主办:山西省临汾市人民政府 © 版权所有 2018
承办:临汾市审计局
晋ICP备05003731号 网站标识码:1410000081
涉密文件严禁上网
2022年8月15日是《党委(党组)网络安全工作责任制实施办法》正式实施五周年。五年来,临汾市审计局高度重视网络安全和信息化工作,不断强化局党组网络安全责任意识,切实加强网络安全正面宣传,提升了网络舆论引导力,净化了网络空间,守护了网络安全,为筑牢审计网络安全“防火墙”和审计工作创造了良好的网络生态环境。
一、高度重视党委(党组)的网络安全工作责任
《实施办法》第三条具体规定:各级党委(党组)对本地区本部门网络安全工作负主体责任,领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人。这标志着由一个单位的行政副职担任网络安全负责人、出事后将副职一免了之的做法彻底成为了历史。今后发生网络安全事件,首先要追责本单位的党委(党组)以及领导班子主要负责人。全国人大常委会在2017年8月-11月期间,曾对《网络安全法》实施情况作了调研。调研结论认为,网络安全普遍没有得到应有的重视,“说起来重要、干起来次要、忙起来不要”的情况比较常见。长此以往,谁来保护安全?产业如何发展?在耳边喊一万遍网络安全重要,也不如把担子压在肩上。因此,无论对于网络安全保护,还是对于发展网络安全产业,《实施办法》的印发都意义重大。
二、应当追究责任的几类情况
《实施办法》第八条规定了六种需要追究责任的情况。
第一种主要涉及党政机关门户网站、重点新闻网站、大型网络平台被攻击篡改后导致反动言论或者谣言等违法有害信息大面积扩散的情况。需要注意,大型网络平台有可能位于商业领域,不一定位于体制内,因此,追责事项实际上还包括对综合协调或监管部门在事件报告和组织处置中的履职情况。
第二种主要涉及地市级以上党政机关门户网站或者重点新闻网站受到攻击后没有及时组织处置,且瘫痪6小时以上的情况。
第三种主要涉及国家秘密泄露、大面积个人信息泄露或者大量地理、人口、资源等国家基础数据泄露的情况。在《数据安全法》即将实施,国家加强数据安全监管背景下,这类情况需要引起更多注意。
第四种主要涉及关键信息基础设施遭受网络攻击的情况。网络安全不是绝对的,不是不允许出事,但如果没有及时处置导致大面积影响人民群众工作、生活,或者造成重大经济损失,或者造成严重不良社会影响的,应当追责。我国正在建立关键信息基础设施保护制度,《关键信息基础设施安全保护条例》即将发布,故这类情况也需引起注意。
第五种主要涉及封锁、瞒报网络安全事件情况,拒不配合有关部门依法开展调查、处置工作,或者对有关部门通报的问题和风险隐患不及时整改并造成严重后果的情况。一些单位会认为,“封锁”或“瞒报”情况与其无关,但事实上各单位常常需要对通报的问题和风险进行整改,故这类情况并不鲜见。
第六种主要涉及阻碍公安机关、国家安全机关依法维护国家安全、侦查犯罪以及防范、调查恐怖活动,或者拒不提供支持和保障的情况。
三、实施问责和怎么问责
《实施办法》指出,“按有关规定”追究其相关责任。
这里的“按有关规定”指有管理权限的党组织按照党内有关问责程序和纪律处分追究责任。
这里的“责任”分为两类,一类是集体责任,一类是个人责任。追究集体责任时,领导班子主要负责人和主管网络安全的领导班子成员承担主要领导责任,参与相关工作决策的领导班子其他成员承担重要领导责任。
《实施办法》特别指出,各级网络安全和信息化领导机构办公室可以向实施问责的党委(党组)、纪委(纪检组)提出问责建议。
需要指出,问责不意味着代替免除刑事责任。涉嫌犯罪的,应当按程序移交司法机关处理。
四、审计要为网络安全守好责把好关
《实施办法》第十一条指出,各级审计机关在有关部门和单位的审计中,应当将网络安全建设和绩效纳入审计范围。
网络安全事关国家安危,维护网络安全,全社会责无旁贷。作为审计人,既要当好“经济卫士”,又要担起“网络安全卫士”之责,为助力国家整体网络安全守好责把好关。
以强烈的责任意识为网络安全硬件把关。网络安全重在防范,首先要强化网络安全责任意识。对审计工作来说,除了监督被审计单位经济活动,还要落实网络安全和保密工作主体防护责任,全面排查网络安全和数据安全隐患,严防敏感、重要数据库信息泄露事件发生。审计过程中,定要督促被审计单位克服侥幸心理,强化网络安全及保密意识,及时发现被审计单位的电脑、网络等设备安全问题,核查评估网络安全风险,确保网络安全。
用缜密的分析思维为网络安全软件把关。网络安全与应用软件行为紧密相关。有的单位贪图便宜使用盗版软件,有的单位把涉密计算机联外网,有的拷贝重要文件不使用专业U盘等。这些不当行为严重时甚至导致单位公务系统因感染病毒而瘫痪。审计过程中,一旦发现混乱现象,定要责令被审计单位立行立改。
盯住日常不良行为为网络安全习惯把关。在审计过程中,还要督促被审计单位加强网络安全知识宣传教育,建议充分利用微信工作群、内网宣传栏等载体推广网络安全知识,营造大家一起“学安全、懂安全、保安全”的浓厚氛围,纠正各单位用微信等社交工具传递文件,随意复印、拍照、传播工作数据,随意点击来历不明链接等不良习惯。切实提高各单位人员网络安全防范意识和技能,全面规范个人网络行为,维护全市经济社会的网络安全。
总之,为网络安全守好责把好关,重要的是在审计过程中把网络安全“硬件”“软件”“习惯”的监督检查作为必选动作,做到有备而查。针对发现的问题与被审计单位一起制定矫正策略,督促被审计单位由被动接受网络安全检查转变为不间断进行网络安全自查自纠。
