11月1日起,《公安机关互联网安全监督检查规定》(以下简称《规定》)开始施行。公安机关将根据网络安全防范需要和网络安全风险隐患的具体情况,对互联网服务提供者和联网使用单位开展监督检查。
与之前的互联网相关管理法律法规相比,新的《规定》不仅赋予了公安机关更大的监管监察权限,更突出了依法处置不合法、不合规情形的要求。这意味着,《规定》让忽视、破坏网络与信息安全的行为被查出和处置的可能性大大提高了。
为了能够更具体地了解监督检查规定的细节,知道创宇来给大家划重点了——
·检查的主体单位:
第八条互联网安全监督检查由互联网服务提供者的网络服务运营机构和联网使用单位的网络管理机构所在地公安机关实施。互联网服务提供者为个人的,可以由其经常居住地公安机关实施。
·检查对象:
第九条公安机关应当根据网络安全防范需要和网络安全风险隐患的具体情况,对下列互联网服务提供者和联网使用单位开展监督检查:
(一)提供互联网接入、互联网数据中心、内容分发、域名服务的;
(二)提供互联网信息服务的;
(三)提供公共上网服务的;
(四)提供其他互联网服务的;
基本上与网络有关联的服务类型都被囊括了。
·检查内容:
第十条公安机关应当根据互联网服务提供者和联网使用单位履行法定网络安全义务的实际情况,依照国家有关规定和标准,对下列内容进行监督检查:
(一)是否办理联网单位备案手续,并报送接入单位和用户基本信息及其变更情况;
(二)是否制定并落实网络安全管理制度和操作规程,确定网络安全负责人;
(三)是否依法采取记录并留存用户注册信息和上网日志信息的技术措施;
(四)是否采取防范计算机病毒和网络攻击、网络侵入等技术措施;
(五)是否在公共信息服务中对法律、行政法规禁止发布或者传输的信息依法采取相关防范措施;
(六)是否按照法律规定的要求为公安机关依法维护国家安全、防范调查恐怖活动、侦查犯罪提供技术支持和协助;
(七)是否履行法律、行政法规规定的网络安全等级保护等义务。
第十一条除本规定第十条所列内容外,公安机关还应当根据提供互联网服务的类型,对下列内容进行监督检查:
(一)对提供互联网接入服务的,监督检查是否记录并留存网络地址及分配使用情况;
(二)对提供互联网数据中心服务的,监督检查是否记录所提供的主机托管、主机租用和虚拟空间租用的用户信息;
(三)对提供互联网域名服务的,监督检查是否记录网络域名申请、变动信息,是否对违法域名依法采取处置措施;
(四)对提供互联网信息服务的,监督检查是否依法采取用户发布信息管理措施,是否对已发布或者传输的法律、行政法规禁止发布或者传输的信息依法采取处置措施,并保存相关记录;
(五)对提供互联网内容分发服务的,监督检查是否记录内容分发网络与内容源网络链接对应情况;
(六)对提供互联网公共上网服务的,监督检查是否采取符合国家标准的网络与信息安全保护技术措施。
第十二条在国家重大网络安全保卫任务期间,对与国家重大网络安全保卫任务相关的互联网服务提供者和联网使用单位,公安机关可以对下列内容开展专项安全监督检查:
(一)是否制定重大网络安全保卫任务所要求的工作方案、明确网络安全责任分工并确定网络安全管理人员;
(二)是否组织开展网络安全风险评估,并采取相应风险管控措施堵塞网络安全漏洞隐患;
(三)是否制定网络安全应急处置预案并组织开展应急演练,应急处置相关设施是否完备有效;
(四)是否依法采取重大网络安全保卫任务所需要的其他网络安全防范措施;
(五)是否按照要求向公安机关报告网络安全防范措施及落实情况。
对防范恐怖袭击的重点目标的互联网安全监督检查,按照前款规定的内容执行。
·检查方式:
第十三条公安机关开展互联网安全监督检查,可以采取现场监督检查或者远程检测的方式进行。
第十五条公安机关开展互联网安全现场监督检查可以根据需要采取以下措施:
(一)进入营业场所、机房、工作场所;
(二)要求监督检查对象的负责人或者网络安全管理人员对监督检查事项作出说明;
(三)查阅、复制与互联网安全监督检查事项相关的信息;
(四)查看网络与信息安全保护技术措施运行情况。
第十六条公安机关对互联网服务提供者和联网使用单位是否存在网络安全漏洞,可以开展远程检测。
公安机关开展远程检测,应当事先告知监督检查对象检查时间、检查范围等事项或者公开相关检查事项,不得干扰、破坏监督检查对象网络的正常运行。
第十七条公安机关开展现场监督检查或者远程检测,可以委托具有相应技术能力的网络安全服务机构提供技术支持。
网络安全服务机构及其工作人员对工作中知悉的个人信息、隐私、商业秘密和国家秘密,应当严格保密,不得泄露、出售或者非法向他人提供。公安机关应当严格监督网络安全服务机构落实网络安全管理与保密责任。
·如果被发现存在违法违规行为,将会受到以下处罚:
第二十一条公安机关在互联网安全监督检查中,发现互联网服务提供者和联网使用单位有下列违法行为的,依法予以行政处罚:
(一)未制定并落实网络安全管理制度和操作规程,未确定网络安全负责人的,依照《中华人民共和国网络安全法》第五十九条第一款的规定予以处罚;
(二)未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施的,依照《中华人民共和国网络安全法》第五十九条第一款的规定予以处罚;
(三)未采取记录并留存用户注册信息和上网日志信息措施的,依照《中华人民共和国网络安全法》第五十九条第一款的规定予以处罚;
(四)在提供互联网信息发布、即时通讯等服务中,未要求用户提供真实身份信息,或者对不提供真实身份信息的用户提供相关服务的,依照《中华人民共和国网络安全法》第六十一条的规定予以处罚;
(五)在公共信息服务中对法律、行政法规禁止发布或者传输的信息未依法或者不按照公安机关的要求采取停止传输、消除等处置措施、保存有关记录的,依照《中华人民共和国网络安全法》第六十八条或者第六十九条第一项的规定予以处罚;
(六)拒不为公安机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助的,依照《中华人民共和国网络安全法》第六十九条第三项的规定予以处罚。
有前款第四至六项行为违反《中华人民共和国反恐怖主义法》规定的,依照《中华人民共和国反恐怖主义法》第八十四条或者第八十六条第一款的规定予以处罚。
第二十二条公安机关在互联网安全监督检查中,发现互联网服务提供者和联网使用单位,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,依照《中华人民共和国网络安全法》第六十四条第二款的规定予以处罚。
第二十三条公安机关在互联网安全监督检查中,发现互联网服务提供者和联网使用单位在提供的互联网服务中设置恶意程序的,依照《中华人民共和国网络安全法》第六十条第一项的规定予以处罚。
第二十四条互联网服务提供者和联网使用单位拒绝、阻碍公安机关实施互联网安全监督检查的,依照《中华人民共和国网络安全法》第六十九条第二项的规定予以处罚;拒不配合反恐怖主义工作的,依照《中华人民共和国反恐怖主义法》第九十一条或者第九十二条的规定予以处罚。
综上所述,新的《规定》更加明确了公安机关在检查过程中的检查对象及检查内容,规范了相关流程,同时对各网络运营者来说也进一步明确了法律责任,规定中详细阐释了相关的监管要求,有助于让网络安全责任更好更准确地落地。
就具体的监督检查的内容来看,信息安全等级保护工作的完善与否对是否符合《规定》的要求有较大的影响。对于企事业单位而言,满足等保要求将不仅仅是对信息系统本身可靠性的资质证明,更是符合法律法规的合规要求。
作为公安部备案认可的、拥有等保服务资质的安全厂商,知道创宇对国家等级保护规范进行了详细整理,并依托完善的产品体系和专业的服务水平,把技术标准落实到每一项配置检查工作中。做为服务于大量国家重要网站、业务系统的安全防护平台,知道创宇云防御平台所服务的客户业务系统将持续获得安全稳健的保障。
同时,知道创宇联合各地测评机构,为用户构建了合法合规、重点突出、节约成本、符合实际的安全保障体系,以帮助用户顺利通过等级测评。知道创宇等级保护安全解决方案,依托知道创宇云防御平台,可为用户提供符合安全审计、数据完整性和保密性等相关要求的安全产品,同时可提供“云平台等保备案证明”、“云测评报告关键页”,实现以最小的安全投入满足等保的基础合规要求。并配备专业完善的安全服务体系,以满足整体风险评估、渗透测评、安全基线配置核查、漏洞和风险管理、安全事件处置等相关要求,更有利于用户通过等级保护测评。
