首页 - 财经 - 公司新闻 - 正文

银行保险网络安全新规落地倒计时:金融机构准备好了吗?

(原标题:银行保险网络安全新规落地倒计时:金融机构准备好了吗?)

7月10日,国家金融监督管理总局就《银行业保险业网络安全管理办法(征求意见稿)》公开征求意见。这份共八章七十二条的文件,首次以部门规章形式对银行、保险、金融控股公司等机构的网络安全管理作出系统性规范,其中最受关注的是附件中明确的网络安全事件四级分级标准——银行重要信息系统业务时段瘫痪多久算"较大""重大"或"特别重大",有了量化答案。

根据办法附件《银行业保险业网络安全事件分级标准》,网络安全事件依影响范围、系统重要程度、业务中断时长等因素分为四级:

较大(三级)网络安全事件:重要信息系统在业务服务时段,导致一个省(自治区、直辖市)业务无法正常开展达30分钟(含)以上、不足3小时;或重要数据、敏感数据遭泄露、非法获取、非法利用构成较大数据安全事件。

重大(二级)网络安全事件:重要信息系统在业务服务时段,两个及以上省业务中断达30分钟(含)以上、不足3小时,或一个省业务中断达3小时(含)以上、不足6小时;或重要数据遭泄露破坏构成重大数据安全事件。

特别重大(一级)网络安全事件:重要信息系统在业务服务时段,两个及以上省业务中断达3小时(含)以上,或一个省业务中断达6小时(含)以上;或敏感级及以上数据大规模泄露构成特别重大数据安全事件。

一般(四级)网络安全事件:除上述情形外,对组织或个人造成一定影响,或构成一般数据安全事件。

与分级标准配套的还有严格的报告时限:《办法》第四十五条规定,发生较大(三级)及以上网络安全事件,金融机构应于2小时内向国家金融监督管理总局或其派出机构报告,24小时内提交正式书面报告;其中关基设施发生较大及以上事件,最迟不得超过1小时报告监管和公安部门,特别重大事件每2小时续报进展直至处置结束。瞒报、漏报、谎报或故意迟报的,要严肃追责问责。

除此之外,《办法》还要求金融机构建立网络安全治理架构,明确金融机构主要负责人为网络安全第一责任人,将网络安全风险纳入全面风险管理;落实国家网络安全等级保护制度和商用密码评估要求;每年至少开展一次网络安全风险评估和一次互联网渗透测试,每三年至少开展一次网络安全审计;加强供应链安全和外包管理。关键信息基础设施运营者须具备境内运行维护能力和7×24小时监控指挥中心,每年开展面向高风险场景的真实演练。

以往银行系统故障后是否上报、何时上报常因标准模糊引发争议,此次新规以"半小时""3小时""6小时"等明确时间阈值划定事件等级,既便于机构自查定级,也强化了监管的穿透力和可操作性,有利于防范网络安全风险向金融风险、社会风险传导。


APP下载
广告
下载证券之星
郑重声明:以上内容与证券之星立场无关。证券之星发布此内容的目的在于传播更多信息,证券之星对其观点、判断保持中立,不保证该内容(包括但不限于文字、数据及图表)全部或者部分内容的准确性、真实性、完整性、有效性、及时性、原创性等。相关内容不对各位读者构成任何投资建议,据此操作,风险自担。股市有风险,投资需谨慎。如对该内容存在异议,或发现违法及不良信息,请发送邮件至jubao@stockstar.com,我们将安排核实处理。如该文标记为算法生成,算法公示请见 网信算备310104345710301240019号。
网站导航 | 公司简介 | 法律声明 | 诚聘英才 | 征稿启事 | 联系我们 | 广告服务 | 举报专区
欢迎访问证券之星!请点此与我们联系 版权所有: Copyright © 1996-