FOREXBNB獲悉,1月24日,中國人民銀行發布關於《中國人民銀行業務領域網路安全事件通報管理辦法(徵求意見稿)》公開徵求意見的通知。《辦法》明確網路安全事件分級管理要求,提出特別重大、重大、較大、一般等級網路安全事件的分級標準底線規則;明確網路安全事件通報整體要求,細化報告流程、內容、時限、途徑及責任認定處置等規定。
原文如下:
中國人民銀行關於《中國人民銀行業務領域網路安全事件通報管理辦法(徵求意見稿)》公開徵求意見的通知
為進一步規範中國人民銀行業務領域網絡安全事件報告管理,中國人民銀行起草了《中國人民銀行業務領域網絡安全事件報告管理辦法(徵求意見稿)》,現面向社會公開徵求意見。公眾可以透過以下途徑回饋意見:
一、通過電子郵件將意見發送至:anquanchu@pbc.gov.cn。
二、透過信函方式將意見郵寄至:北京市西城區金融大街30號中國人民銀行科技司(郵編:100033),並請在信封上註明“中國人民銀行業務領域網路安全事件通報管理辦法徵求意見”字樣。
三、將意見傳真至:010-66016449。
意見回饋截止時間為2025年2月24日。
中國人民銀行
2025年1月24日
中國人民銀行業務領域網絡安全事件報告管理辦法(徵求意見稿)
第一章 總則
第一條(目的和依據)為規範中國人民銀行業務領域網絡安全事件報告管理,根據《中華人民共和國網路安全法》《中華人民共和國資料安全法》《中華人民共和國個人信息保護法》《中華人民共和國中國人民銀行法》等法律、行政法規,制定本辦法。
第二條(適用範圍)金融從業機構在中華人民共和國境內發生中國人民銀行業務領域網絡安全事件時,應依本辦法規定向中國人民銀行或住所地中國人民銀行分行報告,非中國人民銀行業務領域網路安全事件無須依本辦法規定報告。法律、行政法規和中國人民銀行對網絡安全事件報告另有規定的,從其規定。
第三條(術語定義)本辦法所稱中國人民銀行業務領域,是指依據法律、行政法規,黨中央、國務院決定,由中國人民銀行承擔監督管理職責的業務領域。
本辦法所稱中國人民銀行業務領域網路安全事件(以下簡稱網路安全事件),是指由於人為原因、網路遭受攻擊、網路存在漏洞隱患、軟硬體缺陷和故障、不可抗力等因素,對金融從業機構建設、營運、維護的中國人民銀行業務領域網絡或處理的中國人民銀行業務領域數據造成危害後果的事件。
本辦法所稱中國人民銀行業務領域網絡,是指用於支撐或者承載中國人民銀行業務領域業務開展的不涉及國家秘密的網絡。
本辦法所稱中國人民銀行業務領域數據,指中國人民銀行業務領域內產生和收集的不涉及國家秘密的網路數據。
第四條(向其他部門報告與通報)國家相關部門和其他金融管理部門等對網路安全事件報告另有規定的,金融從業機構也應從其規定報告。涉及危害電腦資訊系統等違法犯罪的網路安全事件,金融從業機構還應當及時向公安機關報案。
中國人民銀行加強與國家相關部門和其他金融管理部門間的網路安全事件報告共享,中國人民銀行及其各級分支機構按照國家有關部門規定向其通報網絡安全事件,並根據其他金融管理部門需要向其通報網路安全事件。
第五條(社會監督)任何個人和組織有權向中國人民銀行或住所地中國人民銀行分行舉報金融從業機構未依本辦法要求通報網路安全事件的行為,中國人民銀行及其分行對舉報人的相關資訊予以保密。
第二章 網路安全事件分級
第六條(網路安全事件分級管理)金融從業機構應當在本機構網絡安全管理制度或者操作規程中明確網絡安全事件分級標準(以下簡稱分級標準),將網絡安全事件分為特別重大、重大、較大和一般四個等級。金融從業機構應每年組織評估並視情更新分級標準。分級標準如有更新,應當報本機構網路安全直接責任人批准。
金融從業機構制定分級標準時,應當綜合考慮網絡安全事件對業務、資金、客戶、輿情等的影響程度。針對與貨幣存取款、支付交易、稅款繳庫、銀行間市場交易密切相關的中國人民銀行業務領域網絡制定分級標準時,金融從業機構應當差異化考慮網絡安全事件在業務高峰時段和非業務高峰時段對業務處理的影響程度。
涉及中國人民銀行業務領域資料洩露、篡改、破壞的,金融從業機構也應結合國人銀行業務領域資料安全管理相關規定,制定分級標準。
金融從業機構可針對網路安全等級保護第三級以上的中國人民銀行業務領域網絡,逐一細化製定專門適用的分級標準。
第七條(特別重大網路安全事件分級標準底線規則)符合下列情形之一的,應分級為特別重大網路安全事件:
(一)與貨幣存取款、支付交易、稅款繳庫、銀行間市場交易密切相關,屬於金融基礎設施或服務客戶規模達5000萬人以上的中國人民銀行業務領域網絡,業務高峰時段兩個以上省級行政區範圍服務整體中斷運行3小時以上或單一省級行政區範圍服務整體中斷運行 6 小時以上的。
(二)服務客戶的中國人民銀行業務領域網絡主要功能出現服務中斷、超時報錯等情形,影響客戶的規模計算或估算達 1000 萬人以上的。
(三)涉及中國人民銀行業務領域核心資料洩露、篡改、破壞的。
(四)洩露 1000 萬條以上敏感個人信息或者 1 億條以上個人資料的。
(五)網信部門、公安機關已明確應當分級為特別重大網絡安全事件的。
(六)中國人民銀行或其上海總部、省分行、自治區分行、直轄市分行、計劃單列市分行研判並書面告知金融從業機構,應當分級為特別重大網絡安全事件的。
第八條(重大網路安全事件分級標準底線規則)符合下列情形之一的,應至少分級為重大網路安全事件:
(一)與貨幣存取款、支付交易、稅金繳庫、銀行間市場交易密切相關,屬於金融基礎設施或服務客戶規模達 5000 萬人以上的中國人民銀行業務領域網絡,業務高峰時段兩個以上省級行政區範圍服務整體中斷運行 1.5 小時以上或者單個省級行政區範圍服務整體中斷運行 3 小時以上的。
(二)服務客戶的中國人民銀行業務領域網路主要功能出現服務中斷、超時報錯等情形,影響客戶的規模測算或者估算達 100 萬人以上的。
(三)涉及中國人民銀行業務領域重要資料洩露、篡改、破壞的。
(四)洩漏 100 萬條以上敏感個人信息或者 1000 萬條以上個人資料的。
(五)網信部門、公安機關已明確應當分級為重大網絡安全事件的。
(六)中國人民銀行或其上海總部、省分行、自治區分行、直轄市分行、計劃單列市分行研判並書面告知金融從業機構,應分級為重大網路安全事件的。
第九條(較大網路安全事件分級標準底線規則)符合下列情形之一的,應至少分級為較大網路安全事件:
(一)與貨幣存取款、支付交易、稅款繳庫、銀行間市場交易密切相關,屬於金融基礎設施或者服務客戶規模達 5000 萬人以上的中國人民銀行業務領域網絡,業務高峰時段兩個以上省級行政區範圍服務整體中斷運行 15 分鐘以上或單一省級行政區範圍服務整體中斷運行 30 分鐘以上的。
(二)服務客戶的中國人民銀行業務領域網絡主要功能出現服務中斷、超時報錯等情形,影響客戶的規模測算或者估算達 10 萬人以上的。
(三)洩露 500 條以上敏感個人資訊或者 5 萬條以上個人資料的。
(四)網路安全事件引發輿情,出現相關輿情訊息進入社群媒體、搜尋引擎或新聞網站熱點榜等情形的。
(五)遭受勒索惡意程式攻擊,已對中國人民銀行業務領域網絡或中國人民銀行業務領域數據構成實際威脅的。
(六)網信部門、公安機關已明確應當分級為較大網絡 6 安全事件的。
第十條(一般網絡安全事件分級標準底線規則)符合下列情形之一的,應當至少分級為一般網絡安全事件:
(一)服務客戶的中國人民銀行業務領域網絡,兩個以上省級行政區範圍服務整體中斷運行 15 分鐘以上或單一省級行政區範圍服務整體中斷運行 30 分鐘以上的。
(二)服務客戶的中國人民銀行業務領域網路主要功能出現服務中斷、超時報錯等情形,影響客戶的規模計算或估算達 1 萬人以上的。(三)非服務客戶的中國人民銀行業務領域網路主要功能出現服務中斷、超時報錯等情形,已持續 1 小時以上的。
(四)涉及中國人民銀行業務領域資料洩露、篡改、破壞,導致一定社會危害的。
(五)洩漏個人資訊的。(六)網信部門、公安機關已明確應分級為一般網路安全事件的。
第十一條(涉及金融基礎設施網路安全事件分級管理)與中國人民銀行管理的金融基礎設施業務交互功能異常相關的網絡安全事件對應的分級標準,金融從業機構應當先徵求金融基礎設施運營機構意見並協商一致。
第十二條(事發事中分級)金融從業機構發生網絡安全事件時,應當對照分級標準,綜合確定網絡安全事件等級。同時符合多個分級標準的,應當按照最高級別確定網絡安全事件等級。對照分級標準無法準確確定網絡安全事件等級的,應當至少分級為較大網絡安全事件。
因災害或者信息基礎設施故障,導致金融從業機構多個中國人民銀行業務領域網路同時發生網路安全事件時,應先分別確定網路安全事件等級,再按照各網絡安全事件等級中的最高級別,確定整體的網絡安全事件等級。
網絡安全事件發展事態已達到更高級別分級標準的,金融從業機構應當立即調高網絡安全事件等級。
第三章 網絡安全事件報告
第十三條(報告總體要求)金融從業機構應當明確應急處置與報告的職責分工,確保網絡安全事件報告及時、準確、完整,不得遲報、漏報或者瞞報。
金融從業機構應當健全網絡安全風險監測預警體系,提升第一時間發現與通報網路安全事件的技術能力。
網路安全事件報告工作不應幹擾或影響業務恢復、存證溯源、客戶解釋、輿情應對等處置工作。
第十四條(報告流程)國家開發銀行、政策性銀行、國有商業銀行、中國郵政儲蓄銀行、股份制銀行總行發生網路安全事件時,應當向中國人民銀行報告,其分支機構發生網絡安全事件時,應當向住所地中國人民銀行分支機構報告。中國人民銀行所屬單位及其管理的金融基礎設施運營機構發生網絡安全事件時,應當向中國人民銀行報告。其他金融从业机构或其分支機構發生網絡安全事件時,應當向住所地中國人民銀行分支機構報告;在保障報告時效性前提下,證券、期貨、基金機構發生網絡安全事件時,經中國證監會派出機構轉通報同級中國人民銀行分支機構。
中國人民銀行地市分行及計畫單列市分行接報轄區發生較大等級以上網路安全事件時,應當及時上報至中國人民銀行省、自治區、直轄市分行。中國人民銀行省、自治區、直轄市分行接报辖区发生重大等级以上网络安全事件时,應當及時上報至中國人民銀行。
第十五條(事發報告)金融從業機構發生較大等級以上網路安全事件後,應於 30 分鐘內報送網路安全事件事發簡短報告,並在 2 小时内报送网络安全事件事發報告。
第十六條(事中報告)對於重大等級以上網絡安全事件,金融從業機構應當至少每隔 2 小時進行事中進展報告,直至處置結束。處置過程中如出現調高網絡安全事件等級、處置取得階段性進展、發現新的問題等重要情況時,應當立即報告。
第十七條(事後調查總結報告)一般等級以上網絡安全事件處置結束後,金融從業機構應當於 10 個工作天內报送事後調查總結報告。无法按时报送事後調查總結報告的,金融從業機構應先按時報送初步報告,說明承諾報送報告的日期並按時報送。承諾日期原則上應在處置結束之日起 40 個工作天內。
第十八條(報告途徑)金融從業機構網絡安全事件的事發、事中報告,可通過電話、即時通訊工具、郵件、傳真或中國人民銀行指定的資訊報送系統報告。采用互联网郵件、傳真方式報告的,应当通过电话或者即時通訊工具确认中国人民银行或其分支机构已收悉。涉及敏感信息的,不應透過網路管道報告。
金融從業機構事後調查總結報告,應當加蓋本機構或者承擔報告職責內設部門公章,書面報送。中國人民銀行對網路安全事件事後調查總結報告另有電子化報送要求的,金融從業機構還應當按照要求電子化報送。
第十九條(報告內容)網絡安全事件事發簡要報告的內容包括初次確定的網絡安全事件等級、事發時間、依據網絡安全事件分類分級指南國家標準確定的網絡安全事件分類、影響的中國人民銀行業務領域網絡及其對應的網路安全保護等級、涉及的數據中心、報告機構和報告時間、報告人和聯繫方式。网络安全事件事发报告应当在简要報告內容基础上,增補影響範圍和程度、已採取的措施和效果,網路攻擊事件也應當增補分析研判狀況。
網絡安全事件事中報告應當在事發報告基礎上,增補說明最新確定的網路安全事件等級、影響變化、處置進展及下一步擬採取的措施。如存在需中國人民銀行或其分支機構協調支持處置的事項,應當一併說明。
網路安全事件事後調查總結報告應包括最終確定的網路安全事件等級、處置歷程回顧、影響、損失評估、技術或管理根源分析、處置經驗教訓、後續改進措施、報告機構和報告時間、報告人和聯繫方式、簽發人。
第二十條(涉及個人資訊時的報告內容要求)金融從業機構發生網絡安全事件涉及個人信息的,事後調查總結報告也應說明本機構為有效避免網路安全事件危害所採取的補救措施、依法通知個人的情況和告知個人可以採取減輕危害措施的情況。對於重大等級以上網絡安全事件,前款所列內容應當在事中進展報告中提前予以說明。
第二十一條(涉及責任認定時的報告內容要求)較大等級以上網路安全事件的事後調查總結報告內容,還應當包括直接負責的主管人員和其他直接責任人員的責任認定和對應責任處理情況。
金融從業機構應在本機構網路安全管理制度中綜合考量動機態度、客觀條件、程式方法、後果影響、挽回損失等因素,明確不同責任處理的差異化適用情形。事後調查總結報告中對直接負責的主管人員和其他直接責任人員的處理措施,應當符合本機構網絡安全管理制度要求。
第二十二條(涉及減免責任處理時的報告內容要求)滿足下列條件之一併且能提供相關證明材料的,金融從業機構可根據直接負責的主管人員和其他直接責任人員具體承擔職責,視情針對性減輕或免除責任處理,但應在事後調查總結報告中說明:
(一)已按本辦法規定主動報告,同時按照預案有關程序立即進行處置,盡最大努力降低影響的。
(二)推廣安全可信的網絡產品和服務,過程中無明顯主觀過錯的。
(三)已切實落實中國人民銀行網路安全、數據安全相關管理制度要求,並嚴格執行本機構網路安全、數據安全管理制度和操作規程相關職責要求的。
第二十三條(網路安全事件報告退回重新發送要求)中國人民銀行或其分行認為金融從業機構網路安全事件事後調查總結報告有內容缺失、原因分析不清、影響損失評估失實、責任認定或處理不當等情形,退回事後調查總結報告並正式反饋修改意見的,金融從業機構應當在收到反饋之日起 10 個工作日內完善事後調查總結報告並重新報送。
第二十四條(風險通報的報告要求)金融從業機構收到中國人民銀行或其分支機構通報的業務運行異常、疑似資料外洩、系統漏洞、安全缺陷等風險提示時,應當立即組織核查,採取必要處置措施。經核查風險屬實已產生實際危害影響並構成網絡安全事件的,金融從業機構應依本辦法要求進行報告;風險不實、未產生實際危害影響或者尚不構成網絡安全事件的,應依通報要求按時回饋風險核查處置狀況。
第二十五條(網絡安全事件清單管理)金融從業機構應當建立網絡安全事件台賬,完整準確記錄事發時間、事發報告時間、中國人民銀行或其分行接報聯絡人及處置期間全部的網路安全事件通報內容。中國人民銀行分支機構應當相應建立轄區網絡安全事件台賬。台賬應當至少留存三年。
第四章 法律責任
第二十六條(網絡安全事件配合調查)中國人民銀行或其分行根據金融從業機構報告處置網路安全事件的情況,可以按照《中國人民銀行執法檢查程序規定》明確的程序,對金融從業機構依法實施現場檢查,金融從業機構應當予以配合。
金融從業機構拒絕、阻礙中國人民銀行或其分行實施現場檢查的,依照《中華人民共和國網絡安全法》第六十九條等相關法律、行政法規規定處罰。
第二十七條(違規行為的處罰)金融從業機構未依本辦法規定對網路安全事件進行分級、報告,或者制定的分級標準明顯不合理,存在網絡安全事件遲報、漏報、瞒报以及報告内容不准确、不完整併且被中國人民銀行或其分支機構書面退回後重新報送仍不能滿足本辦法規定等情形的,中國人民銀行及其分支機構依照《中華人民共和國網路安全法》第五十九條等相關法律、行政法規相關規定處罰;涉及中國人民銀行業務領域資料洩露、篡改、破壞或者非法獲取、非法利用的,依照《中華人民共和國資料安全法》第四十五條等相關法律、行政法規規定處罰;涉及個人資訊洩露、篡改、遺失的,還可以依照《中華人民共和國個人信息保護法》第六十六條等相關法律、行政法規規定處罰。
金融從業機構收到中國人民銀行或其分行通報的風險,如果風險確實存在,但未立即採取補救措施或者未按照本辦法規定按時反饋核查處置情況的,中國人民銀行及其分行依照《中華人民共和國網路安全法》第六十條等相關法律、行政法規規定予以處罰;通報的風險為資料安全缺陷、漏洞並且確實存在,但金融從業機構未立即採取補救措施的,還可以依照《中華人民共和國資料安全法》第四十五條等相關法律、行政法規規定予以處罰。
第二十八條(從輕減輕處罰的情形)金融從業機構在接受中國人民銀行或其分行檢查時,主動供述檢查人員尚未掌握的未按照本辦法要求報告網絡安全事件行為的,應從輕或減輕處罰。
第二十九條(違規行為的追責問責)中國人民銀行分行未依本辦法規定通報網路安全事件,存在失職失責行為,造成重大損失、嚴重後果或者惡劣影響的,對直接負責的主管人員和其他直接責任人員依規依紀依法予以嚴肅追責問責。
第五章 附則
第三十條(名詞釋義)本辦法下列用語的意思:
(一)金融從業機構,是指金融機構以及經中國人民銀行批准設立或者認定的其他機構。
(二)網路,是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、儲存、傳輸、交換、處理的系統。
(三)網路安全直接責任人,指本機構主管網路安全的領導班子成員。
(四)業務高峰時段,是指按年度統計分時平均業務量超過日平均業務量百分之三的時段,或者依據本機構制度列明的其他合理計算方式確定的時段。
(五)整體中斷運行,是指因網絡安全事件,某一時段內未處理和處理失敗業務量與正常情況全部業務量的比例,經測算或者估算已經超過百分之七十。
(六)本辦法所稱“以上”均含本數。
第三十一條(解釋權和適用性)本辦法由中國人民銀行負責解釋。國家外匯領域網路安全事件報告由國家外匯管理局負責,具體制度可另行製定。
中國人民銀行分支機構自身網絡安全事件的報告管理,依照本辦法對金融從業機構的規定執行。
第三十二條(生效期)本辦法自 2025 年××月××日起施行。《銀行計算機安全事件報告管理制度》(銀髮〔2002〕 280 號文印發)《中國人民銀行計算機系統信息安全報告製度》(銀髮〔2010〕366 號文印發)同時廢止。
本文編選自“中國人民銀行”官網,FOREXBNB編輯:蔣遠華。
