《中國(guó)人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件報(bào)告管理辦法》已經(jīng)2025年5月12日中國(guó)人民銀行第8次行務(wù)會(huì)議審議通過(guò),現(xiàn)予發(fā)布,自2025年8月1日起施行。
行 長(zhǎng) 潘功勝
2025年5月23日
中國(guó)人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件報(bào)告管理辦法
第一章 總 則
第一條 為規(guī)范中國(guó)人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件報(bào)告管理,根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》《中華人民共和國(guó)中國(guó)人民銀行法》等法律、行政法規(guī),制定本辦法。
第二條 金融從業(yè)機(jī)構(gòu)在中華人民共和國(guó)境內(nèi)發(fā)生中國(guó)人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件時(shí),應(yīng)當(dāng)按照本辦法規(guī)定向中國(guó)人民銀行或者住所地中國(guó)人民銀行分支機(jī)構(gòu)報(bào)告。非中國(guó)人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件無(wú)須按照本辦法規(guī)定報(bào)告。涉及國(guó)家秘密的,按照有關(guān)規(guī)定執(zhí)行。
第三條 本辦法所稱(chēng)中國(guó)人民銀行業(yè)務(wù)領(lǐng)域,指依據(jù)法律、行政法規(guī),黨中央、國(guó)務(wù)院決定,由中國(guó)人民銀行承擔(dān)監(jiān)督和管理職責(zé)的業(yè)務(wù)領(lǐng)域。
本辦法所稱(chēng)中國(guó)人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件(以下簡(jiǎn)稱(chēng)網(wǎng)絡(luò)安全事件),指由于人為原因、遭受網(wǎng)絡(luò)攻擊、存在漏洞隱患、軟硬件缺陷或故障、不可抗力等因素,對(duì)本機(jī)構(gòu)建設(shè)、運(yùn)營(yíng)、維護(hù)、管理的中國(guó)人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)或者處理的中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)造成危害的事件。
第四條 國(guó)家有關(guān)部門(mén)和其他金融管理部門(mén)等對(duì)網(wǎng)絡(luò)安全事件報(bào)告有規(guī)定的,金融從業(yè)機(jī)構(gòu)還應(yīng)當(dāng)從其規(guī)定報(bào)告。涉及危害計(jì)算機(jī)信息系統(tǒng)等違法犯罪的網(wǎng)絡(luò)安全事件,金融從業(yè)機(jī)構(gòu)還應(yīng)當(dāng)及時(shí)向公安機(jī)關(guān)報(bào)案。
中國(guó)人民銀行加強(qiáng)與國(guó)家有關(guān)部門(mén)和其他金融管理部門(mén)間的網(wǎng)絡(luò)安全事件報(bào)告內(nèi)容共享,按照國(guó)家有關(guān)部門(mén)規(guī)定向其通報(bào)網(wǎng)絡(luò)安全事件,并根據(jù)其他金融管理部門(mén)需要向其通報(bào)網(wǎng)絡(luò)安全事件。
第五條 任何個(gè)人和組織有權(quán)向中國(guó)人民銀行或其分支機(jī)構(gòu)舉報(bào)金融從業(yè)機(jī)構(gòu)未按照本辦法規(guī)定報(bào)告網(wǎng)絡(luò)安全事件的行為。中國(guó)人民銀行或其分支機(jī)構(gòu)對(duì)舉報(bào)人的相關(guān)信息予以保密。
第二章 網(wǎng)絡(luò)安全事件分級(jí)
第六條 金融從業(yè)機(jī)構(gòu)應(yīng)當(dāng)在本機(jī)構(gòu)網(wǎng)絡(luò)安全管理制度或者操作規(guī)程中明確網(wǎng)絡(luò)安全事件分級(jí)標(biāo)準(zhǔn)(以下簡(jiǎn)稱(chēng)分級(jí)標(biāo)準(zhǔn)),將網(wǎng)絡(luò)安全事件分為特別重大、重大、較大和一般四個(gè)等級(jí)。金融從業(yè)機(jī)構(gòu)應(yīng)當(dāng)每年組織評(píng)估并視情更新分級(jí)標(biāo)準(zhǔn)。分級(jí)標(biāo)準(zhǔn)如有更新,應(yīng)當(dāng)報(bào)本機(jī)構(gòu)主管網(wǎng)絡(luò)安全的領(lǐng)導(dǎo)班子成員批準(zhǔn)。
金融從業(yè)機(jī)構(gòu)制定分級(jí)標(biāo)準(zhǔn)時(shí),應(yīng)當(dāng)綜合考慮網(wǎng)絡(luò)安全事件對(duì)業(yè)務(wù)、用戶(hù)等的影響程度。金融從業(yè)機(jī)構(gòu)針對(duì)與貨幣存取款、支付交易、稅款繳庫(kù)、銀行間市場(chǎng)交易密切相關(guān)的中國(guó)人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)制定分級(jí)標(biāo)準(zhǔn)時(shí),應(yīng)當(dāng)差異化考慮業(yè)務(wù)高峰時(shí)段和非業(yè)務(wù)高峰時(shí)段網(wǎng)絡(luò)安全事件對(duì)業(yè)務(wù)處理的影響程度。
金融從業(yè)機(jī)構(gòu)還應(yīng)當(dāng)結(jié)合中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理相關(guān)規(guī)定,制定與中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)遭到篡改、破壞、泄露相關(guān)的分級(jí)標(biāo)準(zhǔn)。
金融從業(yè)機(jī)構(gòu)可以針對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)三級(jí)以上的中國(guó)人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò),逐一細(xì)化制定專(zhuān)門(mén)適用的分級(jí)標(biāo)準(zhǔn)。
第七條 符合下列情形之一的,應(yīng)當(dāng)分級(jí)為特別重大網(wǎng)絡(luò)安全事件:
(一)屬于金融基礎(chǔ)設(shè)施、直接服務(wù)5000萬(wàn)個(gè)以上自然人或者與貨幣存取款、支付交易、稅款繳庫(kù)、銀行間市場(chǎng)交易密切相關(guān)的中國(guó)人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò),主要功能在業(yè)務(wù)高峰時(shí)段出現(xiàn)兩個(gè)以上省級(jí)行政區(qū)范圍整體中斷運(yùn)行3小時(shí)以上或者單個(gè)省級(jí)行政區(qū)范圍整體中斷運(yùn)行6小時(shí)以上的;
(二)提供金融服務(wù)的中國(guó)人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò),主要功能出現(xiàn)中斷、超時(shí)報(bào)錯(cuò)等情形,導(dǎo)致業(yè)務(wù)無(wú)法正常開(kāi)展,經(jīng)合理測(cè)算或者估算,已實(shí)際影響1000萬(wàn)個(gè)以上自然人或者100萬(wàn)個(gè)以上法人和其他組織的;
(三)中國(guó)人民銀行業(yè)務(wù)領(lǐng)域核心數(shù)據(jù)遭到篡改、破壞、泄露的;
(四)致使泄露1000萬(wàn)條以上敏感個(gè)人信息或者1億條以上個(gè)人信息的;
(五)網(wǎng)信部門(mén)、公安機(jī)關(guān)已明確應(yīng)當(dāng)分級(jí)為特別重大網(wǎng)絡(luò)安全事件的;
(六)中國(guó)人民銀行或其上海總部、省級(jí)分行、計(jì)劃單列市分行研判并書(shū)面告知金融從業(yè)機(jī)構(gòu),應(yīng)當(dāng)分級(jí)為特別重大網(wǎng)絡(luò)安全事件的。
第八條 符合下列情形之一的,應(yīng)當(dāng)至少分級(jí)為重大網(wǎng)絡(luò)安全事件:
(一)屬于金融基礎(chǔ)設(shè)施、直接服務(wù)5000萬(wàn)個(gè)以上自然人或者與貨幣存取款、支付交易、稅款繳庫(kù)、銀行間市場(chǎng)交易密切相關(guān)的中國(guó)人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò),主要功能在業(yè)務(wù)高峰時(shí)段出現(xiàn)兩個(gè)以上省級(jí)行政區(qū)范圍整體中斷運(yùn)行1.5小時(shí)以上或者單個(gè)省級(jí)行政區(qū)范圍整體中斷運(yùn)行3小時(shí)以上的;
(二)提供金融服務(wù)的中國(guó)人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò),主要功能出現(xiàn)中斷、超時(shí)報(bào)錯(cuò)等情形,導(dǎo)致業(yè)務(wù)無(wú)法正常開(kāi)展,經(jīng)合理測(cè)算或者估算,已實(shí)際影響100萬(wàn)個(gè)以上自然人或者10萬(wàn)個(gè)以上法人和其他組織的;
(三)中國(guó)人民銀行業(yè)務(wù)領(lǐng)域重要數(shù)據(jù)遭到篡改、破壞、泄露的;
(四)致使泄露100萬(wàn)條以上敏感個(gè)人信息或者1000萬(wàn)條以上個(gè)人信息的;
(五)網(wǎng)信部門(mén)、公安機(jī)關(guān)已明確應(yīng)當(dāng)分級(jí)為重大網(wǎng)絡(luò)安全事件的;
(六)中國(guó)人民銀行或其上海總部、省級(jí)分行、計(jì)劃單列市分行研判并書(shū)面告知金融從業(yè)機(jī)構(gòu),應(yīng)當(dāng)分級(jí)為重大網(wǎng)絡(luò)安全事件的。
第九條 符合下列情形之一的,應(yīng)當(dāng)至少分級(jí)為較大網(wǎng)絡(luò)安全事件:
(一)屬于金融基礎(chǔ)設(shè)施、直接服務(wù)5000萬(wàn)個(gè)以上自然人或者與貨幣存取款、支付交易、稅款繳庫(kù)、銀行間市場(chǎng)交易密切相關(guān)的中國(guó)人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò),主要功能在業(yè)務(wù)高峰時(shí)段出現(xiàn)兩個(gè)以上省級(jí)行政區(qū)范圍整體中斷運(yùn)行15分鐘以上或者單個(gè)省級(jí)行政區(qū)范圍整體中斷運(yùn)行30分鐘以上的;
(二)提供金融服務(wù)的中國(guó)人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò),主要功能出現(xiàn)中斷、超時(shí)報(bào)錯(cuò)等情形,導(dǎo)致業(yè)務(wù)無(wú)法正常開(kāi)展,經(jīng)合理測(cè)算或者估算,已實(shí)際影響10萬(wàn)個(gè)以上自然人或者5000個(gè)以上法人和其他組織的;
(三)致使泄露500條以上征信信息、財(cái)產(chǎn)信息,或者致使泄露5萬(wàn)條以上個(gè)人信息的;
(四)遭受勒索惡意程序攻擊,已對(duì)中國(guó)人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)或者中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)造成危害后果的;
(五)網(wǎng)信部門(mén)、公安機(jī)關(guān)已明確應(yīng)當(dāng)分級(jí)為較大網(wǎng)絡(luò)安全事件的。
第十條 符合下列情形之一的,應(yīng)當(dāng)至少分級(jí)為一般網(wǎng)絡(luò)安全事件:
(一)提供金融服務(wù)的中國(guó)人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò),主要功能出現(xiàn)單個(gè)省級(jí)行政區(qū)范圍整體中斷運(yùn)行30分鐘以上的;
(二)提供金融服務(wù)的中國(guó)人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò),主要功能出現(xiàn)中斷、超時(shí)報(bào)錯(cuò)等情形,導(dǎo)致業(yè)務(wù)無(wú)法正常開(kāi)展,經(jīng)合理測(cè)算或者估算,已實(shí)際影響1萬(wàn)個(gè)以上自然人或者1000個(gè)以上法人和其他組織的;
(三)中國(guó)人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)主要功能出現(xiàn)中斷、超時(shí)報(bào)錯(cuò)等情形,導(dǎo)致業(yè)務(wù)無(wú)法正常開(kāi)展,已持續(xù)1小時(shí)以上的;
(四)中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)遭到篡改、破壞、泄露,導(dǎo)致社會(huì)危害的;
(五)發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的;
(六)網(wǎng)信部門(mén)、公安機(jī)關(guān)已明確應(yīng)當(dāng)分級(jí)為一般網(wǎng)絡(luò)安全事件的。
第十一條 金融從業(yè)機(jī)構(gòu)制定與中國(guó)人民銀行管理的金融基礎(chǔ)設(shè)施業(yè)務(wù)交互功能異常相關(guān)的分級(jí)標(biāo)準(zhǔn)時(shí),應(yīng)當(dāng)征求金融基礎(chǔ)設(shè)施運(yùn)營(yíng)機(jī)構(gòu)意見(jiàn)并協(xié)商一致。
第十二條 金融從業(yè)機(jī)構(gòu)發(fā)生網(wǎng)絡(luò)安全事件時(shí),應(yīng)當(dāng)對(duì)照分級(jí)標(biāo)準(zhǔn),綜合確定網(wǎng)絡(luò)安全事件等級(jí)。同時(shí)符合多個(gè)分級(jí)標(biāo)準(zhǔn)的,應(yīng)當(dāng)按照最高級(jí)別確定網(wǎng)絡(luò)安全事件等級(jí)。對(duì)照分級(jí)標(biāo)準(zhǔn)無(wú)法準(zhǔn)確確定網(wǎng)絡(luò)安全事件等級(jí)的,應(yīng)當(dāng)至少分級(jí)為較大網(wǎng)絡(luò)安全事件。
因?yàn)?zāi)害或者信息基礎(chǔ)設(shè)施故障,導(dǎo)致金融從業(yè)機(jī)構(gòu)多個(gè)中國(guó)人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)同時(shí)發(fā)生網(wǎng)絡(luò)安全事件時(shí),應(yīng)當(dāng)先分別確定網(wǎng)絡(luò)安全事件等級(jí),再按照各網(wǎng)絡(luò)安全事件等級(jí)中的最高級(jí)別,確定整體的網(wǎng)絡(luò)安全事件等級(jí)。
網(wǎng)絡(luò)安全事件事態(tài)發(fā)展情況已達(dá)到更高級(jí)別分級(jí)標(biāo)準(zhǔn)時(shí),金融從業(yè)機(jī)構(gòu)應(yīng)當(dāng)立即調(diào)整網(wǎng)絡(luò)安全事件等級(jí)。
第三章 網(wǎng)絡(luò)安全事件報(bào)告
第十三條 金融從業(yè)機(jī)構(gòu)應(yīng)當(dāng)明確應(yīng)急處置與報(bào)告的職責(zé)分工,確保網(wǎng)絡(luò)安全事件報(bào)告及時(shí)、準(zhǔn)確、完整,不得遲報(bào)、漏報(bào)或者瞞報(bào)。
金融從業(yè)機(jī)構(gòu)應(yīng)當(dāng)健全網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警體系,提升第一時(shí)間發(fā)現(xiàn)和報(bào)告網(wǎng)絡(luò)安全事件的技術(shù)能力。
金融從業(yè)機(jī)構(gòu)發(fā)生網(wǎng)絡(luò)安全事件時(shí),應(yīng)當(dāng)立即啟動(dòng)應(yīng)急預(yù)案,采取相應(yīng)的補(bǔ)救措施。按照本辦法規(guī)定報(bào)告網(wǎng)絡(luò)安全事件時(shí),不應(yīng)遲滯業(yè)務(wù)恢復(fù)、存證溯源、用戶(hù)解釋、輿情應(yīng)對(duì)等處置工作。
第十四條 國(guó)家開(kāi)發(fā)銀行、政策性銀行、國(guó)有商業(yè)銀行、中國(guó)郵政儲(chǔ)蓄銀行、股份制商業(yè)銀行、屬于系統(tǒng)重要性金融機(jī)構(gòu)的城市商業(yè)銀行、系統(tǒng)重要性非銀行支付機(jī)構(gòu)、經(jīng)營(yíng)個(gè)人征信業(yè)務(wù)的征信機(jī)構(gòu)發(fā)生網(wǎng)絡(luò)安全事件時(shí),應(yīng)當(dāng)向中國(guó)人民銀行報(bào)告;其分支機(jī)構(gòu)發(fā)生網(wǎng)絡(luò)安全事件時(shí),應(yīng)當(dāng)向住所地中國(guó)人民銀行分支機(jī)構(gòu)報(bào)告。中國(guó)人民銀行所屬單位及其管理的金融基礎(chǔ)設(shè)施運(yùn)營(yíng)機(jī)構(gòu)發(fā)生網(wǎng)絡(luò)安全事件時(shí),應(yīng)當(dāng)向中國(guó)人民銀行報(bào)告。其他金融從業(yè)機(jī)構(gòu)或其分支機(jī)構(gòu)發(fā)生網(wǎng)絡(luò)安全事件時(shí),應(yīng)當(dāng)向住所地中國(guó)人民銀行分支機(jī)構(gòu)報(bào)告;在保障報(bào)告時(shí)效性前提下,證券、期貨、基金機(jī)構(gòu)發(fā)生網(wǎng)絡(luò)安全事件時(shí),經(jīng)中國(guó)證監(jiān)會(huì)派出機(jī)構(gòu)轉(zhuǎn)通報(bào)同級(jí)中國(guó)人民銀行分支機(jī)構(gòu)。
中國(guó)人民銀行計(jì)劃單列市分行(不含深圳市分行)、地市分行接報(bào)轄區(qū)發(fā)生較大等級(jí)以上網(wǎng)絡(luò)安全事件時(shí),應(yīng)當(dāng)及時(shí)上報(bào)至中國(guó)人民銀行省級(jí)分行。中國(guó)人民銀行省級(jí)分行、深圳市分行接報(bào)轄區(qū)發(fā)生重大等級(jí)以上網(wǎng)絡(luò)安全事件時(shí),應(yīng)當(dāng)及時(shí)上報(bào)至中國(guó)人民銀行。
第十五條 金融從業(yè)機(jī)構(gòu)發(fā)生較大等級(jí)以上網(wǎng)絡(luò)安全事件后,應(yīng)當(dāng)于1小時(shí)內(nèi)報(bào)送網(wǎng)絡(luò)安全事件事發(fā)簡(jiǎn)要報(bào)告,并在24小時(shí)內(nèi)報(bào)送網(wǎng)絡(luò)安全事件事發(fā)報(bào)告。
金融從業(yè)機(jī)構(gòu)發(fā)生網(wǎng)絡(luò)安全事件,尚未達(dá)到較大等級(jí),但出現(xiàn)相關(guān)輿情信息進(jìn)入社交媒體、搜索引擎或者新聞網(wǎng)站熱點(diǎn)榜等情形,引發(fā)較大輿情的,應(yīng)當(dāng)按照前款規(guī)定報(bào)告。
第十六條 對(duì)于重大等級(jí)以上網(wǎng)絡(luò)安全事件,金融從業(yè)機(jī)構(gòu)應(yīng)當(dāng)至少每隔2小時(shí)進(jìn)行事中進(jìn)展報(bào)告,直至處置結(jié)束。處置過(guò)程中如出現(xiàn)調(diào)高網(wǎng)絡(luò)安全事件等級(jí)、處置取得階段性進(jìn)展、發(fā)現(xiàn)新的問(wèn)題等重要情況時(shí),應(yīng)當(dāng)立即報(bào)告。
第十七條 網(wǎng)絡(luò)安全事件處置結(jié)束后,金融從業(yè)機(jī)構(gòu)應(yīng)當(dāng)于10個(gè)工作日內(nèi)報(bào)送事后調(diào)查總結(jié)報(bào)告。無(wú)法按時(shí)報(bào)送事后調(diào)查總結(jié)報(bào)告的,金融從業(yè)機(jī)構(gòu)應(yīng)當(dāng)先按時(shí)報(bào)送初步報(bào)告,說(shuō)明承諾報(bào)送事后調(diào)查總結(jié)報(bào)告的日期并按時(shí)報(bào)送。承諾日期原則上應(yīng)當(dāng)在處置結(jié)束之日起40個(gè)工作日內(nèi)。
第十八條 金融從業(yè)機(jī)構(gòu)可以通過(guò)電話、即時(shí)通信工具、電子郵件、傳真或者中國(guó)人民銀行指定的信息系統(tǒng)報(bào)送網(wǎng)絡(luò)安全事件事發(fā)簡(jiǎn)要報(bào)告、事發(fā)報(bào)告和事中進(jìn)展報(bào)告;采用電子郵件、傳真方式報(bào)告的,應(yīng)當(dāng)通過(guò)電話或者即時(shí)通信工具確認(rèn)中國(guó)人民銀行或其分支機(jī)構(gòu)已收悉。涉及工作秘密的,不得通過(guò)互聯(lián)網(wǎng)渠道報(bào)告。
金融從業(yè)機(jī)構(gòu)應(yīng)當(dāng)書(shū)面報(bào)送網(wǎng)絡(luò)安全事件事后調(diào)查總結(jié)報(bào)告,并加蓋本機(jī)構(gòu)或者承擔(dān)報(bào)告職責(zé)內(nèi)設(shè)部門(mén)公章。中國(guó)人民銀行對(duì)網(wǎng)絡(luò)安全事件事后調(diào)查總結(jié)報(bào)告另有電子化報(bào)送規(guī)定的,金融從業(yè)機(jī)構(gòu)還應(yīng)當(dāng)按照規(guī)定電子化報(bào)送。
第十九條 網(wǎng)絡(luò)安全事件事發(fā)簡(jiǎn)要報(bào)告內(nèi)容包括初次確定的網(wǎng)絡(luò)安全事件等級(jí)、事發(fā)時(shí)間、依據(jù)網(wǎng)絡(luò)安全事件分類(lèi)分級(jí)相關(guān)國(guó)家標(biāo)準(zhǔn)確定的網(wǎng)絡(luò)安全事件分類(lèi)、影響的中國(guó)人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)及其對(duì)應(yīng)的網(wǎng)絡(luò)安全保護(hù)等級(jí)、涉及的數(shù)據(jù)中心、報(bào)告機(jī)構(gòu)和報(bào)告時(shí)間、報(bào)告人和聯(lián)系方式。網(wǎng)絡(luò)安全事件事發(fā)報(bào)告應(yīng)當(dāng)在事發(fā)簡(jiǎn)要報(bào)告內(nèi)容基礎(chǔ)上,增補(bǔ)影響范圍和程度、已采取的措施和效果,網(wǎng)絡(luò)攻擊事件還應(yīng)當(dāng)增補(bǔ)分析研判情況。
網(wǎng)絡(luò)安全事件事中進(jìn)展報(bào)告應(yīng)當(dāng)在事發(fā)簡(jiǎn)要報(bào)告基礎(chǔ)上,增補(bǔ)說(shuō)明最新確定的網(wǎng)絡(luò)安全事件等級(jí)、影響的變化、處置進(jìn)展和下一步擬采取的措施。如存在需中國(guó)人民銀行或其分支機(jī)構(gòu)協(xié)調(diào)支持處置的事項(xiàng),應(yīng)當(dāng)一并說(shuō)明。
網(wǎng)絡(luò)安全事件事后調(diào)查總結(jié)報(bào)告內(nèi)容應(yīng)當(dāng)包括最終確定的網(wǎng)絡(luò)安全事件等級(jí)、處置歷程回顧、影響損失評(píng)估、技術(shù)或者管理問(wèn)題根源分析、處置經(jīng)驗(yàn)教訓(xùn)、后續(xù)改進(jìn)措施、報(bào)告機(jī)構(gòu)和報(bào)告時(shí)間、報(bào)告人和聯(lián)系方式、簽發(fā)人。
第二十條 金融從業(yè)機(jī)構(gòu)發(fā)生網(wǎng)絡(luò)安全事件涉及個(gè)人信息泄露、篡改、丟失的,事后調(diào)查總結(jié)報(bào)告還應(yīng)當(dāng)說(shuō)明本機(jī)構(gòu)為有效避免網(wǎng)絡(luò)安全事件危害所采取的補(bǔ)救措施、依法通知個(gè)人的情況和告知個(gè)人可以采取減輕危害措施的情況。
對(duì)于重大等級(jí)以上網(wǎng)絡(luò)安全事件,前款所列內(nèi)容應(yīng)當(dāng)在事中進(jìn)展報(bào)告中提前予以說(shuō)明。
第二十一條 較大等級(jí)以上網(wǎng)絡(luò)安全事件事后調(diào)查總結(jié)報(bào)告內(nèi)容,還應(yīng)當(dāng)包括直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員的責(zé)任認(rèn)定和對(duì)應(yīng)責(zé)任處理情況。
金融從業(yè)機(jī)構(gòu)應(yīng)當(dāng)綜合考慮動(dòng)機(jī)態(tài)度、客觀條件、程序方法、后果影響、挽回?fù)p失等因素,在本機(jī)構(gòu)網(wǎng)絡(luò)安全管理制度中明確責(zé)任處理的差異化適用情形。事后調(diào)查總結(jié)報(bào)告中對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員的處理措施,應(yīng)當(dāng)符合本機(jī)構(gòu)網(wǎng)絡(luò)安全管理制度規(guī)定。
第二十二條 滿足下列條件之一并且能提供相關(guān)證明材料的,金融從業(yè)機(jī)構(gòu)可以根據(jù)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員具體承擔(dān)職責(zé),視情針對(duì)性減輕或者免除責(zé)任處理,但應(yīng)當(dāng)在網(wǎng)絡(luò)安全事件事后調(diào)查總結(jié)報(bào)告中予以說(shuō)明:
(一)已按本辦法規(guī)定主動(dòng)報(bào)告,同時(shí)按照本機(jī)構(gòu)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案有關(guān)程序立即進(jìn)行處置,盡最大努力降低影響的;
(二)網(wǎng)絡(luò)技術(shù)創(chuàng)新和應(yīng)用過(guò)程中因缺乏經(jīng)驗(yàn)、先行先試造成網(wǎng)絡(luò)安全事件,且沒(méi)有主觀過(guò)錯(cuò)的;
(三)已切實(shí)落實(shí)中國(guó)人民銀行和本機(jī)構(gòu)網(wǎng)絡(luò)安全、數(shù)據(jù)安全相關(guān)管理制度要求,并嚴(yán)格執(zhí)行本機(jī)構(gòu)相關(guān)操作規(guī)程的。
第二十三條 中國(guó)人民銀行或其分支機(jī)構(gòu)認(rèn)為金融從業(yè)機(jī)構(gòu)網(wǎng)絡(luò)安全事件事后調(diào)查總結(jié)報(bào)告存在內(nèi)容缺失、原因分析不清、影響損失評(píng)估失實(shí)、責(zé)任認(rèn)定或者處理不當(dāng)?shù)惹樾危嘶厥潞笳{(diào)查總結(jié)報(bào)告并正式反饋修改意見(jiàn)的,金融從業(yè)機(jī)構(gòu)應(yīng)當(dāng)在收到反饋之日起10個(gè)工作日內(nèi)完善事后調(diào)查總結(jié)報(bào)告并重新報(bào)送。
第二十四條 金融從業(yè)機(jī)構(gòu)收到中國(guó)人民銀行或其分支機(jī)構(gòu)通報(bào)的其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在運(yùn)行異常、疑似數(shù)據(jù)泄露、安全缺陷、漏洞等風(fēng)險(xiǎn)提示時(shí),應(yīng)當(dāng)立即組織核查,采取必要補(bǔ)救措施。經(jīng)核查風(fēng)險(xiǎn)屬實(shí)并構(gòu)成網(wǎng)絡(luò)安全事件的,金融從業(yè)機(jī)構(gòu)應(yīng)當(dāng)按照本辦法規(guī)定進(jìn)行報(bào)告;風(fēng)險(xiǎn)不屬實(shí)或者尚不構(gòu)成網(wǎng)絡(luò)安全事件的,應(yīng)當(dāng)根據(jù)通報(bào)要求按時(shí)反饋風(fēng)險(xiǎn)核查處置情況。
第二十五條 金融從業(yè)機(jī)構(gòu)應(yīng)當(dāng)建立網(wǎng)絡(luò)安全事件臺(tái)賬,完整準(zhǔn)確記錄網(wǎng)絡(luò)安全事件事發(fā)時(shí)間、事發(fā)報(bào)告時(shí)間、中國(guó)人民銀行或其分支機(jī)構(gòu)接報(bào)聯(lián)系人和對(duì)應(yīng)的網(wǎng)絡(luò)安全事件報(bào)告內(nèi)容。中國(guó)人民銀行分支機(jī)構(gòu)應(yīng)當(dāng)相應(yīng)建立轄區(qū)網(wǎng)絡(luò)安全事件臺(tái)賬。臺(tái)賬應(yīng)當(dāng)至少留存三年。
第四章 法律責(zé)任
第二十六條 中國(guó)人民銀行或其分支機(jī)構(gòu)根據(jù)金融從業(yè)機(jī)構(gòu)報(bào)告處置網(wǎng)絡(luò)安全事件的情況,可以按照中國(guó)人民銀行執(zhí)法檢查有關(guān)規(guī)定明確的程序,對(duì)金融從業(yè)機(jī)構(gòu)依法實(shí)施檢查,金融從業(yè)機(jī)構(gòu)應(yīng)當(dāng)予以配合。
金融從業(yè)機(jī)構(gòu)拒絕、阻礙中國(guó)人民銀行或其分支機(jī)構(gòu)實(shí)施檢查的,中國(guó)人民銀行或其分支機(jī)構(gòu)依照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第六十九條予以處罰。
第二十七條 金融從業(yè)機(jī)構(gòu)未按照本辦法規(guī)定報(bào)告網(wǎng)絡(luò)安全事件的,中國(guó)人民銀行或其分支機(jī)構(gòu)依照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第五十九條予以處罰。
前款行為涉及中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用的,中國(guó)人民銀行或其分支機(jī)構(gòu)依照《中華人民共和國(guó)數(shù)據(jù)安全法》第四十五條予以處罰;前款行為涉及個(gè)人信息泄露、篡改、丟失的,中國(guó)人民銀行或其分支機(jī)構(gòu)可以依照《中華人民共和國(guó)個(gè)人信息保護(hù)法》第六十六條予以處罰。
第二十八條 金融從業(yè)機(jī)構(gòu)收到中國(guó)人民銀行或其分支機(jī)構(gòu)通報(bào)的風(fēng)險(xiǎn),如果風(fēng)險(xiǎn)屬實(shí),但未立即采取補(bǔ)救措施或者未按照本辦法規(guī)定按時(shí)反饋核查處置情況的,中國(guó)人民銀行或其分支機(jī)構(gòu)依照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第六十條予以處罰。
有前款行為并且通報(bào)的風(fēng)險(xiǎn)為數(shù)據(jù)安全缺陷、漏洞的,中國(guó)人民銀行或其分支機(jī)構(gòu)依照《中華人民共和國(guó)數(shù)據(jù)安全法》第四十五條予以處罰。
第二十九條 金融從業(yè)機(jī)構(gòu)在接受中國(guó)人民銀行或其分支機(jī)構(gòu)檢查時(shí),主動(dòng)供述檢查人員尚未掌握的未按照本辦法規(guī)定報(bào)告網(wǎng)絡(luò)安全事件行為的,應(yīng)當(dāng)從輕或者減輕處罰。
第三十條 中國(guó)人民銀行分支機(jī)構(gòu)未按照本辦法規(guī)定報(bào)告網(wǎng)絡(luò)安全事件,存在失職失責(zé)行為,造成重大損失、嚴(yán)重后果或者惡劣影響的,對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員依規(guī)依紀(jì)依法予以嚴(yán)肅追責(zé)問(wèn)責(zé)。
第五章 附 則
第三十一條 本辦法下列用語(yǔ)的含義:
(一)金融從業(yè)機(jī)構(gòu),是指金融機(jī)構(gòu)以及經(jīng)中國(guó)人民銀行批準(zhǔn)設(shè)立或者認(rèn)定的其他機(jī)構(gòu)。
(二)網(wǎng)絡(luò),是指由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲(chǔ)、傳輸、交換、處理的系統(tǒng)。
(三)業(yè)務(wù)高峰時(shí)段,是指按年度統(tǒng)計(jì)的分時(shí)平均業(yè)務(wù)量超過(guò)日平均業(yè)務(wù)量百分之三的時(shí)段,或者依據(jù)本機(jī)構(gòu)制度列明的其他合理計(jì)算方式確定的時(shí)段。
(四)整體中斷運(yùn)行,是指因網(wǎng)絡(luò)安全事件,某一時(shí)段內(nèi)未處理和處理失敗業(yè)務(wù)量與正常情況全部業(yè)務(wù)量的比例,經(jīng)合理測(cè)算或者估算,已經(jīng)超過(guò)百分之七十。
(五)主要功能,是指與用戶(hù)身份認(rèn)證或者業(yè)務(wù)交互相關(guān)的功能。
(六)本辦法所稱(chēng)“以上”均含本數(shù)。
第三十二條 本辦法由中國(guó)人民銀行負(fù)責(zé)解釋。
中國(guó)人民銀行分支機(jī)構(gòu)自身發(fā)生的網(wǎng)絡(luò)安全事件應(yīng)當(dāng)向其上級(jí)行報(bào)告,報(bào)告時(shí)效、途徑和內(nèi)容等要求按照本辦法對(duì)金融從業(yè)機(jī)構(gòu)的規(guī)定執(zhí)行。
第三十三條 本辦法自2025年8月1日起施行。《銀行計(jì)算機(jī)安全事件報(bào)告管理制度》(銀發(fā)〔2002〕280號(hào)文印發(fā))、《中國(guó)人民銀行計(jì)算機(jī)系統(tǒng)信息安全報(bào)告制度》(銀發(fā)〔2010〕366號(hào)文印發(fā))同時(shí)廢止。
術(shù)語(yǔ)表
網(wǎng)站地圖
無(wú)障礙瀏覽
English Version
京公網(wǎng)安備 11010202000016號(hào)