根据《信息安全等级保护管理办法》第十四条第一款规定，信息系统安全保护等级为第三级的信息系统应当每年至少进行一次等级测评。根据新出台的《网络安全法》规定，定期开展测评属于第二十一条第（五）项规定的“法律、行政法规规定的其他义务”。

 

 汕头市某信息科技有限公司之行为已违反《信息安全等级保护管理办法》第十四条第一款和《网络安全法》第二十一条第（五）项规定，构成未按规定履行网络安全等级测评义务。根据《网络安全法》第五十九条第一款规定，依法对该单位给予警告处罚并责令其改正。

以上内容转自微信公众号： 汕头网警巡查执法

这是不得不得目前看到的国内首例依据《网络安全法》对相关单位未及时履行网络安全义务行为进行处罚的典型案例。该案例具有深远意义，为各地开展等级保护工作，开展网络安全工作指明了一条可借鉴之路。很多人觉得网络安全法离自己很远，可是实际可能我们一直在违法，只是没有处罚你们而已。为什么说这个案例很典型，因为不得不等看到不少三级用户单位并没有按照要求每年及时开展等级保护测评，按照这个案例来看，都可以给予警告处罚并责令改正。这次这是警告，按理还可以依据第七十一条 有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。如果是国家机关政务网络的运营者的话还可以依据：第七十二条 国家机关政务网络的运营者不履行本法规定的网络安全保护义务的，由其上级机关或者有关机关责令改正；对直接负责的主管人员和其他直接责任人员依法给予处分。这个就比较严重了，要依法给予处分。

 

好在此次该单位违法行为不严重，没有造成什么严重后果或者网络安全事件，倘若给他人造成损害的，那依据：第七十四条 违反本法规定，给他人造成损害的，依法承担民事责任。违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。可能有人觉得我们能给别人造成什么损害啊，最普通的一件事：信息泄露，泄露他人个人隐私敏感信息的，都可以起诉网络运营者。

 

最后友情提醒各位网络运营者，特别是网络运营者主要负责人，网络安全相关负责人，三级等保每年请及时开展测评，还没有开展等级保护测评的更要抓紧了，赶紧启动起来，最后建议对定级不准确不合理的网络运营者们，你们需要准确履行自己的网络安全义务，工作还有做的不到位的地方可改进。等保做好了，对信息系统，对单位，对用户，对个人百利而无一害.