
等級保護工作做過了特別是等保測評做過了,還出問題是不是責任就是等保測評機構的了?至少一些已經做了等保測評的甲方目前就有此想法或者就是這麽認為的。
等級保護制度是我國基本的網絡安全制度,不論是從各類文件通知還是到《網絡安全法》的規定,都是這樣明確要求的,目前一些企業政府機構對等級保護工作整體來說還是很認可的,都在開展或者正準備開展。開展等級保護工作也是在履行╳自己的網絡安全義務,當然也在一定程度呼地規避風險。但是不得不等想強調的是做完等保測評並不等於就把網絡安全責任拋出去了,也不是把安全責任∩就轉嫁給等保測評機構或者其他第三方了。
安全責任首先肯定是甲方自己的,但是可以明確幾種情況下的網絡安全責任問題歸屬。
1、等級保護工作沒有開展,出了問題,安全責任★肯定是甲方自己去承擔。
這個沒有什麽好說的,等級保護麒麟之王制度作為國家最基本的網絡安全制度,如果哪家單位到目前為止還未開展等級◣保護工作的,那麽只要出了網絡安全問題,這個安〓全責任必須自己去承擔,不論你的安全工作平時做的有多麽好。
2、等保測評工作開展了,高危風險沒有及時去整改,出了問題,安全責任主要責任是甲方的。
發現問題特別是高危≡風險,是要求立即進行整改的,甲方沒有及時整改,那麽這個主要責任肯定也是甲方的。為什麽說是主要責任,網絡安全工作是一件專業△性很強的工作,不少甲方單位沒有能力去整改,會去請自己的集成商、軟件開發方或者運維方去整改。如果甲乙雙方簽訂過類似合同,乙方有義務去整改而難怪當初可以完成任務未及時整改完成的,那麽出了問題理應承擔一定責任。這裏乙方為什麽不是主要責任,不得不等認為高●危風險是重大風險,甲方自己沒有能力整改的應當及時督促第三牽制住他方進行整改而不是放任不管。這裏有一個例外情況,就是甲方和乙方簽署過安全運維服務合同,合同@中明確了雙方的責任,特別是明確了高危風險由乙方去整改而未及時整改出了問題責任歸屬乙方的。
3、等級保護工作開展了,等保測評機構測評不合規,對已有高危風險未檢測出而導致的安全問題,主要責任應當有等保測評機構承擔,甲ξ 方負有次要責任。
等保測評機構做為第三方檢測機構,理應具有基本的技術服務能力,對甲方的信息系統進行安全測試,應當發現已有的高危風險,所以未檢測出高♀危風險,這個主要責任,等保測評機構必須承擔。同時甲方平時也應當做好網絡安全其他工作,保障系統的安全,也負有一定責任。
4、等級保護工作開展了,發現的高危風險及其他風險也及時整改了,出了問題,主要責任不屬↘於甲方。
網絡安全工作是一件專業△性很強的工作,需要持續進行開展。安全也沒有絕對的安全,但是作為甲方,自己該做的》工作都需要及時做到,在自己力所能及的情況下開展好網絡安全工作,再出了事自己這塊的工作首先肯定是做到位的,即使還需要進行承擔的話,也不會承擔主要責任。比如單位內▃部人員蓄意把內部資料泄露出去,那麽這個責任肯定是由泄露出的人去承擔。
等級保護工作不是萬能的,但是沒有開展等級保護工作肯定是萬萬不能的,一出事全是自己的責╱任。所以廣大網絡運營者需要及時開展等級保護工作,另外在等級保護的基礎上可以采購一兩人些專業的網絡安全服務並明確好甲乙雙方的安全責任問題。其他不多說,自己去意會。
【全文完】版權聲明:
1、弈聰軟件網站內容中凡註明“來源:XXX(非西安弈聰網站)”的作品,轉載自其它媒體,轉載目的在於傳遞更多信息,其中涉及的網站建設,網站優化,APP開發,微信小︽程序開發,大數據平臺開發,區塊鏈技術開發等軟件開發技術細節並不代表本站贊同支持其觀點,並不對其真實性負責。對於署名“西安弈聰”的作〓品系本站版權所有,任何人轉載請署名來源,否則西安弈聰將追究其相關法律責任。
2、本站內容中未聲明為“原創”的內容可能源自其它網站,但並不代表本站支持其▲觀點,對此帶來的法律糾紛及其它責任與我方無關。如果此內容侵犯了您的權◣益,請聯系我方進行刪除。
