中国人民银行发布办法,筑牢金融网络安全防线,自2025年8月1日起施行?
核心阅读接下来,中国人民银行将着手执行《中国人民银行业务领域网络安全事件报告管理办法》,并指导金融机构在第一时间内进行精确的网络安全事件报告,以减少网络安全事件带来的损失和负面影响,从而加强金融领域的网络安全防护。
近期,我国央行颁布了《中国人民银行业务领域网络安全事件处理规范》(简称《规范》),并规定该规范自2025年8月1日开始正式实施。
《办法》的宗旨在于指导并监督金融机构依照法律法规,对中国人民银行业务范围内的网络安全问题进行及时上报(以下简称网络安全事件)。
中国人民银行相关部门负责人指出,在接下来的工作中,该行将严格执行《办法》的相关规定,确保金融机构能够迅速且精确地上报网络安全事故,有效减少网络安全事故带来的损失和负面影响,从而加强金融领域的网络安全防护。
差异化明确报告流程
据相关资料显示,2002年,中国人民银行颁布了《银行计算机安全事件报告管理制度》,其中对银行机构在计算机安全事件发生时向央行报告的具体管理规范进行了详细规定。随着网络安全法、数据安全法、个人信息保护法以及关键信息基础设施安全保护条例等法律法规的陆续出台与实施,依照规定向相关主管部门报告网络安全事件,已经转变为网络运营者的法定责任和义务。
为确保国家法律法规的全面实施和有效对接,我们必须对现有制度进行修订,并在人民银行的职责权限内,对金融机构报告网络安全事故的详细规定予以进一步明确。中国人民银行相关部门负责人如是说道。
该负责人指出,《办法》的制定遵循了与上位法原则性规定有效对接、深入细化的思路,并对网络安全事件的分级标准及底线规则进行了明确。在此前提下,《办法》对事件报告的程序进行了具体化处理,根据金融机构的类别、层级、业务范围等因素,对网络安全事件报告流程进行了差异化设计,旨在增强网络安全事件报告的实际操作性。此外,《办法》对各级网络安全事件的报告时限做出了具体规定,致力于增强网络安全事件报告的时效性。
根据《办法》的规定,在适用范围方面,对于因人为因素、遭受网络攻击、存在漏洞隐患、软硬件缺陷或故障、不可抗力等原因,对金融从业机构在建设、运营、维护和管理过程中涉及的中国人民银行业务领域网络或数据造成损害的情况,需按照《办法》要求,向中国人民银行或其所在地的中国人民银行分支机构进行报告。
中国人民银行负责监管和管理的业务范围包括货币信贷、宏观审慎政策、跨境人民币业务、银行间市场运作、金融业综合统计工作、支付清算服务、人民币的发行与流通、国库管理、征信及信用评级服务,以及反洗钱等多个领域。
非我国人民银行所涉业务范围内的网络安全问题,无需依照《办法》中的规定进行汇报。若事件涉及国家机密,则需依照相关法律法规进行处理。
为机构提供操作指南
中国人民银行相关部门负责人透露,相较于现行的《银行计算机安全事件报告管理制度》,《办法》在适用范围、分级标准、报告的具体要求、责任归属的认定、报告内容的详细规定以及法律责任等方面均出现了不同。
具体而言,《办法》对金融从业机构提出了明确要求,在中华人民共和国境内一旦发生网络安全事件,这些机构必须依照《办法》的规定进行报告。
《办法》对网络安全事件进行了四个等级的划分,包括特别重大、重大、较大和一般,并明确了每个等级的最低分级标准及相应的底线规则。
《办法》对网络安全事件的报告环节进行了详细规定,涵盖了事件发生、进行以及处理结束后的具体要求,从而有助于中国人民银行全面了解、有效督促、协调解决网络安全事件。
《办法》对责任认定及处理情况的报告提出了具体要求,并对减轻或免除责任处理的适用条件进行了详细说明,同时,该办法还致力于促使相关岗位人员切实履行其职责。
《办法》具体规定了金融从业者机构在配合中国人民银行或其下属机构进行审查时的具体要求,明确了金融从业者机构违规操作应受到的惩罚措施,同时亦对中国人民银行工作人员因失职或失责而需承担的责任进行了详细说明。
王俊林,北京市盈科律师事务所的高级合伙人及盈科全球知识产权法律服务中心的主任,认为《办法》为金融从业者提供了明确的操作指引,促使他们从被动遵守规则转变为主动预防,这不仅有助于提高金融从业者自身的网络安全管理水平,而且对行业的规范化进程起到了推动作用。除此之外,《办法》对责任判定及处理相关事宜的具体情况进行了详细规定,这不仅促使相关岗位人员切实履行职责,还通过界定责任范围,有效防止了责任推诿现象的发生。
将督促机构坚守底线
《办法》共分为五章,共计三十三条。具体内容上,它对网络安全事件的分级标准及底线规则进行了明确规定。《办法》规定,若出现以下情形之一,需将其划分为特别重大的网络安全事件:涉及金融基础设施,或直接服务于超过5000万自然人,或与货币存取、支付交易、税款缴纳、银行间市场交易等密切相关的人民银行网络,其核心功能在业务高峰期导致两个或两个以上省级行政区全面中断运行超过3小时,或单个省级行政区全面中断运行超过6小时;或为金融服务提供网络,其核心功能出现中断、超时报错等问题,导致业务无法正常进行,且经合理测算或估算,已实际影响超过1000万自然人,或超过100万法人和其他组织;以及其他类似情况。
《办法》对网络安全事件的报告流程、具体内容、处理时效以及报告途径等方面进行了详细规定。具体而言,当金融行业机构遭遇较大或更高级别的网络安全事件时,他们需在事发后1小时内提交一份简要的网络安全事件报告,同时,在24小时内还需提交一份完整的网络安全事件报告。金融机构遭遇网络安全问题,其严重程度尚未达到重大级别,然而,一旦有关舆情信息在社交媒体、搜索引擎或新闻网站的热门话题排行榜上出现,造成较大舆情影响的,需依照前述规定进行报告。
对于达到重大等级及以上的网络安全事故,金融机构需至少每两小时提交事件进展情况报告,直到事件得到妥善处理。在处理过程中,一旦发生网络安全事件等级提升、处理工作取得阶段性成果、或发现新的问题等关键情况,必须立即上报。
网络安全事件处理完毕后,金融机构需在十个工作日内提交后续调查的总结性文件。若因故不能按时提交该总结性文件,金融机构应首先提交初步报告,并在报告中明确承诺提交总结性文件的期限,并确保按期提交。该承诺期限一般应设定在事件处理完毕后的四十个工作日之内。
此外,《办法》对中国人民银行的监管职责及其分支机构的执行任务进行了详细规定,并对金融行业违规行为的惩处措施进行了明确。比如,当金融从业者机构上报网络安全事件的处理情况时,中国人民银行或其分支机构可依据执法检查的相关规定,依照既定程序对相关机构进行法律检查,而金融从业者机构则需积极配合。金融机构若对中国人民银行或其下设机构执行监督检查的行为予以抵制或干扰,中国人民银行或其分支行将依据网络安全法第六十九条的规定对其进行相应的处罚。
据消息,中国央行将强化政策普及,并指导金融机构深入领会《办法》的具体条款,积极推动其实施。同时,鼓励金融机构根据自身情况,优化网络安全事件的分级体系,明确内部报告职责,规范执法行为,并确保金融机构在网络安全事件报告方面遵守相关法规的最低标准。
页:
[1]