5月30日,中國人民銀行發布《中國人民銀行業務領域網絡安全事件報告管理辦法》(以下簡稱《辦法》),自2025年8月1日起施行。《辦法》進一步明確了相關金融從業機構報告中國人民銀行業務領域網絡安全事件(以下簡稱“網絡安全事件”)的具體要求。中國人民銀行有關部門負責人指出,《辦法》通過細化事件報告流程、明確報告時效要求,著力提升了網絡安全事件報告的可操作性、及時性。
“網安”事件引發輿情需及時匯報
從適用范圍上看,《辦法》明確,由于人為原因、遭受網絡攻擊、存在漏洞隱患、軟硬件缺陷或故障、不可抗力等因素,對金融從業機構建設、運營、維護、管理的中國人民銀行業務領域網絡或者處理的相關數據造成危害的事件,應當按照《辦法》規定向中國人民銀行或者住所地中國人民銀行分支機構報告。其中,中國人民銀行業務領域包括貨幣信貸、宏觀審慎、跨境人民幣、銀行間市場、金融業綜合統計、支付清算、人民幣發行流通、經理國庫、征信和信用評級、反洗錢等業務領域。非網絡安全事件無須按照《辦法》規定報告。涉及國家秘密的,按照有關規定執行。
《辦法》共五章三十三條。一方面,對網絡安全事件分級管理作出規定,明確特別重大、重大、較大、一般等級網絡安全事件的分級標準底線規則。其中,符合下列情形之一的,應當至少分級為重大網絡安全事件:屬于金融基礎設施、直接服務5000萬個以上自然人或與貨幣存取款、支付交易、稅款繳庫、銀行間市場交易密切相關的中國人民銀行業務領域網絡,主要功能在業務高峰時段出現兩個以上省級行政區范圍整體中斷運行3小時以上或者單個省級行政區范圍整體中斷運行6小時以上的;提供金融服務的中國人民銀行業務領域網絡,主要功能出現中斷、超時報錯等情形,已實際影響1000萬個以上自然人或者100萬個以上法人和其他組織的;中國人民銀行業務領域核心數據遭到篡改、破壞、泄露的;致使泄露1000萬條以上敏感個人信息或者1億條以上個人信息的等。
另一方面,《辦法》對網絡安全事件報告流程、內容、時效、途徑等作出規定。在時效上,《辦法》強調,金融機構發生較大等級以上網絡安全事件后,應當于1小時內報送網絡安全事件事發簡要報告,并在24小時內報送網絡安全事件事發報告。如網絡安全事件雖未達到較大等級,相關輿情信息已“上熱搜”并引發較大輿情的,金融機構也應按照前款規定報告。
網絡安全事件發生后,金融機構還需對事件進行持續報告。《辦法》明確,對于重大等級以上網絡安全事件,金融從業機構應當至少每隔兩小時進行事中進展報告,直至處置結束。處置過程中如出現調高網絡安全事件等級、處置取得階段性進展、發現新的問題等重要情況時,應當立即報告。網絡安全事件處置結束后,金融從業機構應當于10個工作日內報送事后調查總結報告。
引導金融機構落實分類標準
對銀行信息安全事件進行報告,并非《辦法》首提。為保障銀行信息系統安全運行,2002年9月,中國人民銀行曾發布《銀行計算機安全事件報告管理制度》。
據中國人民銀行有關部門負責人介紹,與現行的管理制度相比,《辦法》主要有五方面變化。一是明確金融從業機構在中國境內發生網絡安全事件時,應向中國人民銀行或者住所地中國人民銀行分支機構報告。二是明確將網絡安全事件分為四個等級,并提出各等級分級標準的底線規則。三是細化報告要求,便于中國人民銀行全面掌握、督促處置、協調化解網絡安全事件。四是明確涉及責任認定時的報告內容要求。五是明確法律責任。
上述負責人表示,《辦法》出臺后,將加強政策宣傳,指導金融從業機構更準確地理解把握《辦法》條款內容。積極推進落實,引導金融從業機構結合自身實際完善網絡安全事件分級標準、明確網絡安全事件報告內部職責分工。規范行政執法,督促金融從業機構堅守網絡安全事件報告合規底線。
(來源:中國銀行保險報)
掃一掃分享本頁
