文章

德勤解读《网络安全事件报告管理办法(征求意见稿)》

德勤网络安全团队提供专业应对建议

发布日期:2023年12月12日

12月8日,国家互联网信息办公室起草并发布了《网络安全事件报告管理办法(征求意见稿)》(以下简称《征求意见稿》),旨在规范网络安全事件的报告,减少网络安全事件造成的损失和危害,维护国家网络安全。此管理办法的上位法包括了《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》等法律法规。

本次《征求意见稿》共有十四条,列明了网络安全事件的报告对象、报告时限、报告内容格式等要求。本文将尝试分析此《征求意见稿》对普通企业的影响,并提供应对措施建议。

报告对象:

负责报告网络安全事件的责任主体为在境内建设、运营网络或者通过网络提供服务的网络运营者,这个对责任对象的称呼是和《网络安全法》等上位法保持了一致,也就意味着普通企业都将承担报告的义务。而负责统筹协调的责任主体是国家网信部门地方网信部门,并且在第四条中对不同级别的网络安全事件规定了不同的报告对象。

第一类为中央和国家机关各部门及其管理的企事业单位,应当向本部门网信工作机构报告。

第二类为关键信息基础设施运营者,应当向保护工作部门(县级以上地方人民政府有关部门)、公安机关报告。

第三类是其他网络和系统运营者,应当向属地网信部门报告。这个分类占到了大部分的普通商用企业(比如外资、合资、民营企业),因此可以明确的是普通企业应当报告给属地网信部门。另外,有行业主管监管部门的,运营者还应当按照行业主管监管部门要求报告。

报告时限:

运营者在发生网络安全事件时,需要按照《网络安全事件分级指南》,对属于较大、重大或特别重大网络安全事件,应当于一小时内进行报告。德勤根据《网络安全事件分级指南》整理出了这三个对应等级的具体定义,可以看出该指南是在2023年5月23日发布的《GB/T 20986-2023网络安全事件分类分级指南》(2023年12月1日正式生效)基础上,进一步给出了更加具体更具参照效果的诸多条件。较大、重大或特别重大网络安全事件分别对应三级、二级、一级事件。只要企业发生了三级(含三级)以上事件,就需要在一小时内上报属地网信部门。

通过这个等级的定义图表我们不难看出,对普通的商用企业而言,“泄露个人信息的数量(100万以上)和造成直接经济损失(500万元以上)这2个是最具关注价值的条件。

报告内容格式:

《征求意见稿》附上了《网络安全事件信息报告表》,其中需要注意的是,对于1小时内不能判定事发原因、影响或趋势等方面的网络安全事件,可先报告第五条第一项、第二项内容,其他情况于24小时内补报。因此:

第一项所要求的,“事发单位名称及发生事件的设施、系统、平台的基本情况”的内容就需要企业在安全事件发生前就有良好的收集和掌握,这样才可以做到及时上报。

同时第二项所要求的,“事件发现或发生时间、地点、事件类型、已造成的影响和危害,已采取的措施及效果。对勒索软件攻击事件,还应当包括要求支付赎金的金额、方式、日期等”,也是需要企业有能力对事件情况具备快速调查、收集的能力。

事后处置:

《征求意见稿》同样也给出了时间限制,“运营者应当于5个工作日内对事件原因、应急处置措施、危害、责任处理、整改情况、教训等进行全面分析总结,形成报告按照原渠道上报。”因此对企业而言5个工作日的时间还是比较紧张的,假如没有良好的安全治理体系、安全处置分析能力的话,将很难在5个工作日内给出良好质量的报告。

违规处罚:

《征求意见稿》并没有直接给出具体的处罚条款,而是要求网信部门按照有关法律、行政法规的规定进行处罚。那么不难得出的结论就是其上位法,如《网络安全法》第25,59条《数据安全法》第29,45条《个人信息保护法》第57,66条中相应的罚则将被触发,追究运营者和直接负责的主管人员和其他直接责任人员法律责任。

在中国的美国上市企业(包括中资企业及跨国公司的在华分子公司)除了要应对《征求意见稿》的要求,可能还要根据SEC上市公司网络安全规则对任何认定的重大网络安全事件在四个工作日内进行披露,内容包括:

  • 事件的基本属性,范围,时间和重大影响;
  • 评估、识别和管理重大网络安全风险的流程;
  • 网络安全风险,包括由历史安全事件导致的风险,是否对,或可能对业务战略、运营、和财务状况产生重大影响;
  • 董事会和高级管理层等对网络安全风险的监督情况;
  • 评估和管理重大网络安全风险的管理角色;

综合上述分析,为应对《征求意见稿》所要求的内容,企业还需未雨绸缪,在事件尚未发生时,提前增强安全事件管理能力。德勤网络安全团队建议企业采取如下行动:

  1. 优化网络安全风险管理组织。包括:明确网络安全风险管理职责,提升网络安全风险治理层级,优化内部协作,从而确保从决策到管理到执行的一致性和有效性。
  2. 事先建立完善的应急预案。包括:制定具体的网络安全事件应对预案,明确事件的快速识别、评估、报告和处理流程;建立完善的网络安全事件监测和报告机制,从而确保在规定时间内上报安全事件。
  3. 加大技术投入和升级。包括:在网络安全监测技术和工具领域增加投资,以更好地防范和应对网络安全威胁,从而缩短安全事件的监测和响应时间,满足1小时内上报的要求。
  4. 加强内部人员安全事件意识培训。包括:定期对员工进行网络安全意识培训,提高员工对网络安全事件的识别和应对能力,从而可以尽量缩短安全事件从发现到报告的时间。

Fullwidth SCC. Do not delete! This box/component contains JavaScript that is needed on this page. This message will not be visible when page is activated.

-video-no-top-padding- , -fullwidth-scc-

此内容是否提供了您需要的资讯?