企业网络安全事件报告与应急机制实践指引

发布时间:2024-07-11 19:53

阅读量:12

作者丨张丹蒋天伟刘晓霞

上海市华诚律师事务所

自2018年3亿客户个人数据遭到泄露而被处以巨额罚款后，近日随着万豪国际再度曝出520万用户数据泄露，网络安全事件带来的个人信息风险再一次成为信息数据安全领域的关注热点。随着我国个人信息和网络安全监管体系的深入完善，国内企业的网络安全事件也逐渐成为监管关注焦点。

2018年6月，因未按照市通信管理局要求健全完善本单位网络安全监测预警和信息通报相关制度，上海市通信管理局约谈上海数据港、上海华侨通信、上海劢杰通信等企业并责令整改。前程无忧网(51job)未落实重大事项报告制度，在发生重大事件时未及时报告，也被约谈通报并责令整改。2020年3月，新浪微博因用户查询接口被恶意调用导致App数据泄露问题，被工业和信息化部网络安全管理局进行了问询约谈。诸多网络安全事件的发生提醒我们，建立网络安全事件应急机制已是企业合规中必不可少的环节。

根据《国家网络安全应急预案》，网络安全事件是指，由于人为原因、软硬件缺陷或故障、自然灾害等，对网络和信息系统或者其中的数据造成危害，对社会造成负面影响的事件，具体包括有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。

从网络安全事件的概念来看，网络、信息系统以及数据发生的危害都属于企业需要处理的安全事件范围，但是在网络安全事件应急处理中，企业与监管部门如何衔接，如何履行报告义务是实践中常常需要解决的问题。

本指引对国内相关法规和规范性文件的监管框架进行了梳理，从五个方面分析并整理该过程中需要关注的合规要点，为企业在网络安全事件应急机制工作中提供参考。

本指引现已登录

威科先行｜网络安全合规模块

长安二维码申请免费查阅

本指引主要内容如下

一.相关法规框架

网络安全事件具有扩散速度快、影响广，事件性质初期难以判定等特点，对企业及各监管部门之间的及时处理和响应速度要求高。因此网络安全事件应急预案体系的完善需建立在企业与各级监管部门之间的方案有机衔接与职责分明基础之上。本部分梳理与网络和信息安全事件的上报要求相关的法律法规政策，以供参考。

二.网络安全事件处理机制的具体合规要求

通过对上述法规及规范性文件进行梳理，本部分将网络安全事件处理机制从报告主体、事件判断、报告对象及时间、具体报告内容以及违反报告义务的责任五个部分进行比较和分析，以表格形式呈现具体法条及解读。

2.1报告义务的主体

2.2网络安全事件级别判断

2.3报告对象和报告时限

2.4报告内容

2.5责任承担

三.网络安全事件报告建议流程

基于上文中的法规及规范性文件，结合作者实操经验，本部分中提供企业在应对网络安全事件时履行报告义务的流程图及说明（以互联网电商企业为例）。

3.1事前准备阶段

3.2事件发生阶段

3.3事件响应结束后

结语

在监管趋严的环境下，及时准确的报告和安全事件处理工作，要求企业在实际工作中首先需要针对自身数据特点，有针对性地制定合规计划，完善牵头责任组织，强化内部人员合规意识。此外企业需要根据实际情况考虑对应急相关基础设施加大投入，并及时建立层次分明的应急预案文件体系。在形成书面流程后，还应加强实际演练，定期对最新监管要求进行更新并进行桌面推演。此外，涉及境外业务的部分还需要充分考虑当地的法律要求，如在GDPR规制范围内的企业还需根据具体法律要求制定合规报告流程。及时准确合规的网络安全事件报告才能成为企业降低合规风险的最佳防线。