業遭黑客入侵后，報案反被行政警告處罰

企業遭遇黑客入侵且被勒索，報案后被處行政警告處罰，到底冤不冤？

今年4月，有兩家企業遭遇境外黑客入侵，且被勒索用支付比特幣來解密系統，寶安網警偵查發現，涉案公司存在大量的網絡漏洞和安全問題，按照“凈網2020專項行動”的要求啟動“一案雙查”，以不履行網絡安全義務，違反《網絡安全法》給予該兩家公司行政警告處罰。

經檢測，發現公司存在以下網絡安全問題：

1. 網絡服務器存在系統防火墻未開啟；
2. 遠程連接未限制訪問IP；
3. 域控未配置安全密碼策略等多個問題；
4. 存儲服務器數據的機房安全責任人，只是一名僅懂得計算機基本操作知識的保安員；
5. 企業本身的安全防護網絡，被第三方技術檢測出幾十個漏洞；
6. 違反《網絡安全法》……

（信息來源：南方都市報）

以上事件，SGS信息及網絡安全解決中心專家認為，對于以上企業遇到的網絡安全事件，其主要原因在于：

1. 缺乏必要的信息安全專業人員，且缺乏必要的信息安全培訓；
2. 信息安全意識薄弱；
3. 信息安全管理制度不完善；
4. 信息安全防護措施不完善等。

為防止此類事件，SGS信息及網絡安全解決中心專家建議：

建議1：配備足夠的、專業的信息安全技術人員，并給該類人員提供足夠的信息安全專業知識培訓，確保其信息安全保護相關的能力；
建議2：加強其其信息系統及網絡權限的管控，及時刪除離職人員或者不再使用的賬號，防止因未授權的訪問造成信息從內部泄密或者被破壞；
建議3：建立或完善信息安全管理制度，并根據實際情況不斷完善及更新其管理制度，做好管理制度的落實工作。例如補丁更新及漏洞修復，信息備份等；
建議4：在企業內外網部署相關網絡安全防護產品、入侵檢測設備；
建議5：建立或完善信息安全事件管理制度，以確保快速、有效地響應信息安全事件，并在事件響應過程中，保存和保護相應的證據；
建議6：建立或完善信息安全連續性管理計劃，并定期測試連續性計劃的有效性，以降低突發信息安全事件對企業的影響；
建議7：定期通過技術手段，驗證企業信息系統及網絡的安全性，例如滲透性測試、漏洞掃描及修復等；
建議8：識別相關的信息安全法律、法規要求和合同要求，并滿足其要求，以確保合規性；
建議9：定期開展企業內部信息安全意識培訓，提高企業內部人員的信息安全意識。

如果企業有實施ISO/IEC 27001信息安全管理體系，或按照其中的要求進行信息安全管理，可以全部滿足以上專家給出的幾點建議，不僅能有效降低企業信息安全事件，還能在滿足企業信息安全合規要求的同時減小企業損失。

以下列出SGS專家建議在ISO/IEC 27001:2013信息安全管理體系中的對應要求：

以上列出的僅僅是ISO/IEC 27001:2013要求中很小一部分，而其中完整包括了從A.5到A.18共14個安全域，114項安全控制措施的完整安全控制要求，企業如果能按照其中的要求管理自身的信息安全，則企業的信息安全管理將會提高到國際先進水平。不僅能提高企業商業競爭力，還能為企業的股東、合作伙伴、客戶樹立信息安全的信心。

作為國際公認的檢驗、鑒定、測試和認證機構，SGS致力于為各行各業提供企業優化服務，在信息安全和個人信息及隱私管理服務范圍內，包括：

1. ISO/IEC 27001 信息安全管理體系；
2. ISO/IEC 27701隱私信息管理體系；
3. ISO/IEC 20000 IT服務管理體系；
4. ISO/IEC 27017 云服務信息安全規范；
5. ISO/IEC 27018 公共云個人信息（ PII）處理者的信息安全控制規范；
6. ISO 22301 業務連續性管理體系；
7. CSA STAR 云安全聯盟云安全評估認證；
8. GDPR相關的培訓和認證服務。

（本文著作權歸SGS所有，商業轉載請聯系獲得正式授權，非商業轉載請注明出處）