802023656號(hào)