为规范网络安全事件报告管理,及时控制网络安全事件造成的损失和危害,国家互联网信息办公室公布《国家网络安全事件报告管理办法》(以下简称《办法》)。《办法》的出台,标志着我国网络安全事件报告管理体系的进一步完善,对我国提升国家层面的网络安全应急响应能力意义重大。《办法》构建了网络安全事件全链条应对体系,为开展网络安全事件报告工作提供了坚实的制度保障。

一、《办法》为网络安全事件报告提供了有力依据

近年来,我国关键技术领域相关企业遭受网络攻击事件频发,攻击隐蔽周期长达数月。这些事件不仅破坏企业运营秩序,更对国家安全、社会稳定和公众权益构成直接威胁,亟须通过规范报告机制实现“早发现、早处置、早止损”。《网络安全法》第二十五条明确规定,网络运营者有报告网络安全事件的义务。《办法》落实《网络安全法》相关要求,对网络运营者具体报告流程、时间、内容和接收单位进行详尽规定,在实践中为网络运营者提供了清晰的行动指南,也为主管部门的监督管理提供了有力的依据。

二、《办法》进一步规范了网络安全事件全周期闭环管理

《办法》以“精准响应、资源高效”为原则,构建覆盖事件“研判-报告-处置-总结”的全链条管理闭环。事件发生时,要求报送基本情况、事件类型、初步原因分析及应对措施等8项核心内容,允许先报告关键信息,其他情况及时补报。事件处置工作结束后30日内要求提交总结报告,内容涵盖发生原因、应急处置措施、造成的危害、责任追究、完善整改情况、教训等,形成“分析-处置-整改-教训”的实施闭环,推动网络运营者从被动应对向主动预防转型。

三、《办法》科学分类分级,指导网络安全事件差异化处置

《办法》将网络安全事件科学分级、差异化响应,分为“特别重大、重大、较大、一般”四级,分级标准聚焦“国家安全、社会秩序、公共利益、用户权益”四大维度。针对不同责任主体设计差异化报告路径及时限,对发生较大以上安全事件的,关键信息基础设施网络运营者1小时内同步报送保护工作部门及公安机关,中央和国家机关及所属单位网络运营者2小时内向本部门网信工作机构报告,其他网络运营者4小时内向属地省级网信部门报告,属于重大、特别重大网络安全事件的,时限要求更加严格。

四、《办法》明确责任分工,建立了网络安全事件多方协作体系

《办法》构建了网络安全事件报告主要责任、协助报告及监督管理的协同治理体系。《办法》明确,国家网信部门负责统筹协调全国网络安全事件报告管理工作,省级网信部门负责统筹协调本行政区域内网络安全事件报告管理工作。网络运营者为事件报告核心责任主体,承担事件“第一时间发现、主动报告、优先处置”的义务。网络安全运营者相关服务方负责网络安全事件的协助报告,及时向网络运营者报告监测发现的网络安全事件。有关主管部门负责网络安全事件报告的监督管理,对未按照规定报告网络安全事件的网络运营者,按照有关法律、行政法规的规定进行处罚。

五、《办法》畅通信息渠道,形成了网络安全事件协同治理格局

《办法》积极鼓励报告网络安全事件,通过建设热线电话和网站、邮箱、传真等多种方式,为网络运营者、社会组织和个人等提供便捷高效的报告渠道,确保网络安全事件能够及时、有效地处置。另外,对迟报、漏报或者瞒报造成重大危害的网络运营者及责任人依法从重处罚,对部门未按规定报告的依法追究相关单位和人员责任;对采取合理必要防护措施,有效降低影响和危害,并按规定及时报告的网络运营者,可视情从轻或不予追究责任。形成网络运营者履责、有关部门监督、公众参与的协同治理格局。(作者:张格,国家工业信息安全发展研究中心总工程师)