5月30日，中國人民銀行發(fā)布《中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件報(bào)告管理辦法》（以下簡稱《辦法》），自2025年8月1日起施行?！掇k法》進(jìn)一步明確了相關(guān)金融從業(yè)機(jī)構(gòu)報(bào)告中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件（以下簡稱“網(wǎng)絡(luò)安全事件”）的具體要求。中國人民銀行有關(guān)部門負(fù)責(zé)人指出，《辦法》通過細(xì)化事件報(bào)告流程、明確報(bào)告時(shí)效要求，著力提升了網(wǎng)絡(luò)安全事件報(bào)告的可操作性、及時(shí)性。

“網(wǎng)安”事件引發(fā)輿情需及時(shí)匯報(bào)

從適用范圍上看，《辦法》明確，由于人為原因、遭受網(wǎng)絡(luò)攻擊、存在漏洞隱患、軟硬件缺陷或故障、不可抗力等因素，對金融從業(yè)機(jī)構(gòu)建設(shè)、運(yùn)營、維護(hù)、管理的中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)或者處理的相關(guān)數(shù)據(jù)造成危害的事件，應(yīng)當(dāng)按照《辦法》規(guī)定向中國人民銀行或者住所地中國人民銀行分支機(jī)構(gòu)報(bào)告。其中，中國人民銀行業(yè)務(wù)領(lǐng)域包括貨幣信貸、宏觀審慎、跨境人民幣、銀行間市場、金融業(yè)綜合統(tǒng)計(jì)、支付清算、人民幣發(fā)行流通、經(jīng)理國庫、征信和信用評級、反洗錢等業(yè)務(wù)領(lǐng)域。非網(wǎng)絡(luò)安全事件無須按照《辦法》規(guī)定報(bào)告。涉及國家秘密的，按照有關(guān)規(guī)定執(zhí)行。

《辦法》共五章三十三條。一方面，對網(wǎng)絡(luò)安全事件分級管理作出規(guī)定，明確特別重大、重大、較大、一般等級網(wǎng)絡(luò)安全事件的分級標(biāo)準(zhǔn)底線規(guī)則。其中，符合下列情形之一的，應(yīng)當(dāng)至少分級為重大網(wǎng)絡(luò)安全事件：屬于金融基礎(chǔ)設(shè)施、直接服務(wù)5000萬個(gè)以上自然人或與貨幣存取款、支付交易、稅款繳庫、銀行間市場交易密切相關(guān)的中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)，主要功能在業(yè)務(wù)高峰時(shí)段出現(xiàn)兩個(gè)以上省級行政區(qū)范圍整體中斷運(yùn)行3小時(shí)以上或者單個(gè)省級行政區(qū)范圍整體中斷運(yùn)行6小時(shí)以上的；提供金融服務(wù)的中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)，主要功能出現(xiàn)中斷、超時(shí)報(bào)錯(cuò)等情形，已實(shí)際影響1000萬個(gè)以上自然人或者100萬個(gè)以上法人和其他組織的；中國人民銀行業(yè)務(wù)領(lǐng)域核心數(shù)據(jù)遭到篡改、破壞、泄露的；致使泄露1000萬條以上敏感個(gè)人信息或者1億條以上個(gè)人信息的等。

另一方面，《辦法》對網(wǎng)絡(luò)安全事件報(bào)告流程、內(nèi)容、時(shí)效、途徑等作出規(guī)定。在時(shí)效上，《辦法》強(qiáng)調(diào)，金融機(jī)構(gòu)發(fā)生較大等級以上網(wǎng)絡(luò)安全事件后，應(yīng)當(dāng)于1小時(shí)內(nèi)報(bào)送網(wǎng)絡(luò)安全事件事發(fā)簡要報(bào)告，并在24小時(shí)內(nèi)報(bào)送網(wǎng)絡(luò)安全事件事發(fā)報(bào)告。如網(wǎng)絡(luò)安全事件雖未達(dá)到較大等級，相關(guān)輿情信息已“上熱搜”并引發(fā)較大輿情的，金融機(jī)構(gòu)也應(yīng)按照前款規(guī)定報(bào)告。

網(wǎng)絡(luò)安全事件發(fā)生后，金融機(jī)構(gòu)還需對事件進(jìn)行持續(xù)報(bào)告。《辦法》明確，對于重大等級以上網(wǎng)絡(luò)安全事件，金融從業(yè)機(jī)構(gòu)應(yīng)當(dāng)至少每隔兩小時(shí)進(jìn)行事中進(jìn)展報(bào)告，直至處置結(jié)束。處置過程中如出現(xiàn)調(diào)高網(wǎng)絡(luò)安全事件等級、處置取得階段性進(jìn)展、發(fā)現(xiàn)新的問題等重要情況時(shí)，應(yīng)當(dāng)立即報(bào)告。網(wǎng)絡(luò)安全事件處置結(jié)束后，金融從業(yè)機(jī)構(gòu)應(yīng)當(dāng)于10個(gè)工作日內(nèi)報(bào)送事后調(diào)查總結(jié)報(bào)告。

引導(dǎo)金融機(jī)構(gòu)落實(shí)分類標(biāo)準(zhǔn)

對銀行信息安全事件進(jìn)行報(bào)告，并非《辦法》首提。為保障銀行信息系統(tǒng)安全運(yùn)行，2002年9月，中國人民銀行曾發(fā)布《銀行計(jì)算機(jī)安全事件報(bào)告管理制度》。

據(jù)中國人民銀行有關(guān)部門負(fù)責(zé)人介紹，與現(xiàn)行的管理制度相比，《辦法》主要有五方面變化。一是明確金融從業(yè)機(jī)構(gòu)在中國境內(nèi)發(fā)生網(wǎng)絡(luò)安全事件時(shí)，應(yīng)向中國人民銀行或者住所地中國人民銀行分支機(jī)構(gòu)報(bào)告。二是明確將網(wǎng)絡(luò)安全事件分為四個(gè)等級，并提出各等級分級標(biāo)準(zhǔn)的底線規(guī)則。三是細(xì)化報(bào)告要求，便于中國人民銀行全面掌握、督促處置、協(xié)調(diào)化解網(wǎng)絡(luò)安全事件。四是明確涉及責(zé)任認(rèn)定時(shí)的報(bào)告內(nèi)容要求。五是明確法律責(zé)任。

上述負(fù)責(zé)人表示，《辦法》出臺后，將加強(qiáng)政策宣傳，指導(dǎo)金融從業(yè)機(jī)構(gòu)更準(zhǔn)確地理解把握《辦法》條款內(nèi)容。積極推進(jìn)落實(shí)，引導(dǎo)金融從業(yè)機(jī)構(gòu)結(jié)合自身實(shí)際完善網(wǎng)絡(luò)安全事件分級標(biāo)準(zhǔn)、明確網(wǎng)絡(luò)安全事件報(bào)告內(nèi)部職責(zé)分工。規(guī)范行政執(zhí)法，督促金融從業(yè)機(jī)構(gòu)堅(jiān)守網(wǎng)絡(luò)安全事件報(bào)告合規(guī)底線。

（來源：中國銀行保險(xiǎn)報(bào)）