千言万语一句话，网络安全系你我。

但是，作为安全服务企业该如何着手工作呢？也就是参考依据是什么，如何企业内部如何很好的管控安全服务工作，其实《信息安全技术 信息安全服务提供方管理要求》（以下简称“《管理标准》”）理论上是各个安全服务企业去考虑的一个国家标准。

我们回到《管理标准》，在标准4章信息安全服务原则的4.1节就是合规性，其描述如下：

具体原则如下 ：

综上，其a)项，则是要求合法合规符合标准，则《网络安全法》第二十二条可以作为工作的上位要求，而《管理标准》则可以作为企业内部安全服务管理的参考。《管理标准》第5章信息安全服务组织级管理，分别从制度和体系、人力资源、保密、技术能力、服务协议、服务组合、供应链几个方面进行了规范；第6章信息安全服务项目级管理，分别从服务方案、服务人员、服务过程、服务工具和平台、服务风险、服务变更、服务沟通、服务交付几个方面进行了规范。

回到网安局公众号中宁夏这起处罚，银川某科技有限公司作为该网站设计建设方和日常运维提供方，在明知系统存在漏洞的情况下，未履行《网络安全法》第二十二条第一款法定要求，对其提供的网络产品、服务的安全缺陷、漏洞等风险未及时采取补救措施、未及时告知用户并向主管部门报告。

若该企业，能够规范化提供安全服务，对服务方案、服务人员以及服务过程进行充分的管控，则理论上不会出现“在明知系统存在漏洞的情况下”，而不履行法定义务的情况。这个过程中，服务者（企业）理应非常熟悉相关法律法规，提供规范化的安全服务。然而，很多企业对规范化这块的认知远不如对安全服务业务来的清楚，然而一个好的安全服务需要企业通过规范化流程，制度化管理保障其服务质量，才能将自身风险降到最低，将利益最大化。另外一点就是，任何时候都不要存在侥幸心理，要时刻保持警惕性，这既是合规方面面临监督检查，同时也是最大程度的防范黑客攻击。

我把本期公众号名称《提供第三方网络服务，网警是认真的！你们是认真的吗？》，调整了语序，是想就这个问题谈一下企业如何认真下去，本意是既然提供第三方网络服务，网警执法检查认真了，企业被处罚究其原因还是自身合规能力太差，为什么太差呢？有可能对这块了解甚少，平时只顾着做业务，对自身综合服务水平未做全面考虑。如何考虑这块呢？那就要从合法合规出发，参考国家标准，建立自身一套科学有效的服务规范和流程，整体提高自身安全服务综合能力。这里面涉及到法律法规、技术标准、自身技术、企业管理、风险管控等等。

所以，一个认真的第三方服务，自然不会成为供应链上的最弱的一环，如果成为最弱的一环，用户何以安呢？我个人的一些陋见，不足以正人，仅作为抛砖引玉之功，待方家批评指正共同回答好这个问题。

以下节选，网安局公众号供大家参考：

2月4日，宁夏银川市网安民警在工作中发现，辖区内某官方网站被黑客攻击篡改。经立案调查，银川某科技有限公司作为该网站设计建设方和日常运维提供方，在明知系统存在漏洞的情况下，未履行《网络安全法》第二十二条第一款法定要求，对其提供的网络产品、服务的安全缺陷、漏洞等风险未及时采取补救措施、未及时告知用户并向主管部门报告。

也就是说，甲方委托他们建设和运维的网站有没有毛病？有！怎么补救？不知道！这也太不专业！太不认真了！！！

调查清楚情况后，银川网安依照《网络安全法》六十条第二项之规定，对该公司不履行网络风险消除和告知义务的违法行为，给予单位罚款5万元、法人代表罚款1万元的行政处罚。同时对其他有关单位追究法律责任，依法予以相应处罚。 

该案的办理，为宁夏全区网安部门办理此类行政案件提供了有益的法律实践。