以上信息转自:河南网警
根据违规内容:“该校不履行网络安全保护义务,未制定内部安全管理制度和操作规程,未按照规定留存相关网络日志六个月”可以推断公安部门应当是根据《网络安全法》第二十一条进行处罚的。第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。针对此次违法行为,对涉事单位处罚结果为:对该校给予10000元罚款的行政处罚,对该校网络安全负责人给予5000元罚款的行政处罚。处罚的依据是《网络安全法》第59条:第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。为什么这样处罚?因为该校信息系统遭受了黑客攻击,属于导致危害网络安全后果。那么此次受到处罚的网络安全负责人应该是谁?大家可以在下面进行投票选择:不论是谁,被处罚了都会感觉很憋屈,明明学校自己是受害者,反而自己还被处罚,甚至自己平时工作做的还不错,感觉莫名其妙的被处罚。心情我们可以理解,但是法律面前人人平等,一切以事实为依据,这确实违法了。教育部门先后多次对网络安全工作提出了相关要求,如教育部教职成司函〔2017〕100号文《关于进一步落实职业院校网络安全工作的通知》,明确提出了建立主要负责人为第一责任人的网络安全工作体系,落实网络安全责任制,全面实施安全等级保护制度。
河南省教育厅在2017年6月发布的《关于在全省教育系统开展网络安全综合治理行动的通知》中也提出了尽快完成信息系统的等级保护定级及备案工作,对新建系统应在上线前做好系统定级备案和测评整改,并且明确2017年8月底完成,其中对于二级信息系统要求每两年进行一次测评,同时也要求明确主管领导、牵头部门和责任人。 
