中国计划出台网络安全事件报告管理办法,从重处罚迟报、漏报、谎报或瞒报网络安全事件,造成重大危害后果的运营者。
中国国家互联网信息办公室星期五(12月8日)在官网上公布,已起草《网络安全事件报告管理办法(征求意见稿)》,现向社会公开征求意见。意见反馈截止时间为2024年1月7日。
根据征求意见稿,制定网络安全事件报告管理办法,目的是规范网络安全事件的报告,减少网络安全事件造成的损失和危害,维护国家网络安全。
运营者在发生网络安全事件时,应当及时启动应急预案进行处置。按照《网络安全事件分级指南》,属于较大、重大或特别重大网络安全事件的,应当于一小时内进行报告。
报告内容至少包括事发单位名称及发生事件的设施、系统、平台的基本情况;对勒索软件攻击事件,还应当包括要求支付赎金的金额、方式、日期。
因运营者迟报、漏报、谎报或者瞒报网络安全事件,造成重大危害后果的,对运营者及有关责任人依法从重处罚。
中国国家计算机病毒应急处理中心去年9月发布关于西北工业大学遭受境外网络攻击的调查报告。报告初步判定,相关攻击活动来自美国国安局下属的特定入侵行动办公室(TAO)。央视新闻后来在今年9月报道,调查单位在侦办中国西北工业大学被网络攻击案过程中,成功提取了由美国国家安全局开发的间谍软件样本。
武汉公安局江汉分局也曾在今年7月通报,武汉应急管理局地震监测中心部分网络设备被网络攻击,并指攻击行动由境外具有政府背景的黑客组织和不法分子发起。