企業(yè)遭遇黑客入侵且被勒索，報案后被處行政警告處罰，到底冤不冤？

今年4月，有兩家企業(yè)遭遇境外黑客入侵，且被勒索用支付比特幣來解密系統(tǒng)，寶安網(wǎng)警偵查發(fā)現(xiàn)，涉案公司存在大量的網(wǎng)絡(luò)漏洞和安全問題，按照“凈網(wǎng)2020專項行動”的要求啟動“一案雙查”，以不履行網(wǎng)絡(luò)安全義務(wù)，違反《網(wǎng)絡(luò)安全法》給予該兩家公司行政警告處罰。

經(jīng)檢測，發(fā)現(xiàn)公司存在以下網(wǎng)絡(luò)安全問題：

1. 網(wǎng)絡(luò)服務(wù)器存在系統(tǒng)防火墻未開啟；
2. 遠(yuǎn)程連接未限制訪問IP；
3. 域控未配置安全密碼策略等多個問題；
4. 存儲服務(wù)器數(shù)據(jù)的機房安全責(zé)任人，只是一名僅懂得計算機基本操作知識的保安員；
5. 企業(yè)本身的安全防護網(wǎng)絡(luò)，被第三方技術(shù)檢測出幾十個漏洞；
6. 違反《網(wǎng)絡(luò)安全法》……

（信息來源：南方都市報）

以上事件，SGS信息及網(wǎng)絡(luò)安全解決中心專家認(rèn)為，對于以上企業(yè)遇到的網(wǎng)絡(luò)安全事件，其主要原因在于：

1. 缺乏必要的信息安全專業(yè)人員，且缺乏必要的信息安全培訓(xùn)；
2. 信息安全意識薄弱；
3. 信息安全管理制度不完善；
4. 信息安全防護措施不完善等。

為防止此類事件，SGS信息及網(wǎng)絡(luò)安全解決中心專家建議：

建議1：配備足夠的、專業(yè)的信息安全技術(shù)人員，并給該類人員提供足夠的信息安全專業(yè)知識培訓(xùn)，確保其信息安全保護相關(guān)的能力；
建議2：加強其其信息系統(tǒng)及網(wǎng)絡(luò)權(quán)限的管控，及時刪除離職人員或者不再使用的賬號，防止因未授權(quán)的訪問造成信息從內(nèi)部泄密或者被破壞；
建議3：建立或完善信息安全管理制度，并根據(jù)實際情況不斷完善及更新其管理制度，做好管理制度的落實工作。例如補丁更新及漏洞修復(fù)，信息備份等；
建議4：在企業(yè)內(nèi)外網(wǎng)部署相關(guān)網(wǎng)絡(luò)安全防護產(chǎn)品、入侵檢測設(shè)備；
建議5：建立或完善信息安全事件管理制度，以確?？焖?、有效地響應(yīng)信息安全事件，并在事件響應(yīng)過程中，保存和保護相應(yīng)的證據(jù)；
建議6：建立或完善信息安全連續(xù)性管理計劃，并定期測試連續(xù)性計劃的有效性，以降低突發(fā)信息安全事件對企業(yè)的影響；
建議7：定期通過技術(shù)手段，驗證企業(yè)信息系統(tǒng)及網(wǎng)絡(luò)的安全性，例如滲透性測試、漏洞掃描及修復(fù)等；
建議8：識別相關(guān)的信息安全法律、法規(guī)要求和合同要求，并滿足其要求，以確保合規(guī)性；
建議9：定期開展企業(yè)內(nèi)部信息安全意識培訓(xùn)，提高企業(yè)內(nèi)部人員的信息安全意識。

如果企業(yè)有實施ISO/IEC 27001信息安全管理體系，或按照其中的要求進行信息安全管理，可以全部滿足以上專家給出的幾點建議，不僅能有效降低企業(yè)信息安全事件，還能在滿足企業(yè)信息安全合規(guī)要求的同時減小企業(yè)損失。

以下列出SGS專家建議在ISO/IEC 27001:2013信息安全管理體系中的對應(yīng)要求：

以上列出的僅僅是ISO/IEC 27001:2013要求中很小一部分，而其中完整包括了從A.5到A.18共14個安全域，114項安全控制措施的完整安全控制要求，企業(yè)如果能按照其中的要求管理自身的信息安全，則企業(yè)的信息安全管理將會提高到國際先進水平。不僅能提高企業(yè)商業(yè)競爭力，還能為企業(yè)的股東、合作伙伴、客戶樹立信息安全的信心。

作為國際公認(rèn)的檢驗、鑒定、測試和認(rèn)證機構(gòu)，SGS致力于為各行各業(yè)提供企業(yè)優(yōu)化服務(wù)，在信息安全和個人信息及隱私管理服務(wù)范圍內(nèi)，包括：

1. ISO/IEC 27001 信息安全管理體系；
2. ISO/IEC 27701隱私信息管理體系；
3. ISO/IEC 20000 IT服務(wù)管理體系；
4. ISO/IEC 27017 云服務(wù)信息安全規(guī)范；
5. ISO/IEC 27018 公共云個人信息（ PII）處理者的信息安全控制規(guī)范；
6. ISO 22301 業(yè)務(wù)連續(xù)性管理體系；
7. CSA STAR 云安全聯(lián)盟云安全評估認(rèn)證；
8. GDPR相關(guān)的培訓(xùn)和認(rèn)證服務(wù)。

（本文著作權(quán)歸SGS所有，商業(yè)轉(zhuǎn)載請聯(lián)系獲得正式授權(quán)，非商業(yè)轉(zhuǎn)載請注明出處）