来源:WEMONEY研究室
2026-07-10 19:41:35
(原标题:银行保险网络安全新规落地倒计时:金融机构准备好了吗?)
7月10日,国家金融监督管理总局就《银行业保险业网络安全管理办法(征求意见稿)》公开征求意见。这份共八章七十二条的文件,首次以部门规章形式对银行、保险、金融控股公司等机构的网络安全管理作出系统性规范,其中最受关注的是附件中明确的网络安全事件四级分级标准——银行重要信息系统业务时段瘫痪多久算"较大""重大"或"特别重大",有了量化答案。
根据办法附件《银行业保险业网络安全事件分级标准》,网络安全事件依影响范围、系统重要程度、业务中断时长等因素分为四级:
较大(三级)网络安全事件:重要信息系统在业务服务时段,导致一个省(自治区、直辖市)业务无法正常开展达30分钟(含)以上、不足3小时;或重要数据、敏感数据遭泄露、非法获取、非法利用构成较大数据安全事件。
重大(二级)网络安全事件:重要信息系统在业务服务时段,两个及以上省业务中断达30分钟(含)以上、不足3小时,或一个省业务中断达3小时(含)以上、不足6小时;或重要数据遭泄露破坏构成重大数据安全事件。
特别重大(一级)网络安全事件:重要信息系统在业务服务时段,两个及以上省业务中断达3小时(含)以上,或一个省业务中断达6小时(含)以上;或敏感级及以上数据大规模泄露构成特别重大数据安全事件。
一般(四级)网络安全事件:除上述情形外,对组织或个人造成一定影响,或构成一般数据安全事件。
与分级标准配套的还有严格的报告时限:《办法》第四十五条规定,发生较大(三级)及以上网络安全事件,金融机构应于2小时内向国家金融监督管理总局或其派出机构报告,24小时内提交正式书面报告;其中关基设施发生较大及以上事件,最迟不得超过1小时报告监管和公安部门,特别重大事件每2小时续报进展直至处置结束。瞒报、漏报、谎报或故意迟报的,要严肃追责问责。
除此之外,《办法》还要求金融机构建立网络安全治理架构,明确金融机构主要负责人为网络安全第一责任人,将网络安全风险纳入全面风险管理;落实国家网络安全等级保护制度和商用密码评估要求;每年至少开展一次网络安全风险评估和一次互联网渗透测试,每三年至少开展一次网络安全审计;加强供应链安全和外包管理。关键信息基础设施运营者须具备境内运行维护能力和7×24小时监控指挥中心,每年开展面向高风险场景的真实演练。
以往银行系统故障后是否上报、何时上报常因标准模糊引发争议,此次新规以"半小时""3小时""6小时"等明确时间阈值划定事件等级,既便于机构自查定级,也强化了监管的穿透力和可操作性,有利于防范网络安全风险向金融风险、社会风险传导。
乐居财经
2026-07-10
乐居财经
2026-07-10
乐居财经
2026-07-10
乐居财经
2026-07-10
观点
2026-07-10
观点
2026-07-10
证券之星资讯
2026-07-10
证券之星资讯
2026-07-10
证券之星资讯
2026-07-10