千言萬語一句話，網(wǎng)絡(luò)安全系你我。

但是，作為安全服務(wù)企業(yè)該如何著手工作呢？也就是參考依據(jù)是什么，如何企業(yè)內(nèi)部如何很好的管控安全服務(wù)工作，其實(shí)《信息安全技術(shù) 信息安全服務(wù)提供方管理要求》（以下簡稱“《管理標(biāo)準(zhǔn)》”）理論上是各個安全服務(wù)企業(yè)去考慮的一個國家標(biāo)準(zhǔn)。

我們回到《管理標(biāo)準(zhǔn)》，在標(biāo)準(zhǔn)4章信息安全服務(wù)原則的4.1節(jié)就是合規(guī)性，其描述如下：

具體原則如下 ：

綜上，其a)項(xiàng)，則是要求合法合規(guī)符合標(biāo)準(zhǔn)，則《網(wǎng)絡(luò)安全法》第二十二條可以作為工作的上位要求，而《管理標(biāo)準(zhǔn)》則可以作為企業(yè)內(nèi)部安全服務(wù)管理的參考。《管理標(biāo)準(zhǔn)》第5章信息安全服務(wù)組織級管理，分別從制度和體系、人力資源、保密、技術(shù)能力、服務(wù)協(xié)議、服務(wù)組合、供應(yīng)鏈幾個方面進(jìn)行了規(guī)范；第6章信息安全服務(wù)項(xiàng)目級管理，分別從服務(wù)方案、服務(wù)人員、服務(wù)過程、服務(wù)工具和平臺、服務(wù)風(fēng)險、服務(wù)變更、服務(wù)溝通、服務(wù)交付幾個方面進(jìn)行了規(guī)范。

回到網(wǎng)安局公眾號中寧夏這起處罰，銀川某科技有限公司作為該網(wǎng)站設(shè)計(jì)建設(shè)方和日常運(yùn)維提供方，在明知系統(tǒng)存在漏洞的情況下，未履行《網(wǎng)絡(luò)安全法》第二十二條第一款法定要求，對其提供的網(wǎng)絡(luò)產(chǎn)品、服務(wù)的安全缺陷、漏洞等風(fēng)險未及時采取補(bǔ)救措施、未及時告知用戶并向主管部門報告。

若該企業(yè)，能夠規(guī)范化提供安全服務(wù)，對服務(wù)方案、服務(wù)人員以及服務(wù)過程進(jìn)行充分的管控，則理論上不會出現(xiàn)“在明知系統(tǒng)存在漏洞的情況下”，而不履行法定義務(wù)的情況。這個過程中，服務(wù)者（企業(yè)）理應(yīng)非常熟悉相關(guān)法律法規(guī)，提供規(guī)范化的安全服務(wù)。然而，很多企業(yè)對規(guī)范化這塊的認(rèn)知遠(yuǎn)不如對安全服務(wù)業(yè)務(wù)來的清楚，然而一個好的安全服務(wù)需要企業(yè)通過規(guī)范化流程，制度化管理保障其服務(wù)質(zhì)量，才能將自身風(fēng)險降到最低，將利益最大化。另外一點(diǎn)就是，任何時候都不要存在僥幸心理，要時刻保持警惕性，這既是合規(guī)方面面臨監(jiān)督檢查，同時也是最大程度的防范黑客攻擊。

我把本期公眾號名稱《提供第三方網(wǎng)絡(luò)服務(wù)，網(wǎng)警是認(rèn)真的！你們是認(rèn)真的嗎？》，調(diào)整了語序，是想就這個問題談一下企業(yè)如何認(rèn)真下去，本意是既然提供第三方網(wǎng)絡(luò)服務(wù)，網(wǎng)警執(zhí)法檢查認(rèn)真了，企業(yè)被處罰究其原因還是自身合規(guī)能力太差，為什么太差呢？有可能對這塊了解甚少，平時只顧著做業(yè)務(wù)，對自身綜合服務(wù)水平未做全面考慮。如何考慮這塊呢？那就要從合法合規(guī)出發(fā)，參考國家標(biāo)準(zhǔn)，建立自身一套科學(xué)有效的服務(wù)規(guī)范和流程，整體提高自身安全服務(wù)綜合能力。這里面涉及到法律法規(guī)、技術(shù)標(biāo)準(zhǔn)、自身技術(shù)、企業(yè)管理、風(fēng)險管控等等。

所以，一個認(rèn)真的第三方服務(wù)，自然不會成為供應(yīng)鏈上的最弱的一環(huán)，如果成為最弱的一環(huán)，用戶何以安呢？我個人的一些陋見，不足以正人，僅作為拋磚引玉之功，待方家批評指正共同回答好這個問題。

以下節(jié)選，網(wǎng)安局公眾號供大家參考：

警察蜀黍

第三方公司！你們對所提供的網(wǎng)絡(luò)產(chǎn)品、網(wǎng)絡(luò)服務(wù)的安全缺陷、漏洞等風(fēng)險及時采取補(bǔ)救措施了嗎？及時告知用戶并向主管部門報告了嗎？

嗚嗚嗚，沒有，我們錯了

第三方公司