1月24日消息,为进一步规范中国人民银行业务领域网络安全事件报告管理,中国人民银行起草了《中国人民银行业务领域网络安全事件报告管理办法(征求意见稿)》(以下简称《办法》),现面向社会公开征求意见。
2002年,中国人民银行制定印发《银行计算机安全事件报告管理制度》(银发〔2002〕280号,以下简称《现行制度》),明确了银行机构向中国人民银行报告计算机安全事件的管理要求。为应对网络安全新形势,进一步规范中国人民银行业务领域网络安全事件报告管理,更好地保障金融服务与维护金融安全,中国人民银行拟废止《现行制度》,并起草《办法》。
《办法》分成总则、网络安全事件分级、网络安全事件报告、法律责任、附则五章,共三十二条,主要内容如下:
第一章总则,明确目的和依据、适用范围、术语定义、向其他部门报告通报和社会监督机制。
第二章网络安全事件分级,明确网络安全事件分级管理要求,提出特别重大、重大、较大、一般等级网络安全事件的分级标准底线规则。
第三章网络安全事件报告,明确网络安全事件报告总体要求,细化报告流程、内容、时限、途径和责任认定处置等规定。
第四章法律责任,明确违规行为处理的相关规定,以及应当从轻减轻处罚的情形。
第五章附则,明确名词释义、解释权和适用性、生效期等内容。
《办法》提出,金融从业机构应当明确应急处置与报告的职责分工,确保网络安全事件报告及时、准确、完整,不得迟报、漏报或者瞒报。金融从业机构应当健全网络安全风险监测预警体系,提升第一时间发现和报告网络安全事件的技术能力。
《办法》要求,金融从业机构发生较大等级以上网络安全事件后,应于30分钟内报送网络安全事件事发简要报告,并在2小时内报送网络安全事件事发报告。对于重大等级以上网络安全事件,金融从业机构应当至少每隔2小时进行事中进展报告,直至处置结束。一般等级以上网络安全事件处置结束后,金融从业机构应当于10个工作日内报送事后调查总结报告。
以下为《办法》全文:
金融信息安全讨论群,请添加群主微信:qiao070132,备注:姓名+公司+职务+安全入群。
