法律图书馆>>新法规速递>>正文
中国人民银行业务领域网络安全事件报告管理办法(3)
  第十六条 对于重大等级以上网络安全事件,金融从业机构应当至少每隔2小时进行事中进展报告,直至处置结束。处置过程中如出现调高网络安全事件等级、处置取得阶段性进展、发现新的问题等重要情况时,应当立即报告。
  第十七条 网络安全事件处置结束后,金融从业机构应当于10个工作日内报送事后调查总结报告。无法按时报送事后调查总结报告的,金融从业机构应当先按时报送初步报告,说明承诺报送事后调查总结报告的日期并按时报送。承诺日期原则上应当在处置结束之日起40个工作日内。
  第十八条 金融从业机构可以通过电话、即时通信工具、电子邮件、传真或者中国人民银行指定的信息系统报送网络安全事件事发简要报告、事发报告和事中进展报告;采用电子邮件、传真方式报告的,应当通过电话或者即时通信工具确认中国人民银行或其分支机构已收悉。涉及工作秘密的,不得通过互联网渠道报告。
  金融从业机构应当书面报送网络安全事件事后调查总结报告,并加盖本机构或者承担报告职责内设部门公章。中国人民银行对网络安全事件事后调查总结报告另有电子化报送规定的,金融从业机构还应当按照规定电子化报送。
  第十九条 网络安全事件事发简要报告内容包括初次确定的网络安全事件等级、事发时间、依据网络安全事件分类分级相关国家标准确定的网络安全事件分类、影响的中国人民银行业务领域网络及其对应的网络安全保护等级、涉及的数据中心、报告机构和报告时间、报告人和联系方式。网络安全事件事发报告应当在事发简要报告内容基础上,增补影响范围和程度、已采取的措施和效果,网络攻击事件还应当增补分析研判情况。
  网络安全事件事中进展报告应当在事发简要报告基础上,增补说明最新确定的网络安全事件等级、影响的变化、处置进展和下一步拟采取的措施。如存在需中国人民银行或其分支机构协调支持处置的事项,应当一并说明。
  网络安全事件事后调查总结报告内容应当包括最终确定的网络安全事件等级、处置历程回顾、影响损失评估、技术或者管理问题根源分析、处置经验教训、后续改进措施、报告机构和报告时间、报告人和联系方式、签发人。
  第二十条 金融从业机构发生网络安全事件涉及个人信息泄露、篡改、丢失的,事后调查总结报告还应当说明本机构为有效避免网络安全事件危害所采取的补救措施、依法通知个人的情况和告知个人可以采取减轻危害措施的情况。
  对于重大等级以上网络安全事件,前款所列内容应当在事中进展报告中提前予以说明。
  第二十一条 较大等级以上网络安全事件事后调查总结报告内容,还应当包括直接负责的主管人员和其他直接责任人员的责任认定和对应责任处理情况。
  金融从业机构应当综合考虑动机态度、客观条件、程序方法、后果影响、挽回损失等因素,在本机构网络安全管理制度中明确责任处理的差异化适用情形。事后调查总结报告中对直接负责的主管人员和其他直接责任人员的处理措施,应当符合本机构网络安全管理制度规定。
  第二十二条 满足下列条件之一并且能提供相关证明材料的,金融从业机构可以根据直接负责的主管人员和其他直接责任人员具体承担职责,视情针对性减轻或者免除责任处理,但应当在网络安全事件事后调查总结报告中予以说明:
  (一)已按本办法规定主动报告,同时按照本机构网络安全事件应急预案有关程序立即进行处置,尽最大努力降低影响的;
  (二)网络技术创新和应用过程中因缺乏经验、先行先试造成网络安全事件,且没有主观过错的;
  (三)已切实落实中国人民银行和本机构网络安全、数据安全相关管理制度要求,并严格执行本机构相关操作规程的。
  第二十三条 中国人民银行或其分支机构认为金融从业机构网络安全事件事后调查总结报告存在内容缺失、原因分析不清、影响损失评估失实、责任认定或者处理不当等情形,退回事后调查总结报告并正式反馈修改意见的,金融从业机构应当在收到反馈之日起10个工作日内完善事后调查总结报告并重新报送。
  第二十四条 金融从业机构收到中国人民银行或其分支机构通报的其网络产品、服务存在运行异常、疑似数据泄露、安全缺陷、漏洞等风险提示时,应当立即组织核查,采取必要补救措施。经核查风险属实并构成网络安全事件的,金融从业机构应当按照本办法规定进行报告;风险不属实或者尚不构成网络安全事件的,应当根据通报要求按时反馈风险核查处置情况。
  第二十五条 金融从业机构应当建立网络安全事件台账,完整准确记录网络安全事件事发时间、事发报告时间、中国人民银行或其分支机构接报联系人和对应的网络安全事件报告内容。中国人民银行分支机构应当相应建立辖区网络安全事件台账。台账应当至少留存三年。
第四章 法律责任
  第二十六条 中国人民银行或其分支机构根据金融从业机构报告处置网络安全事件的情况,可以按照中国人民银行执法检查有关规定明确的程序,对金融从业机构依法实施检查,金融从业机构应当予以配合。
  金融从业机构拒绝、阻碍中国人民银行或其分支机构实施检查的,中国人民银行或其分支机构依照《中华人民共和国网络安全法》第六十九条予以处罚。

总共4页  [1] [2] 3 [4] 
上一页  下一页  

相关法规:
·中国人民银行业务领域数据安全管理办法 / 中国人民银行(2025-5-1)
===============================
声明:本法规由《法律图书馆》网站
(http://www.law-lib.com)免费提供.
仅供学术研究参考使用,
请与正式出版物或发文原件核对后使用。
===============================
手机法律图书馆>>导航>>搜索