近日，山東煙臺公安網安部門查處一起網絡安全案件：某機構門戶網站遭不法分子網絡攻擊，網站內容被篡改并植入違法信息，嚴重擾亂網絡空間秩序，造成不良社會影響。經查，此案暴露出信息系統供應鏈安全管理的典型漏洞，使用單位與第三方運維公司的雙重失職是事件發生的核心原因。

　　一、案情還原：外包運維留隱患，主體責任未落實

　　公安網安部門接報后迅速開展調查，查明案件關鍵事實：

　　該機構將門戶網站的建設與日常維護工作，全權委托給某第三方開發運維公司。但該運維公司在系統開發調試階段，未落實基本網絡安全防護措施，未及時修復已知系統漏洞，也未向委托方履行風險告知義務，直接將存在重大安全隱患的系統交付上線，為網絡攻擊埋下“定時炸彈”。

　　與此同時，該機構作為網絡運營者，未依法履行網絡安全主體責任：既未建立完善的網絡安全管理制度，也未按網絡安全等級保護制度要求部署必要的防護設施，對托管系統的安全狀況長期失察失管，未能及時發現并堵塞安全漏洞，最終導致網站被非法入侵、內容被篡改。

　　關鍵提醒：供應鏈安全不能“一托了之”

　　此案是當前信息系統供應鏈安全管理缺位的典型縮影：使用單位將系統外包后“甩手掌柜”式管理，服務商只重交付、忽視后續安全保障的“交付即走”模式，導致雙方均未履行法定安全義務，形成責任真空，最終釀成安全事件。

　　二、依法處置：雙方均被責令限期改正

　　依據《中華人民共和國網絡安全法》相關規定，煙臺公安網安部門對涉事雙方作出明確處理：

　　1.涉事機構：因未履行網絡安全保護義務、未建立網絡安全管理制度等行為，違反《中華人民共和國網絡安全法》第二十一條、第五十九條第一款規定，被依法責令限期改正；

　　2.涉事第三方開發運維公司：因未采取必要安全措施、未按規定告知和報告系統風險等行為，違反《中華人民共和國網絡安全法》第二十二條第一款、第六十條規定，被依法責令限期改正。

　　三、法律依據：網絡安全責任有法可依

　　《中華人民共和國網絡安全法》第二十一條規定：網絡運營者應當按照網絡安全等級保護制度的要求，履行安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。

　　《中華人民共和國網絡安全法》第二十二條第一款規定：網絡產品、服務應當符合國家標準的強制要求，網絡產品、服務的提供者不得設置惡意程序，發現其網絡產品、服務存在安全缺陷、漏洞風險時，應當立即采取補救措施，并按照規定及時告知用戶并向有關主管部門報告。

　　四、重要警示：系統可外包，責任不能外卸

　　煙臺公安網安部門提醒：企業、機構在委托第三方進行網站建設、系統運維時，**系統可以外包，責任不能外卸**：

　　使用單位須切實履行網絡安全主體責任，在合作合同中明確安全要求，將安全驗收納入項目交付核心環節，定期核查托管系統安全狀況；

　　開發運維單位須依法保障所提供產品和服務的安全性，堅守“交付即安全、運維即負責”原則，及時修復安全漏洞，主動履行風險告知義務；

　　雙方需共同承擔安全責任，形成全流程安全管理閉環，才能筑牢信息系統供應鏈安全防線，避免類似網絡安全事件發生。