做了等保还出网络安全问题,责任是谁的?

文章来源:懂球帝官网,懂球帝直播大数据和电子政务管理中心
时间: 2018-12-26 13:52
点击次数:

等保工作做过了特别是等保测评做过了,还出问题是不是责任就不是甲方自己的了?不少甲方目前就有此想法或者就是这么认为的。这样的观点不正确,至少不完全正确。

等保制度是我国基本的网络安全制度,不论是从各类文件通知还是到《网络安全法》的规定,都是这样明确要求的,目前大家对等保工作整体来说还是很认可的,都在开展或者正准备开展。我们在开展等保工作也是在履行自己的网络安全义务,当然也在一定程度地规避风险。但是我想强调的是做完等保并不等于就把网络安全责任抛出去了,也不是把安全责任就转嫁给测评机构或者其他第三方了。

安全责任首先肯定是甲方自己的,但是我们可以明确几种情况下的网络安全责任问题归属。

1、等保工作没有开展,出了问题,安全责任肯定是甲方自己去承担。

这个没有什么好说的,等保制度作为国家最基本的网络安全制度,如果哪家单位到目前为止还未开展等保工作的,那么只要出了网络安全问题,这个安全责任必须自己去承担,不论你的安全工作平时做的有多么好。

2、等保工作开展了,高危风险没有及时去整改,出了问题,安全责任主要责任是甲方的。

发现问题特别是高危风险,是要求立即进行整改的,甲方没有及时整改,那么这个主要责任肯定也是甲方的。为什么说是主要责任,网络安全工作是一件专业性很强的工作,不少甲方单位没有能力去整改,会去请自己的集成商、软件开发方或者运维方去整改。如果甲乙双方签订过类似合同,乙方有义务去整改而未及时整改完成的,那么出了问题理应承担一定责任。这里乙方为什么不是主要责任,不得不等认为高危风险是重大风险,甲方自己没有能力整改的应当及时督促第三方进行整改而不是放任不管。这里有一个例外情况,就是甲方和乙方签署过安全运维服务合同,合同中明确了双方的责任,特别是明确了高危风险由乙方去整改而未及时整改出了问题责任归属乙方的。

3、等保工作开展了,测评机构测评不合规,对已有高危风险未检测出而导致的安全问题,主要责任应当由测评机构承担,甲方负有次要责任。

测评机构做为第三方检测机构,理应具有基本的技术服务能力,对甲方的信息系统进行安全测试,应当发现已有的高危风险,所以未检测出高危风险,这个主要责任,测评机构必须承担。同时甲方平时也应当做好网络安全其他工作,保障系统的安全,也负有一定责任。

4、等保工作开展了,发现的高危风险及其他风险也及时整改了,出了问题,主要责任不属于甲方。

网络安全工作是一件专业性很强的工作,需要持续进行开展。安全也没有绝对的安全,但是作为甲方,自己该做的工作都需要及时做到,在自己力所能及的情况下开展好网络安全工作,再出了事自己这块的工作首先肯定是做到位的,即使还需要进行承担的话,也不会承担主要责任。比如单位内部人员蓄意把内部资料泄露出去,那么这个责任肯定是由泄露出的人去承担。

等保工作不是万能的,但是没有开展等保工作肯定是万万不能的,一出事全是自己的责任。所以广大网络运营者需要及时开展等保工作,另外在等保的基础上可以采购一些专业的网络安全服务并明确好甲乙双方的安全责任问题。

                                                                                                                      

                                                                                                                                                                                                           ------------摘自“等级保护测评”公众号