《征信机构法律风险、信息安全测评修改》由会员分享,可在线阅读,更多相关《征信机构法律风险、信息安全测评修改(4页珍藏版)》请在金锄头文库上搜索。
1、风险点五、信息安全测评1、 风险描述 征信机构未按照国家信息安全保护等级保护测评标准进行信息系统安全等级保护测评的法律风险2、 风险解读我国相关法律法规明确规定,征信机构应当按照国家信息安全保护等级测评标准,对信用信息系统的安全情况进行测评。信息系统安全等级保护测评工作是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。若征信机构未按照国家信息安全保护等级保护测评标准进行信息系统安全等级保护测评的,将承担以下不利后果:1. 由中国人民银行及其分支机构责令改正;情节严重的,处1万元以上3万元以下罚款;涉嫌犯罪的,
2、依法移交司法机关追究其刑事责任。2. 由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正;逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果。 三、防范对策四、相关法条征信机关管理办法第三十条 征信机构应当按照国家信息安全保护等级测评标准,对信用信息系统的安全情况进行测评。征信机构信用信息系统安全保护等级为二级的,应当每两年进行测评;信用信息系统安全保护等级为三级以及以上的,应当每年进行测评。个人征信机构应当自具有国家信息安全等级保护测评资质的机构出具测评报告之日起20日内,将测评报告报送中国人
3、民银行,企业征信机构应当将测评报告报送备案机构。第三十七条 征信机构违反本办法第二十九条、第三十条规定的,由中国人民银行及其分支机构责令改正;情节严重的,处1万元以上3万元以下罚款;涉嫌犯罪的,依法移交司法机关追究其刑事责任。信息安全等级保护管理办法 第四十条 第三级以上信息系统运营、使用单位违反本办法规定,有下列行为之一的,由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正;逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果: (一) 未按本办法规定备案、审批的;(二) 未按本办法规定落实安全
4、管理制度、措施的;(三) 未按本办法规定开展系统安全状况检查的;(四) 未按本办法规定开展系统安全技术测评的;(五) 接到整改通知后,拒不整改的;(六) 未按本办法规定选择使用信息安全产品和测评机构的;(七) 未按本办法规定如实提供有关文件和证明材料的;(八) 违反保密管理规定的;(九) 违反密码管理规定的;(十) 违反本办法其他规定的。 违反前款规定,造成严重损害的,由相关部门依照有关法律、法规予以处理。五、典型案例北京警方破获CSDN网站用户数据泄露案2012年03月20日 20:15来源:人民网 作者:付龙字号:T|T0人参与0条评论打印转发历经40多天的缜密侦查,北京警方一举破获CSD
5、N网站用户数据泄露案,并成功带破另外4起网络案件,共抓获并以涉嫌非法获取计算机数据罪刑事拘留曾某等5名犯罪嫌疑人。北京市公安局今天首度披露详细案情和侦破经过。在积极开展案件侦破工作的同时,北京警方对CSDN网站未落实国家信息安全等级保护制度造成用户信息泄漏事件做出行政警告处罚,这是我国落实信息安全等级保护制度以来的首例“罚单”。北京警方相关负责人表示,从打击犯罪和行政处罚两方面入手,既有效震慑犯罪分子的嚣张气焰,又依法加强对相关单位信息安全的监管,彰显出首都公安机关全力维护信息安全的决心和能力。CSDN网站报案核心数据遭泄露2011年12月22日,北京警方接到CSDN公司报案,称其公司服务器被
6、入侵,核心数据遭到泄露。北京市公安局网安总队高度重视迅速行动,立即调派精干警力会同相关部门成立专案组,全力开展侦破工作。警方缜密调查40多天辗转10余省市通过对网上泄露的大量CSDN数据在时间等方面进行仔细比对,专案组发现这些数据大部分集中在2009年7月至2010年7月。由此推测,其服务器被入侵时间为2010年7月前。由于涉及被入侵的服务器已于一年前被转做它用,日志未留存、数据无法恢复,当时负责的技术人员又大部分离职,现有人员不了解情况,再加上数据丢失已两年时间,要通过数据来源找到最初入侵者难度很大。围绕着该公司相关员工情况,犹如大海捞针一般,专案组展开了大量细致的调查走访工作。很快,专案组
7、获得4条重要线索,分别涉及海南、广东、江苏、浙江、黑龙江等十余省市。经过耐心细致地摸排,逐一的调查追踪,专案组排除干扰,从诸多头绪中,最终锁定一条关键线索,曾于2010年9月发帖自曝掌握CSDN数据库,要求与公司进行合作的一名用户进入到专案组视野,但由于时间原因,当时的帖文、聊天内容已经无从查找,案件调查工作看似再度陷入僵局。案件成功告破嫌疑人供认不讳专案组在相关部门大力配合下,通过扎实细致的工作,最终锁定嫌疑人,并于2012年2月4日在浙江温州将嫌疑人曾某抓获。经初步审查,该男子对2010年4月利用CSDN网站漏洞,非法侵入服务器获取用户数据的犯罪事实供认不讳,曾某还交代了曾经入侵过某充值平
8、台及某股票系统的犯罪事实。至此,专案组侦查员,历时40余天,辗转10余个省市,成功破获CSDN数据泄露案。目前此案正在进一步工作中。网站安全存隐患予以行政警告处罚事件发生后,北京警方对CSDN网站开展了调查,发现其未落实国家信息安全等级保护制度,安全管理制度和技术保护措施落实不到位是造成用户信息泄漏的主要原因。市公安局向CSDN网运营公司提出了具体整改要求,并依据中华人民共和国计算机信息系统安全保护条例相关规定,对北京创新乐知信息技术有限公司做出行政警告处罚。自今年1月起,北京警方对全市106家互联网网站开展信息安全检查工作,发现并现场纠正206处安全隐患,有效提高了首都互联网网站安全管理水平
9、。严打涉网犯罪 北京警方成效显著去年以来,北京警方坚持深化民意主导警务工作理念,全面落实打防管控一体化工作机制,充分利用网络资源,深挖涉网违法犯罪线索,大力提高网上综合管控能力,不断加大涉网犯罪打击力度,净化网络环境,全力维护网络安全。截至目前,共侦破网上诈骗、网络赌博等网络违法犯罪案件3500余起,打掉各类犯罪团伙15个,抓获犯罪嫌疑人3600余人。针对微博等新媒体,北京警方创新建立网上执法服务管理新机制,通过“首都网警”实名微博对传播、散布有害信息,涉嫌轻微违法的行为进行警示,提醒网民自觉遵守国家法律规定,共同抵制有害信息传播。北京警方提示,当前,黑客攻击破坏活动趋利性日益明显,已形成由制
10、作提供黑客工具、实施攻击、盗窃账号、倒卖账号、提供交易平台等各个环节分工合作的利益链条。希望广大涉网公司提高防范意识,加强技术安全保护措施。北京警方将进一步加大工作力度,严厉打击此类违法犯罪活动,全力维护互联网信息安全。相关4起带破案件1.侦破某商城被黑客敲诈案2011年12月27日,北京警方接某公司报案称:有人以持有该公司用户数据为由敲诈勒索270余万。网安总队立即协助朝阳分局对此案展开深入调查,经过民警连夜侦查,于30日上午将犯罪嫌疑人要某在陕西抓获。经突审,该人供述于2011年4月至今,利用该商城网站存在的漏洞,非法获取该商城大量用户数据信息,并以此为由敲诈勒索的犯罪事实。2.侦破某公司
11、信息系统被破坏案2011年12月22日,北京警方接某公司报案称,该公司微博网站有不同账号发布大量相似广告信息,登陆成功的账号共发表广告微博数量20万条左右。经初步估算,该公司损失总计约为100万余元。经过大量的调查走访,网安总队会同相关部门将犯罪嫌疑人蔡某抓获。蔡某交代了利用非法获取的网站数据,大肆在该网站微博上进行测试,并利用成功登陆的用户名发送大量的微博广告牟利。3.两家网站被非法获取计算信息系统数据案在追查CSDN数据库泄露源头过程中,网安总队侦查员又先后发现分别入侵两家网站服务器的嫌疑人吴某、董某,经连续工作将二人一举抓获。经讯问,嫌疑人吴某供述利用某网站漏洞,使用工具非法获取大量用户
12、数据的犯罪事实;嫌疑人董某供述了非法入侵某网站服务器获取大量用户数据的犯罪事实。 深入贯彻落实科学发展观和党的十七届五中全会,及全国、省、市纪委工作会议精神,坚持以人为本、执政为民理念,坚持标本兼治、综合治理、惩防并举、注重预防的方针,弘扬理论联系实际的马克思主义学风actively carry out the law on civil air defense education, drawn out of the air defense in Pingliang city Building under easy fare, daily special inspection and regulation, overfulfilled the province upper and lower knots of up to 500,000 yuan fee collection tasks. 5, further standardize internal management, improve staff quality. Adhere to the
