中国人民银行令〔2025〕第4号(中国人民银行业务领域网络安全事件报告管理办法)


　　 《中国人民银行业务领域网络安全事件报告管理办法》已经2025年5月12日中国人民银行第8次行务会议审议通过，现予发布，自2025年8月1日起施行。
　　
　　
　　行 长 潘功胜
　　2025年5月23日
　　
　　
中国人民银行业务领域网络安全事件报告管理办法
　　
第一章 总 则
　　第一条 为规范中国人民银行业务领域网络安全事件报告管理，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国中国人民银行法》等法律、行政法规，制定本办法。
　　第二条 金融从业机构在中华人民共和国境内发生中国人民银行业务领域网络安全事件时，应当按照本办法规定向中国人民银行或者住所地中国人民银行分支机构报告。非中国人民银行业务领域网络安全事件无须按照本办法规定报告。涉及国家秘密的，按照有关规定执行。
　　第三条 本办法所称中国人民银行业务领域，指依据法律、行政法规，党中央、国务院决定，由中国人民银行承担监督和管理职责的业务领域。
　　本办法所称中国人民银行业务领域网络安全事件（以下简称网络安全事件），指由于人为原因、遭受网络攻击、存在漏洞隐患、软硬件缺陷或故障、不可抗力等因素，对本机构建设、运营、维护、管理的中国人民银行业务领域网络或者处理的中国人民银行业务领域数据造成危害的事件。
　　第四条 国家有关部门和其他金融管理部门等对网络安全事件报告有规定的，金融从业机构还应当从其规定报告。涉及危害计算机信息系统等违法犯罪的网络安全事件，金融从业机构还应当及时向公安机关报案。
　　中国人民银行加强与国家有关部门和其他金融管理部门间的网络安全事件报告内容共享，按照国家有关部门规定向其通报网络安全事件，并根据其他金融管理部门需要向其通报网络安全事件。
　　第五条 任何个人和组织有权向中国人民银行或其分支机构举报金融从业机构未按照本办法规定报告网络安全事件的行为。中国人民银行或其分支机构对举报人的相关信息予以保密。
第二章 网络安全事件分级
　　第六条 金融从业机构应当在本机构网络安全管理制度或者操作规程中明确网络安全事件分级标准（以下简称分级标准），将网络安全事件分为特别重大、重大、较大和一般四个等级。金融从业机构应当每年组织评估并视情更新分级标准。分级标准如有更新，应当报本机构主管网络安全的领导班子成员批准。
　　金融从业机构制定分级标准时，应当综合考虑网络安全事件对业务、用户等的影响程度。金融从业机构针对与货币存取款、支付交易、税款缴库、银行间市场交易密切相关的中国人民银行业务领域网络制定分级标准时，应当差异化考虑业务高峰时段和非业务高峰时段网络安全事件对业务处理的影响程度。
　　金融从业机构还应当结合中国人民银行业务领域数据安全管理相关规定，制定与中国人民银行业务领域数据遭到篡改、破坏、泄露相关的分级标准。
　　金融从业机构可以针对网络安全等级保护三级以上的中国人民银行业务领域网络，逐一细化制定专门适用的分级标准。
　　第七条 符合下列情形之一的，应当分级为特别重大网络安全事件：
　　（一）属于金融基础设施、直接服务5000万个以上自然人或者与货币存取款、支付交易、税款缴库、银行间市场交易密切相关的中国人民银行业务领域网络，主要功能在业务高峰时段出现两个以上省级行政区范围整体中断运行3小时以上或者单个省级行政区范围整体中断运行6小时以上的；
　　（二）提供金融服务的中国人民银行业务领域网络，主要功能出现中断、超时报错等情形，导致业务无法正常开展，经合理测算或者估算，已实际影响1000万个以上自然人或者100万个以上法人和其他组织的；
　　（三）中国人民银行业务领域核心数据遭到篡改、破坏、泄露的；
　　（四）致使泄露1000万条以上敏感个人信息或者1亿条以上个人信息的；
　　（五）网信部门、公安机关已明确应当分级为特别重大网络安全事件的；
　　（六）中国人民银行或其上海总部、省级分行、计划单列市分行研判并书面告知金融从业机构，应当分级为特别重大网络安全事件的。
　　第八条 符合下列情形之一的，应当至少分级为重大网络安全事件：
　　（一）属于金融基础设施、直接服务5000万个以上自然人或者与货币存取款、支付交易、税款缴库、银行间市场交易密切相关的中国人民银行业务领域网络，主要功能在业务高峰时段出现两个以上省级行政区范围整体中断运行1.5小时以上或者单个省级行政区范围整体中断运行3小时以上的；
　　（二）提供金融服务的中国人民银行业务领域网络，主要功能出现中断、超时报错等情形，导致业务无法正常开展，经合理测算或者估算，已实际影响100万个以上自然人或者10万个以上法人和其他组织的；

总共4页  1 [2] [3] [4] 
下一页