为进一步规范中国人民银行业务领域网络安全事件报告管理,央行1月24日起草《中国人民银行业务领域网络安全事件报告管理办法(征求意见稿)》,并向社会公开征求意见。《办法》明确网络安全事件分级管理要求,提出特别重大、重大、较大、一般等级网络安全事件的分级标准底线规则,明确了网络安全事件事发、事中、事后报告要求。
《办法》要求,金融从业机构应当在本机构网络安全管理制度或者操作规程中明确网络安全事件分级标准(下称“分级标准”)。金融从业机构制定分级标准时,应当综合考虑网络安全事件对业务、资金、客户、舆情等的影响程度。针对与货币存取款、支付交易、税款缴库、银行间市场交易密切相关的央行业务领域网络制定分级标准时,金融从业机构应当差异化考虑网络安全事件在业务高峰时段和非业务高峰时段对业务处理的影响程度。涉及央行业务领域数据泄露、篡改、破坏的,金融从业机构还应当结合央行业务领域数据安全管理相关规定,制定分级标准。
《办法》提出,金融从业机构应当明确应急处置与报告的职责分工,确保网络安全事件报告及时、准确、完整,不得迟报、漏报或者瞒报。金融从业机构应当健全网络安全风险监测预警体系,提升第一时间发现和报告网络安全事件的技术能力。
《办法》要求,金融从业机构发生较大等级以上网络安全事件后,应于30分钟内报送网络安全事件事发简要报告,并在2小时内报送网络安全事件事发报告。对于重大等级以上网络安全事件,金融从业机构应当至少每隔2小时进行事中进展报告,直至处置结束。一般等级以上网络安全事件处置结束后,金融从业机构应当于10个工作日内报送事后调查总结报告。
