業(yè)遭黑客入侵后，報(bào)案反被行政警告處罰

企業(yè)遭遇黑客入侵且被勒索，報(bào)案后被處行政警告處罰，到底冤不冤？

今年4月，有兩家企業(yè)遭遇境外黑客入侵，且被勒索用支付比特幣來(lái)解密系統(tǒng)，寶安網(wǎng)警偵查發(fā)現(xiàn)，涉案公司存在大量的網(wǎng)絡(luò)漏洞和安全問(wèn)題，按照“凈網(wǎng)2020專(zhuān)項(xiàng)行動(dòng)”的要求啟動(dòng)“一案雙查”，以不履行網(wǎng)絡(luò)安全義務(wù)，違反《網(wǎng)絡(luò)安全法》給予該兩家公司行政警告處罰。

經(jīng)檢測(cè)，發(fā)現(xiàn)公司存在以下網(wǎng)絡(luò)安全問(wèn)題：

1. 網(wǎng)絡(luò)服務(wù)器存在系統(tǒng)防火墻未開(kāi)啟；
2. 遠(yuǎn)程連接未限制訪(fǎng)問(wèn)IP；
3. 域控未配置安全密碼策略等多個(gè)問(wèn)題；
4. 存儲(chǔ)服務(wù)器數(shù)據(jù)的機(jī)房安全責(zé)任人，只是一名僅懂得計(jì)算機(jī)基本操作知識(shí)的保安員；
5. 企業(yè)本身的安全防護(hù)網(wǎng)絡(luò)，被第三方技術(shù)檢測(cè)出幾十個(gè)漏洞；
6. 違反《網(wǎng)絡(luò)安全法》……

（信息來(lái)源：南方都市報(bào)）

以上事件，SGS信息及網(wǎng)絡(luò)安全解決中心專(zhuān)家認(rèn)為，對(duì)于以上企業(yè)遇到的網(wǎng)絡(luò)安全事件，其主要原因在于：

1. 缺乏必要的信息安全專(zhuān)業(yè)人員，且缺乏必要的信息安全培訓(xùn)；
2. 信息安全意識(shí)薄弱；
3. 信息安全管理制度不完善；
4. 信息安全防護(hù)措施不完善等。

為防止此類(lèi)事件，SGS信息及網(wǎng)絡(luò)安全解決中心專(zhuān)家建議：

建議1：配備足夠的、專(zhuān)業(yè)的信息安全技術(shù)人員，并給該類(lèi)人員提供足夠的信息安全專(zhuān)業(yè)知識(shí)培訓(xùn)，確保其信息安全保護(hù)相關(guān)的能力；
建議2：加強(qiáng)其其信息系統(tǒng)及網(wǎng)絡(luò)權(quán)限的管控，及時(shí)刪除離職人員或者不再使用的賬號(hào)，防止因未授權(quán)的訪(fǎng)問(wèn)造成信息從內(nèi)部泄密或者被破壞；
建議3：建立或完善信息安全管理制度，并根據(jù)實(shí)際情況不斷完善及更新其管理制度，做好管理制度的落實(shí)工作。例如補(bǔ)丁更新及漏洞修復(fù)，信息備份等；
建議4：在企業(yè)內(nèi)外網(wǎng)部署相關(guān)網(wǎng)絡(luò)安全防護(hù)產(chǎn)品、入侵檢測(cè)設(shè)備；
建議5：建立或完善信息安全事件管理制度，以確保快速、有效地響應(yīng)信息安全事件，并在事件響應(yīng)過(guò)程中，保存和保護(hù)相應(yīng)的證據(jù)；
建議6：建立或完善信息安全連續(xù)性管理計(jì)劃，并定期測(cè)試連續(xù)性計(jì)劃的有效性，以降低突發(fā)信息安全事件對(duì)企業(yè)的影響；
建議7：定期通過(guò)技術(shù)手段，驗(yàn)證企業(yè)信息系統(tǒng)及網(wǎng)絡(luò)的安全性，例如滲透性測(cè)試、漏洞掃描及修復(fù)等；
建議8：識(shí)別相關(guān)的信息安全法律、法規(guī)要求和合同要求，并滿(mǎn)足其要求，以確保合規(guī)性；
建議9：定期開(kāi)展企業(yè)內(nèi)部信息安全意識(shí)培訓(xùn)，提高企業(yè)內(nèi)部人員的信息安全意識(shí)。

如果企業(yè)有實(shí)施ISO/IEC 27001信息安全管理體系，或按照其中的要求進(jìn)行信息安全管理，可以全部滿(mǎn)足以上專(zhuān)家給出的幾點(diǎn)建議，不僅能有效降低企業(yè)信息安全事件，還能在滿(mǎn)足企業(yè)信息安全合規(guī)要求的同時(shí)減小企業(yè)損失。

以下列出SGS專(zhuān)家建議在ISO/IEC 27001:2013信息安全管理體系中的對(duì)應(yīng)要求：

以上列出的僅僅是ISO/IEC 27001:2013要求中很小一部分，而其中完整包括了從A.5到A.18共14個(gè)安全域，114項(xiàng)安全控制措施的完整安全控制要求，企業(yè)如果能按照其中的要求管理自身的信息安全，則企業(yè)的信息安全管理將會(huì)提高到國(guó)際先進(jìn)水平。不僅能提高企業(yè)商業(yè)競(jìng)爭(zhēng)力，還能為企業(yè)的股東、合作伙伴、客戶(hù)樹(shù)立信息安全的信心。

作為國(guó)際公認(rèn)的檢驗(yàn)、鑒定、測(cè)試和認(rèn)證機(jī)構(gòu)，SGS致力于為各行各業(yè)提供企業(yè)優(yōu)化服務(wù)，在信息安全和個(gè)人信息及隱私管理服務(wù)范圍內(nèi)，包括：

1. ISO/IEC 27001 信息安全管理體系；
2. ISO/IEC 27701隱私信息管理體系；
3. ISO/IEC 20000 IT服務(wù)管理體系；
4. ISO/IEC 27017 云服務(wù)信息安全規(guī)范；
5. ISO/IEC 27018 公共云個(gè)人信息（ PII）處理者的信息安全控制規(guī)范；
6. ISO 22301 業(yè)務(wù)連續(xù)性管理體系；
7. CSA STAR 云安全聯(lián)盟云安全評(píng)估認(rèn)證；
8. GDPR相關(guān)的培訓(xùn)和認(rèn)證服務(wù)。

（本文著作權(quán)歸SGS所有，商業(yè)轉(zhuǎn)載請(qǐng)聯(lián)系獲得正式授權(quán)，非商業(yè)轉(zhuǎn)載請(qǐng)注明出處）