|
網絡安全納入央企考核硬指標!國企、政府、事業單位的IT系統基本上是很多領域和行業的關鍵信息基礎設施,關系到國計民生的正常穩定運轉,但是在另外一些人眼里,這些設施都是有極高價值的攻擊目標,一旦攻破防線,無論是讀取數據還是篡改內容,或是加密勒索,會產生極其惡劣和嚴重的后果。 安全防線不止需要高超的技術水平,也需要完善的管理制度。前不久,國務院國有資產監督管理委員會新修訂的《中央企業負責人經營業績考核辦法》(以下簡稱《辦法》)于2019年4月1日施行。《辦法》增加了一個全新的業績考核指標——網絡安全事件,以建立重大事項報告制度等為表現。這意味著央企從價值管理進入網絡安全管理的新階段,利潤不再是央企考核的惟一標準。 《辦法》中新修訂的第五章第三十四條: 建立重大事項報告制度。企業發生較大及以上生產安全責任事故和網絡安全事件、重大及以上突發環境事件、重大及以上質量事故、重大資產損失、重大法律糾紛案件、重大投融資和資產重組等,對經營業績產生重大影響的,應及時向國資委報告。 以及第六章第四十八條中關于如何處理和懲罰 企業法定代表人及相關負責人違反國家法律法規和規定,導致發生較大及以上生產安全責任事故和網絡安全事件、重大及以上突發環境事件、重大質量責任事故、重大違紀和法律糾紛案件、境外惡性競爭、偏離核定主業盲目投資等情形,造成重大不良影響或者國有資產損失的。 非常明確的一點是,此次考核的直接對象就是企業負責人。對于網絡安全的要求沒有說明,概要的說明一點:企業發生網絡安全事件需要及時向國資委進行報告,并且給予降級或者扣分處理,情節嚴重的,給予紀律處分或者對企業負責人進行調整等。這個處罰可以說相當嚴厲了,同時把網絡安全納入考核指標也體現了國家在這方面的決心。 總的來說,無論企業具體的網絡安全工作如何開展,避免發生網絡安全事件始終是核心。如何把握法律精神,做好網絡安全的技術和管理工作呢?其實關鍵點上文已經圈出來了:違反國家法律法規和規定導致的網絡安全事件。合法合規永遠是開展網絡安全工作的第一準則,在《網絡安全法》里其實有詳細的規定: 第二十一條:國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改…… 第三十四條:除本法第二十一條的規定外,關鍵信息基礎設施的運營者還應當履行下列安全保護義務…… *(限于篇幅就不摘引完整了,讀者可自行查閱)* 當然,央企只是國企的一部分,對于其他國企,《辦法》也是一樣有約束的: 第五十三條:國有資本參股公司、被托管和兼并企業中由國資委管理的企業負責人,其經營業績考核參照本辦法執行。 第五十四條:各省、自治區、直轄市和新疆生產建設兵團國有資產監督管理機構,設區的市、自治州級國有資產監督管理機構對國家出資企業負責人的經營業績考核,可參照本辦法并結合實際制定具體規定。 亡羊補牢猶未為晚,對于企業,特別是《辦法》中指出的央企而言,有哪些工作是需要盡快落實完成的呢? 1、及時開展等級保護工作 2、確定網絡安全負責人,落實網絡安全保護責任 3、配備防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施,如增設防火墻、IPS/IDS、防病毒、apt、安全準入、數據庫防火墻、身份驗證等技術措施 4、留存相關的網絡日志不少于六個月,配備專業的日志審計系統 5、做好數據備份及加密 可以看出,等保工作的完成質量,很大程度上決定了企業網絡安全的工作質量。為了幫助用戶更好地完成等保測評和后續整改,安全狗依托完善的產品體系和專業的服務水平,我們將會根據用戶的具體情況,提供建設咨詢和測評服務,全程協助用戶通過測評并完成整改,最終獲得等保測評報告。
|
