正文
(四)致使泄露100万条以上敏感个人信息或者1000万条以上个人信息的;
(五)网信部门、公安机关已明确应当分级为重大网络安全事件的;
(六)中国人民银行或其上海总部、省级分行、计划单列市分行研判并书面告知金融从业机构,应当分级为重大网络安全事件的。
第九条 符合下列情形之一的,应当至少分级为较大网络安全事件:
(一)属于金融基础设施、直接服务5000万个以上自然人或者与货币存取款、支付交易、税款缴库、银行间市场交易密切相关的中国人民银行业务领域网络,主要功能在业务高峰时段出现两个以上省级行政区范围整体中断运行15分钟以上或者单个省级行政区范围整体中断运行30分钟以上的;
(二)提供金融服务的中国人民银行业务领域网络,主要功能出现中断、超时报错等情形,导致业务无法正常开展,经合理测算或者估算,已实际影响10万个以上自然人或者5000个以上法人和其他组织的;
(三)致使泄露500条以上征信信息、财产信息,或者致使泄露5万条以上个人信息的;
(四)遭受勒索恶意程序攻击,已对中国人民银行业务领域网络或者中国人民银行业务领域数据造成危害后果的;
(五)网信部门、公安机关已明确应当分级为较大网络安全事件的。
第十条 符合下列情形之一的,应当至少分级为一般网络安全事件:
(一)提供金融服务的中国人民银行业务领域网络,主要功能出现单个省级行政区范围整体中断运行30分钟以上的;
(二)提供金融服务的中国人民银行业务领域网络,主要功能出现中断、超时报错等情形,导致业务无法正常开展,经合理测算或者估算,已实际影响1万个以上自然人或者1000个以上法人和其他组织的;
(三)中国人民银行业务领域网络主要功能出现中断、超时报错等情形,导致业务无法正常开展,已持续1小时以上的;
(四)中国人民银行业务领域数据遭到篡改、破坏、泄露,导致社会危害的;
(五)发生或者可能发生个人信息泄露、篡改、丢失的;
(六)网信部门、公安机关已明确应当分级为一般网络安全事件的。
第十一条 金融从业机构制定与中国人民银行管理的金融基础设施业务交互功能异常相关的分级标准时,应当征求金融基础设施运营机构意见并协商一致。
第十二条 金融从业机构发生网络安全事件时,应当对照分级标准,综合确定网络安全事件等级。同时符合多个分级标准的,应当按照最高级别确定网络安全事件等级。对照分级标准无法准确确定网络安全事件等级的,应当至少分级为较大网络安全事件。
因灾害或者信息基础设施故障,导致金融从业机构多个中国人民银行业务领域网络同时发生网络安全事件时,应当先分别确定网络安全事件等级,再按照各网络安全事件等级中的最高级别,确定整体的网络安全事件等级。
网络安全事件事态发展情况已达到更高级别分级标准时,金融从业机构应当立即调整网络安全事件等级。
第三章 网络安全事件报告
第十三条 金融从业机构应当明确应急处置与报告的职责分工,确保网络安全事件报告及时、准确、完整,不得迟报、漏报或者瞒报。
金融从业机构应当健全网络安全风险监测预警体系,提升第一时间发现和报告网络安全事件的技术能力。
金融从业机构发生网络安全事件时,应当立即启动应急预案,采取相应的补救措施。按照本办法规定报告网络安全事件时,不应迟滞业务恢复、存证溯源、用户解释、舆情应对等处置工作。
第十四条 国家开发银行、政策性银行、国有商业银行、中国邮政储蓄银行、股份制商业银行、属于系统重要性金融机构的城市商业银行、系统重要性非银行支付机构、经营个人征信业务的征信机构发生网络安全事件时,应当向中国人民银行报告;其分支机构发生网络安全事件时,应当向住所地中国人民银行分支机构报告。中国人民银行所属单位及其管理的金融基础设施运营机构发生网络安全事件时,应当向中国人民银行报告。其他金融从业机构或其分支机构发生网络安全事件时,应当向住所地中国人民银行分支机构报告;在保障报告时效性前提下,证券、期货、基金机构发生网络安全事件时,经中国证监会派出机构转通报同级中国人民银行分支机构。
中国人民银行计划单列市分行(不含深圳市分行)、地市分行接报辖区发生较大等级以上网络安全事件时,应当及时上报至中国人民银行省级分行。中国人民银行省级分行、深圳市分行接报辖区发生重大等级以上网络安全事件时,应当及时上报至中国人民银行。
第十五条 金融从业机构发生较大等级以上网络安全事件后,应当于1小时内报送网络安全事件事发简要报告,并在24小时内报送网络安全事件事发报告。
金融从业机构发生网络安全事件,尚未达到较大等级,但出现相关舆情信息进入社交媒体、搜索引擎或者新闻网站热点榜等情形,引发较大舆情的,应当按照前款规定报告。
第十六条 对于重大等级以上网络安全事件,金融从业机构应当至少每隔2小时进行事中进展报告,直至处置结束。处置过程中如出现调高网络安全事件等级、处置取得阶段性进展、发现新的问题等重要情况时,应当立即报告。
第十七条 网络安全事件处置结束后,金融从业机构应当于10个工作日内报送事后调查总结报告。无法按时报送事后调查总结报告的,金融从业机构应当先按时报送初步报告,说明承诺报送事后调查总结报告的日期并按时报送。承诺日期原则上应当在处置结束之日起40个工作日内。
第十八条 金融从业机构可以通过电话、即时通信工具、电子邮件、传真或者中国人民银行指定的信息系统报送网络安全事件事发简要报告、事发报告和事中进展报告;采用电子邮件、传真方式报告的,应当通过电话或者即时通信工具确认中国人民银行或其分支机构已收悉。涉及工作秘密的,不得通过互联网渠道报告。
金融从业机构应当书面报送网络安全事件事后调查总结报告,并加盖本机构或者承担报告职责内设部门公章。中国人民银行对网络安全事件事后调查总结报告另有电子化报送规定的,金融从业机构还应当按照规定电子化报送。
