提供第三方网络服务,网警是认真的!你们是认真的吗?

admin 2022年9月4日15:21:37安全闲碎评论3 views2218字阅读7分23秒阅读模式
记得好久前,在朋友圈看到公安部网安局公众号提供第三方网络服务,你们是认真的吗?网警是认真的!》的文章,本身这篇文章应该叫做《读<提供第三方网络服务,你们是认真的吗?网警是认真的!>有感之类的标题,一方面太长了,另一方面我想对“你们是认真的吗?”做一个思考与呼应,所以还借助上面的标题,调整了一下。拙劣之处,还望读到这篇文字的朋友海涵!
在此之前其实我也就有关《信息安全技术 信息安全服务提供方管理要求》整理过几篇公众号文章。看到网安局的公众号这篇文章,让我又一次想说几句。所谓法律法规标准,那么法律层面网安局公众号给了几句打油诗蛮不错:
产品服务很重要,谁来提供谁负责。
责任义务要履行,否则迟早要惹祸。
漫卷网络安全法,二十二条心头坐。

千言万语一句话,网络安全系你我。

但是,作为安全服务企业该如何着手工作呢?也就是参考依据是什么,如何企业内部如何很好的管控安全服务工作,其实《信息安全技术 信息安全服务提供方管理要求》(以下简称“管理标准”)理论上是各个安全服务企业去考虑的一个国家标准。

我们回到《管理标准》,在标准4章信息安全服务原则的4.1节就是合规性,其描述如下:

遵循国家和行业关于信息安全服务的要求,基于明确的信息安全保障需求和信息安全服务目标。

具体原则如下 :

a) 应符合国家信息安全法律法规和政策 、国家和行业相关信息安全标准的要求;
b) 应遵循服务要素可视性、服务行为预先告知 、服务和产品中立 、资产保护等信息安全服务原则;
c) 应根据信息安全服务类别,通过需求调研、风险评估等手段.提取信息安全保障需求;
d) 应根据信息安全保障需求 , 结合服务对象业务、系统或设备的实际情况,确定信息安全服务目标;
e) 应按照服务协议所规定的关键节点 、交付成果和服务级别要求,记录、监视 、检查和评审服务目标的完成情况及差异程度 。

综上,其a)项,则是要求合法合规符合标准,则《网络安全法》二十二条可以作为工作的上位要求,而管理标准则可以作为企业内部安全服务管理的参考。《管理标准》第5章信息安全服务组织级管理,分别从制度和体系、人力资源、保密、技术能力、服务协议、服务组合、供应链几个方面进行了规范;第6章信息安全服务项目级管理,分别从服务方案、服务人员、服务过程、服务工具和平台、服务风险、服务变更、服务沟通、服务交付几个方面进行了规范。

回到网安局公众号中宁夏这起处罚,银川某科技有限公司作为该网站设计建设方和日常运维提供方,在明知系统存在漏洞的情况下,未履行《网络安全法》第二十二条第一款法定要求,对其提供的网络产品、服务的安全缺陷、漏洞等风险未及时采取补救措施、未及时告知用户并向主管部门报告。

若该企业,能够规范化提供安全服务,对服务方案、服务人员以及服务过程进行充分的管控,则理论上不会出现“在明知系统存在漏洞的情况下”,而不履行法定义务的情况。这个过程中,服务者(企业)理应非常熟悉相关法律法规,提供规范化的安全服务。然而,很多企业对规范化这块的认知远不如对安全服务业务来的清楚,然而一个好的安全服务需要企业通过规范化流程,制度化管理保障其服务质量,才能将自身风险降到最低,将利益最大化。另外一点就是,任何时候都不要存在侥幸心理,要时刻保持警惕性,这既是合规方面面临监督检查,同时也是最大程度的防范黑客攻击。

我把本期公众号名称《提供第三方网络服务,网警是认真的!你们是认真的吗?》,调整了语序,是想就这个问题谈一下企业如何认真下去,本意是既然提供第三方网络服务,网警执法检查认真了,企业被处罚究其原因还是自身合规能力太差,为什么太差呢?有可能对这块了解甚少,平时只顾着做业务,对自身综合服务水平未做全面考虑。如何考虑这块呢?那就要从合法合规出发,参考国家标准,建立自身一套科学有效的服务规范和流程,整体提高自身安全服务综合能力。这里面涉及到法律法规、技术标准、自身技术、企业管理、风险管控等等。

所以,一个认真的第三方服务,自然不会成为供应链上的最弱的一环,如果成为最弱的一环,用户何以安呢?我个人的一些陋见,不足以正人,仅作为抛砖引玉之功,待方家批评指正共同回答好这个问题。

以下节选,网安局公众号供大家参考:

提供第三方网络服务,网警是认真的!你们是认真的吗?
警察蜀黍

第三方公司!你们对所提供的网络产品、网络服务的安全缺陷、漏洞等风险及时采取补救措施了吗?及时告知用户并向主管部门报告了吗?

呜呜呜,没有,我们错了
提供第三方网络服务,网警是认真的!你们是认真的吗?
第三方公司
提供第三方网络服务,网警是认真的!你们是认真的吗?


宁夏公安办理首起网络服务第三方提供者不履行网络风险消除和告知义务案


2月4日,宁夏银川市网安民警在工作中发现,辖区内某官方网站被黑客攻击篡改。经立案调查,银川某科技有限公司作为该网站设计建设方和日常运维提供方,在明知系统存在漏洞的情况下,未履行《网络安全法》第二十二条第一款法定要求,对其提供的网络产品、服务的安全缺陷、漏洞等风险未及时采取补救措施、未及时告知用户并向主管部门报告。


也就是说,甲方委托他们建设和运维的网站有没有毛病?有!怎么补救?不知道!这也太不专业!太不认真了!!!



提供第三方网络服务,网警是认真的!你们是认真的吗?


网警可是认真的


调查清楚情况后,银川网安依照《网络安全法》六十条第二项之规定,对该公司不履行网络风险消除和告知义务的违法行为,给予单位罚款5万元、法人代表罚款1万元的行政处罚。同时对其他有关单位追究法律责任,依法予以相应处罚。 


该案的办理,为宁夏全区网安部门办理此类行政案件提供了有益的法律实践。

原文始发于微信公众号(河南等级保护测评):提供第三方网络服务,网警是认真的!你们是认真的吗?

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月4日15:21:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  提供第三方网络服务,网警是认真的!你们是认真的吗? http://cn-sec.com/archives/1275532.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: