岗位设立硬性要求
工商部门对信息安全专员的岗位要求,首先体现在“必须设”这三个字上。根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规,凡是成立后涉及“网络数据处理”“关键信息基础设施运营”“用户个人信息收集”等业务的公司,在注册阶段就必须明确设立信息安全专员的岗位,且这个岗位不能是“挂名岗”或“兼职岗”,得是实职实责。举个例子,去年有个客户想做在线教育平台,需要收集学生身份信息和学习数据,我告诉他必须在注册时提交信息安全专员的任职材料,他当时还跟我抬杠:“我这刚成立,就三五个人,哪有专人搞这个?”我直接甩给他《网络数据处理安全规范》条文——第十五条明文规定,处理重要数据或用户个人信息的企业,应设立专职安全管理机构或岗位。最后他没办法,临时招了个有CISP证书的专员,才把注册材料补齐。所以说,别想着“先成立再说”,工商部门的系统会自动筛查企业经营范围,涉及相关业务的,没这个岗,材料根本过不了审。
.jpg)
那么,哪些经营范围必须设这个岗呢?我给大家总结了一下:凡是经营范围里有“互联网信息服务”“在线数据处理与交易处理”“软件开发”“信息系统集成服务”“大数据服务”“网络文化经营”等关键词的,都属于“高危触发”范围。比如去年有个客户注册“电子商务公司”,卖农产品的同时还开发了小程序收集用户地址和手机号,经营范围里写了“网络经营”,结果在注册环节被市场监管局卡住了,原因就是没提交信息安全专员的备案材料。我当时跟他说:“你这可不是简单的‘卖东西’,涉及用户数据收集,信息安全专员是法定配置,躲都躲不掉。”后来他花了两周时间招了专员,做了备案才顺利拿到营业执照。所以,大家在注册公司前,一定要提前查清楚自己的经营范围是否涉及数据业务,别等材料被驳了才着急忙慌地找人。
岗位设立还有一个容易被忽略的细节:备案。信息安全专员不仅要设,还得在注册时向工商部门提交《信息安全专员备案表》,附上专员的身份证明、学历证明、资质证书等材料。这个备案不是“一备了之”,如果专员中途离职,企业必须在15个工作日内向工商部门报备并提交新专员的材料。去年有个客户,注册时专员是A,结果A入职一周就离职了,企业没及时更新备案,三个月后被市场监管局抽查发现问题,直接下了《责令整改通知书》,还罚款5000块。我当时跟企业负责人说:“工商部门的系统不是死的,他们会定期核对专员的社保缴纳情况、劳动合同备案情况,一旦发现‘人证不符’,麻烦就来了。”所以说,岗位设立不仅要“有”,还得“实时更新”,这事儿必须专人盯,不能马虎。
任职资格门槛
信息安全专员的任职资格,可不是随便找个懂电脑的就能顶上的。工商部门对这个岗位的要求,可以用“高门槛”三个字概括——学历、专业、经验、一个都不能少。首先说学历,大部分省市要求信息安全专员必须具备本科及以上学历,且专业得是“计算机科学与技术”“信息安全”“网络工程”等相关领域。去年有个客户想做医疗大数据分析,经营范围涉及“健康数据收集”,我告诉他信息安全专员得是相关专业本科以上,他当时还想“通融一下”,说他们有个亲戚是临床医学博士,能不能上?我直接摇头:“医学专业跟信息安全不沾边,工商部门审核时会专业对口核查,通融不了。”最后他只好老老实实招了个信息安全专业的研究生。
其次是工作经验。根据《信息安全技术 网络安全等级保护基本要求》的规定,信息安全专员至少得有3年以上网络安全或数据安全管理经验。这个“经验”可不是“在IT公司待过就行”,得有实际的项目案例,比如参与过企业数据安全体系建设、网络安全事件处置、数据分类分级等工作。去年有个客户注册“人工智能公司”,需要处理用户语音数据,他们招了个应届毕业生,计算机专业本科,刚毕业没经验,结果在注册时被市场监管局驳回,理由是“专员经验不足,无法保障数据安全”。我当时跟他们说:“工商部门审核专员材料时,会重点看他的工作履历和项目经验,应届生哪来的‘数据安全管理经验’?这不是开玩笑吗?”后来他们找了个有5年银行数据安全管理经验的专员,才通过了审核。所以说,别想着“省钱招新人”,这个岗位的经验门槛,一步都别想省。
除了学历和专业,资质证书是“硬通货”。工商部门虽然没有明文规定“必须持证”,但在实际审核中,持有CISP(注册信息安全专业人员)、CISSP(注册信息系统安全专家)、CISA(注册信息系统审计师)等权威证书的专员,通过率会高很多。去年有个客户注册“金融科技公司”,需要处理用户支付信息,他们招的专员虽然有8年经验,但没有CISP证书,结果第一次提交材料时,市场监管局以“资质证明不足”为由要求补充材料。我当时跟他们说:“虽然法规没强制要求,但在金融这种强监管领域,有证书等于多了一层‘信用背书’,能大大提高审核通过率。”后来他们让专员去考了CISP,才顺利拿到营业执照。另外,部分地区还要求信息安全专员必须“本地备案”,比如北京、上海、深圳等一线城市,专员需要在当地网信部门或公安部门备案,这个细节大家一定要提前问清楚,别等注册了才发现“备案过期”。
还有一个容易被忽略的“软门槛”:无犯罪记录。去年有个客户注册“社交平台公司”,信息安全专员在提交材料时,被查出5年前有过“侵犯公民个人信息”的前科,结果直接被市场监管局驳回,理由是“专员品行不端,不符合数据安全管理要求”。我当时跟他们说:“信息安全专员掌握着企业的核心数据,如果本身有不良记录,谁能放心把数据交给他?”后来他们换了专员,做了无犯罪记录证明,才通过了审核。所以说,这个岗位不仅要求“专业”,更要求“干净”,别让一个“污点”毁了整个公司的注册计划。
职责范围明文
工商部门对信息安全专员的职责要求,可不是“负责信息安全”一句话带过的,而是有明文规定的“责任清单”。根据《中华人民共和国数据安全法》第三十二条,信息安全专员的主要职责包括“建立数据安全管理制度”“开展数据安全风险评估”“处理数据安全事件”“保障数据全生命周期安全”等。去年有个客户注册“在线旅游平台”,需要收集用户的身份证信息和行程数据,我告诉他们的信息安全专员:“你的职责不是‘装个防火墙就完事了’,而是要从数据采集开始,到数据存储、处理、传输、销毁,每个环节都得管到位。”结果这位专员很认真,制定了一份长达20页的《数据安全管理制度》,连“用户密码必须加密存储”这种细节都写清楚了,提交给工商部门后,审核人员直接夸“专业”,一次性通过了注册。
数据分类分级是信息安全专员的核心职责之一,也是工商部门审核的重点。根据《数据安全法》第二十一条,企业需要对数据进行分类分级,一般数据、重要数据、核心数据的管理要求完全不同。去年有个客户注册“健康医疗大数据公司”,需要处理患者的病历和基因数据,我告诉他们的信息安全专员:“这些数据属于‘重要数据’,必须单独存储,访问权限必须严格控制,还要定期做数据备份。”结果专员在提交材料时,附上了《数据分类分级表》和《数据备份记录》,工商部门一看就知道企业“懂行”,直接放行。反观另一个客户,做电商平台的,收集了用户的手机号和购买记录,却不区分数据等级,把所有数据都存在一个服务器里,结果在注册时被市场监管局指出“数据分类分级缺失”,要求整改。所以说,别以为“数据安全就是防黑客”,分类分级才是“基础中的基础”,专员必须把这个职责吃透。
应急响应是信息安全专员的“生死线”,也是工商部门最关注的职责之一。根据《网络安全事件应急预案编制指南》,信息安全专员必须制定《网络安全事件应急预案》,明确“事件分级”“响应流程”“责任人”“处置措施”等内容,还要定期组织演练。去年有个客户注册“支付平台公司”,信息安全专员制定的预案里只写了“发现漏洞要及时处理”,但没写“多长时间内处理”“向谁报告”,结果在注册时被市场监管局驳回,理由是“应急响应机制不完善”。我当时跟他们说:“工商部门最怕的就是企业出事了‘没人管、不会管’,所以预案必须具体到‘分钟’和‘人’。”后来专员把预案改成了“发现高危漏洞后,30分钟内启动应急响应,1小时内上报公司负责人,24小时内提交处置报告”,才通过了审核。另外,去年我还有一个客户,他们的信息安全专员在注册后三个月,真的遇到了黑客攻击,因为预案完善、响应及时,只损失了少量数据,没有被工商部门处罚。相反,另一个企业因为专员“预案是抄的”,出事后手忙脚乱,数据泄露了10万条用户信息,被市场监管局罚款50万,负责人还被列入了“失信名单”。所以说,应急响应不是“纸上谈兵”,专员必须真抓实干,关键时刻能“救命”。
合规性审查是信息安全专员的“最后一道防线”。根据《中华人民共和国个人信息保护法》,企业在收集、使用个人信息时,必须“取得个人同意”“明确告知处理目的”“保障信息安全”,信息安全专员需要对这些环节进行定期审查。去年有个客户注册“教育APP公司”,需要收集学生的姓名、班级、家庭住址,信息安全专员在提交材料时,附上了《个人信息收集清单》和《用户授权协议》,明确告知家长“收集信息仅用于学习管理,不会泄露给第三方”,工商部门一看就知道企业“合规”,直接通过了注册。反观另一个客户,做社交APP的,在用户协议里写了“我们可能会将用户信息用于广告推送”,却没有明确告知用户,结果在注册时被市场监管局指出“个人信息保护措施不到位”,要求整改。所以说,合规性审查不是“走过场”,专员必须把每一个细节都抠清楚,别让“协议漏洞”毁了企业的合规之路。
培训考核机制
信息安全专员的培训考核,不是企业自己的“私事”,而是工商部门监管的“公事”。根据《信息安全技术 网络安全等级保护培训要求》,信息安全专员在入职后必须参加“岗前培训”,且培训合格后才能上岗。这个培训不是企业自己组织的“内部培训”,必须由工商部门认可的“第三方培训机构”或“行业协会”开展,比如中国信息安全测评中心、各地网信办下属的培训中心。去年有个客户注册“云计算服务公司”,信息安全专员刚从国外回来,虽然经验丰富,但没参加过国内的“岗前培训”,结果在注册时被市场监管局要求补充“培训合格证明”。我当时跟他们说:“国内的安全标准和国际不太一样,比如‘等保2.0’‘数据出境安全评估’,这些必须通过培训才能掌握,不然就算你技术再好,也过不了工商部门的审核。”后来专员参加了为期一周的“等保2.0专项培训,拿到了合格证书,才顺利通过了注册。
除了岗前培训,信息安全专员还需要参加“定期复训”。根据《网络安全审查办法》,信息安全专员每年至少要参加一次“年度复训”,复训内容包括“最新法律法规”“最新安全技术”“最新安全事件案例”等。去年有个客户,他们的信息安全专员参加了2022年的培训,但2023年没参加复训,结果在工商部门的“年度合规检查”中被查出“培训过期”,下了《责令整改通知书》,要求15天内补训。我当时跟他们说:“工商部门的监管是‘动态的’,不是‘一次性的’,你以为注册完了就没事了?错了,专员培训过期,照样会被罚。”后来专员赶紧参加了2023年的复训,才把整改完成了。另外,去年我还有一个客户,他们的信息安全专员因为“复训没通过”,被工商部门暂停了岗位资格,企业不得不临时找了替代人员,结果影响了业务进度。所以说,定期复训不是“可选项”,而是“必选项”,专员必须把培训当成“终身学习”,不然迟早会“掉队”。
考核是培训的“指挥棒”,也是工商部门监管的“抓手”。根据《信息安全技术人员考核规范》,信息安全专员的考核内容包括“理论知识”“实践技能”“合规执行”三个方面,考核方式包括“笔试”“实操”“现场检查”等。去年有个客户,他们的信息安全专员虽然培训合格,但在“实操考核”中表现不佳,比如“不会用漏洞扫描工具”“不知道如何处理数据泄露事件”,结果在工商部门的“现场检查”中被指出“技能不足”,要求企业“加强考核”。我当时跟他们说:“培训不是‘拿个证就完事了’,工商部门会定期考核专员的实际能力,如果专员‘光说不练’,企业照样要承担责任。”后来企业制定了《信息安全专员考核细则》,每季度进行一次“笔试+实操”考核,专员的技能提升很快,在后续的工商检查中再也没出过问题。另外,去年我还有一个客户,他们的信息安全专员因为“考核不合格”,被企业辞退了,结果企业在招聘新专员时,工商部门要求“新专员必须通过考核才能上岗”。所以说,考核不是“走过场”,企业必须建立严格的考核机制,确保专员“真会干、能干好”。
考核结果直接关系到企业的“信用评级”。根据《企业信息公示暂行条例》,信息安全专员的考核情况会记入企业“信用信息”,如果考核不合格,企业会被列入“经营异常名录”,影响“融资、招投标、政府采购”等。去年有个客户,他们的信息安全专员连续两次“考核不合格”,企业被列入了“经营异常名录”,结果本来谈好的投资方,因为看到这个“异常记录”,直接撤资了。我当时跟他们说:“别以为‘考核不合格’是小事儿,它会直接影响到企业的‘信用’,信用差了,谁还敢跟你合作?”后来企业花了很大力气,换了专员、通过了考核,才把“异常名录”移除。所以说,考核结果不仅是专员的“成绩单”,更是企业的“信用分”,企业必须高度重视,别让“考核不合格”毁了企业的“信用之路”。
违规处理后果
信息安全专员的违规行为,轻则“罚款整改”,重则“关门大吉”,工商部门的处罚力度,比你想象的要大得多。根据《中华人民共和国网络安全法》第五十九条,如果企业未按规定设立信息安全专员,或者“未履行安全管理职责”,会被“责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款”。去年有个客户注册“物联网公司”,涉及“智能家居数据收集”,但为了“省钱”,没设信息安全专员,结果在运营三个月后被市场监管局查出,被罚款5万,负责人还被罚款2万。我当时跟他们说:“你以为‘省了一个专员的工资’,结果被罚了7万,这笔账怎么算都不划算。”后来他们赶紧招了专员,补了备案,才把事情了结。
如果信息安全专员“故意泄露数据”或者“玩忽职守导致数据泄露”,处罚会更严重。根据《中华人民共和国数据安全法》第四十五条,如果企业“因数据安全保护不力造成数据泄露、毁损、丢失的”,会被“责令改正,给予警告,可以并处十万元以上一百万元以下罚款;对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款,并可以依法禁止其在一定期限内担任企业的董事、监事、高级管理人员”。去年有个客户,他们的信息安全专员因为“跟竞争对手有勾结”,故意泄露了用户的“交易数据”,结果导致10万用户信息被滥用,市场监管局不仅对企业罚款50万,还对专员“终身禁止担任信息安全岗位”,负责人也被列入了“失信名单”。我当时跟他们说:“信息安全专员掌握着企业的‘核心机密’,一旦他‘叛变’,企业可能‘死无葬身之地’。”所以,企业在招聘专员时,一定要做好“背景调查”,别让“内鬼”毁了企业。
如果企业“拒不整改”或者“屡犯违规”,工商部门会“升级处罚”,比如“责令停业整顿”“吊销营业执照”。根据《中华人民共和国网络安全法》第六十一条,如果企业“拒不履行网络安全保护义务,导致危害网络安全等后果的”,会被“责令改正,给予警告,拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,可以并处责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照”。去年有个客户,他们的信息安全专员因为“经验不足”,导致数据泄露了一次,市场监管局要求“整改”,他们没当回事,结果半年后又泄露了一次,市场监管局直接“吊销了他们的营业执照”。我当时跟他们说:“你以为‘整改’是‘走过场’?错了,工商部门的‘容忍度’是有限的,‘屡犯’的代价就是‘关门’。”所以说,违规不是“小事儿”,企业必须“有错就改”,别等“被吊销执照”才后悔。
违规处理还会影响企业的“融资和招投标”。根据《企业信息公示暂行条例》,企业的违规记录会记入“信用信息公示系统”,银行、投资方、招投标平台都会查这个系统。如果企业有“信息安全违规记录”,银行可能会“拒绝贷款”,投资方可能会“撤资”,招投标平台可能会“取消投标资格”。去年有个客户,他们的信息安全专员因为“未履行合规审查”,导致企业被罚款10万,这个记录记入了“信用信息公示系统”。结果本来谈好的银行贷款,因为看到这个记录,直接拒绝了;本来要投的标,也因为“信用不佳”被取消了。我当时跟他们说:“违规记录就像‘烫手山芋’,会跟着企业‘一辈子’,别以为‘罚点钱就完事了’,它会影响企业的‘生死存亡’。”所以说,企业必须重视信息安全专员的合规管理,别让“违规记录”毁了企业的“融资之路”和“招投标之路”。
数据管理规范
数据管理是信息安全专员的核心工作,也是工商部门监管的“重中之重”。根据《数据安全法》第三十条,企业需要对数据进行“全生命周期管理”,包括“数据采集、存储、加工、传输、提供、公开、删除”等环节,每个环节都要有“安全措施”。去年有个客户注册“在线教育平台”,需要收集学生的“姓名、班级、家庭住址、学习成绩”,信息安全专员在提交材料时,附上了《数据全生命周期管理方案》,明确“数据采集时必须获得家长书面同意”“存储时必须加密”“加工时必须脱敏”“传输时必须用SSL协议”“删除时必须彻底清除”,工商部门一看就知道企业“专业”,直接通过了注册。反观另一个客户,做电商平台的,收集了用户的“手机号、购买记录、收货地址”,却把这些数据“明文存储”在普通服务器上,结果在注册时被市场监管局指出“数据存储不安全”,要求整改。所以说,数据管理不是“随便存存”,专员必须把“全生命周期”的每个环节都管到位。
数据分类分级是数据管理的“基础工程”,也是工商部门审核的“核心要点”。根据《数据安全法》第二十一条,企业需要对数据进行“分类分级”,一般数据、重要数据、核心数据的管理要求完全不同。一般数据“可以自由处理”,重要数据“需要加强保护”,核心数据“必须严格管控”。去年有个客户注册“金融科技公司”,需要处理用户的“银行卡号、交易记录、信用评分”,这些数据属于“重要数据”,信息安全专员在提交材料时,附上了《数据分类分级表》,明确“重要数据必须存储在加密服务器中,访问权限必须经过‘双人审批’,定期做数据备份”,工商部门审核时非常满意,直接通过了注册。反观另一个客户,做医疗大数据的,把“患者的病历、基因数据”当成“一般数据”处理,结果在注册时被市场监管局指出“数据分类分级错误”,可能导致“数据泄露风险”,要求整改。所以说,数据分类分级不是“拍脑袋决定”,专员必须根据《数据安全法》的要求,结合企业业务特点,制定科学的分类分级标准。
数据出境安全是数据管理的“敏感环节”,也是工商部门监管的“重点领域”。根据《数据出境安全评估办法》,如果企业需要将数据“传输到境外”,必须通过“数据出境安全评估”,评估内容包括“数据的重要性”“出境的目的”“出境的风险”等。去年有个客户注册“跨境电商平台”,需要将“用户的订单信息、支付信息”传输给境外的“物流合作伙伴”,信息安全专员在提交材料时,先向网信部门申请了“数据出境安全评估”,拿到了《评估通过通知书》,才向工商部门提交了注册材料,结果一次性通过了注册。反观另一个客户,做社交APP的,未经评估就将“用户的聊天记录”传输到境外的“服务器上”,结果在注册时被市场监管局指出“数据出境未评估”,涉嫌“违法”,要求整改。我当时跟他们说:“数据出境不是‘想传就能传’的,必须经过‘安全评估’,不然就是‘违法’,会被重罚的。”所以说,数据出境安全不是“小事儿”,专员必须提前向网信部门申请评估,别等“被处罚了”才后悔。
数据备份与恢复是数据管理的“最后一道防线”,也是工商部门监管的“关键环节”。根据《信息安全技术 信息系统灾难恢复规范》,企业需要对“重要数据”进行“定期备份”,备份的频率和方式要根据“数据的重要性”和“业务需求”确定。比如“核心数据”需要“每天备份一次”,“重要数据”需要“每周备份一次”,备份介质需要“异地存储”。去年有个客户注册“支付平台公司”,信息安全专员制定了《数据备份与恢复方案》,明确“每天凌晨2点备份数据,备份介质存储在异地数据中心,每月进行一次恢复测试”,工商部门审核时非常认可,直接通过了注册。反观另一个客户,做电商平台的,因为“没有定期备份数据”,结果服务器被黑客攻击后,数据全部丢失,导致用户无法下单,企业损失了上百万,还被市场监管局罚款了20万。我当时跟他们说:“数据备份不是‘可有可无的’,它是企业的‘救命稻草’,一旦数据丢失,企业可能‘直接倒闭’。”所以说,数据备份与恢复不是“走过场”,专员必须真抓实干,关键时刻能“救企业一命”。
应急响应流程
应急响应是信息安全专员的“生死线”,也是工商部门监管的“重点对象”。根据《网络安全事件应急预案编制指南》,信息安全专员必须制定《网络安全事件应急预案》,明确“事件分级”“响应流程”“责任人”“处置措施”等内容,还要定期组织演练。事件分级一般分为“一般事件”“较大事件”“重大事件”“特别重大事件”四个等级,不同等级的响应流程和处置措施不同。比如“一般事件”由“信息安全专员”负责处置,“较大事件”需要“公司负责人”介入,“重大事件”需要“向网信部门报告”,“特别重大事件”需要“向公安部门报告”。去年有个客户注册“在线支付平台”,信息安全专员制定的《应急预案》里明确“发现高危漏洞后,30分钟内启动应急响应,1小时内上报公司负责人,24小时内提交处置报告”,工商部门审核时非常满意,直接通过了注册。反观另一个客户,做社交APP的,他们的《应急预案》里只写了“发现漏洞要及时处理”,却没有明确“时间节点”和“责任人”,结果在注册时被市场监管局指出“应急响应机制不完善”,要求整改。所以说,应急响应不是“拍脑袋制定”,专员必须根据《指南》的要求,结合企业业务特点,制定具体的、可操作的预案。
演练是应急响应的“试金石”,也是工商部门监管的“关键环节”。根据《网络安全事件应急预案编制指南》,企业需要“定期组织应急演练”,演练的频率至少是“每半年一次”,演练的内容包括“漏洞处置”“数据泄露”“系统瘫痪”等。演练结束后,信息安全专员需要编写《演练总结报告》,分析“演练中的问题”,提出“改进措施”。去年有个客户注册“云计算服务公司”,信息安全专员组织了一次“数据泄露应急演练”,模拟“黑客攻击导致用户数据泄露”的场景,演练过程中,他们发现“数据备份不完整”“响应流程不顺畅”,于是及时调整了《应急预案》,补充了“数据备份机制”,优化了“响应流程”。后来在工商部门的“现场检查”中,他们提交了《演练总结报告》,工商部门非常认可,直接通过了检查。反观另一个客户,做电商平台的,他们“从来没有组织过应急演练”,结果真的遇到“黑客攻击”时,手忙脚乱,数据泄露了5万条用户信息,被市场监管局罚款了30万。我当时跟他们说:“演练不是‘走过场’,它能检验《应急预案》的可行性,提高专员的处置能力,关键时刻能‘减少损失’。”所以说,定期演练不是“可选项”,而是“必选项”,专员必须把演练当成“实战”,别等“出事了”才后悔。
事后整改是应急响应的“收尾工作”,也是工商部门监管的“重点对象”。应急响应结束后,信息安全专员需要“分析事件原因”,制定《整改方案》,明确“整改措施”“整改责任人”“整改时间”,并向工商部门提交《整改报告》。去年有个客户注册“金融科技公司”,遇到“黑客攻击导致用户支付信息泄露”事件后,信息安全专员立即启动了应急响应,处置了漏洞,恢复了数据,然后分析了事件原因,发现“系统漏洞未及时修补”“员工安全意识不足”,于是制定了《整改方案》,包括“及时修补系统漏洞”“加强员工安全培训”“升级防火墙”等措施,并在15天内向工商部门提交了《整改报告》。工商部门审核后,认为“整改到位”,没有对企业进行处罚。反观另一个客户,做社交APP的,遇到“数据泄露”事件后,信息安全专员“没有及时整改”,导致“事件扩大”,用户信息泄露了20万条,被市场监管局罚款了50万,负责人还被列入了“失信名单”。我当时跟他们说:“事后整改不是‘可有可无的’,它能防止‘事件再次发生’,减少企业的‘损失’,别让‘小问题’变成‘大麻烦’。”所以说,事后整改不是“走过场”,专员必须真抓实干,确保“整改到位”,别等“被处罚了”才后悔。
应急响应的“记录与报告”是工商部门监管的“重点对象”。根据《网络安全事件应急预案编制指南》,信息安全专员需要“记录应急响应的全过程”,包括“事件发生时间”“处置过程”“处置结果”“整改措施”等,并向工商部门提交《应急响应报告》。去年有个客户注册“在线教育平台”,遇到“系统瘫痪”事件后,信息安全专员立即启动了应急响应,30分钟内恢复了系统,然后编写了《应急响应报告》,详细记录了“事件发生时间”“处置过程”“处置结果”“整改措施”,并向工商部门提交了报告。工商部门审核后,认为“记录完整”,没有对企业进行处罚。反观另一个客户,做电商平台的,遇到“系统瘫痪”事件后,信息安全专员“没有记录处置过程”,也没有向工商部门提交报告,结果在工商部门的“年度合规检查”中被查出“应急响应记录缺失”,被罚款了10万。我当时跟他们说:“记录与报告不是‘可有可无的’,它是企业的‘证据’,能证明企业‘履行了安全管理职责’,别让‘缺失记录’毁了企业的‘合规之路’。”所以说,应急响应的记录与报告不是“走过场”,专员必须认真记录,及时提交,别等“被处罚了”才后悔。
.jpg)
