《人行业务领域网络安全事件报告管理办法》（附答记者问+全文）

数据何规 · 公众号 · · 2025-05-30 17:31

正文

请到「今天看啥」查看全文

《办法》明确，由于人为原因、遭受网络攻击、存在漏洞隐患、软硬件缺陷或故障、不可抗力等因素，对金融从业机构建设、运营、维护、管理的中国人民银行业务领域网络或者处理的中国人民银行业务领域数据造成危害的事件，应当按照《办法》规定向中国人民银行或者住所地中国人民银行分支机构报告。非中国人民银行业务领域网络安全事件无须按照《办法》规定报告。涉及国家秘密的，按照有关规定执行。其中，中国人民银行业务领域是指由中国人民银行承担监督和管理职责的货币信贷、宏观审慎、跨境人民币、银行间市场、金融业综合统计、支付清算、人民币发行流通、经理国库、征信和信用评级、反洗钱等业务领域。

问：制定《办法》的主要思路是什么 ？

答：《办法》编制基于有效衔接、细化上位法原则性规定的思路，明确了网络安全事件的分级标准底线规则。在此基础上，《办法》一是细化事件报告流程，基于金融从业机构的机构类型、机构层级、业务规模等，差异化明确网络安全事件报告的流程，着力提升网络安全事件报告可操作性。二是明确不同等级网络安全事件事发、事中、事后报告的时效要求，着力提升网络安全事件报告及时性。

问：《办法》的主要内容包括哪些 ？

答：《办法》共五章三十三条：第一章明确《办法》制定依据、适用范围、向其他部门报告通报协作机制和社会监督机制；第二章对网络安全事件分级管理作出规定，明确特别重大、重大、较大、一般等级网络安全事件的分级标准底线规则；第三章对网络安全事件报告流程、内容、时效、途径等作出规定；第四章对中国人民银行或其分支机构监督和管理责任落实，以及金融从业机构违反规定行为的处罚作出规定；第五章对术语定义、解释权和施行日期作出规定。

问：与现行的《银行计算机安全事件报告管理制度》相比，《办法》主要的变化有哪些？

答：与现行的管理制度相比，《办法》主要有五方面变化。一是明确适用范围。《办法》明确金融从业机构在中华人民共和国境内发生网络安全事件时，应当按照《办法》规定向中国人民银行或者住所地中国人民银行分支机构报告。二是明确分级标准。《办法》遵循《信息安全技术网络安全事件分类分级指南》（ GB/T 20986-2023）国家标准定义，将网络安全事件分为特别重大、重大、较大和一般四个等级，并提出各等级分级标准的底线规则。三是细化报告要求。《办法》细化网络安全事件事发、事中、事后报告具体要求，便于中国人民银行全面掌握、督促处置、协调化解网络安全事件。四是明确涉及责任认定时的报告内容要求