《金融业网络安全管理办法(征求意见稿)》发布 ,天融信带您速览核心内容
7月3日,央行、国家金融监督管理总局、证监会、国家外汇管理局四部门联合起草《金融业网络安全管理办法(征求意见稿)》(以下简称《办法》),同步配套发布起草说明。《办法》补齐金融数字化转型过程中的网络安全合规短板,明确金融机构网络安全主体责任与各监管部门权责边界,划清全行业网络安全合规底线与履职红线。
核心特点
打破长期以来分业监管各自出台网络安全专项规章的碎片化格局,首次在金融全行业层面构建统一、贯通的网络安全规章。
搭建了跨部门综合监管体系,明确金融行业多个监管部门和公安、网信等外部管理部门协同监管原则、信息共享及任务分工,完善协同监管机制。
明确组织管理、数据、个人信息、商用密码、供应链、创新应用等安全管理要求,厘清金融经营机构与监管部门在机构日常运营、关键信息基础设施防护、跨部门协同监督等多场景下的权责边界,形成覆盖行政惩戒、涉罪移送追责的处理机制。
《办法》共五章三十三条,包含总则、网络安全保护义务、监督管理协同、法律责任、附则。
《办法》总则概括
境内所有金融从业机构开展网络建设、运营、维护、使用网络,以及行业网络安全监管工作均适用本办法。《办法》明确了金融机构网络安全主体责任,要求机构坚持网络安全与信息化发展并重,保障资金与人员投入,搭建内部安全保障体系,同时需配合公安、国家安全机关等主管部门开展执法协助,行业协会承担自律引导职能,制定行业行为规范与团体标准,形成“机构遵循+监管协同+协会引导”的安全治理协同机制。
十五条网络安全保护义务关注点
在网络安全要求方面,《办法》针对金融行业网络安全确立了十五条安全保护义务,涵盖了网络安全工作责任制、网络安全治理、网络运行安全、网络安全等级保护、商用密码使用、网络数据保护、网络个人信息保护、技术创新应用、违法违规信息防范、信息服务安全管理、关基认定、组织架构及履职保障、供应链安全、风险评估、安全事件与应急预案等内容。
其中前十条面向所有金融从业机构,划定了通用义务,总结为四大核心维度:
组织治理体系要求:建立健全网络安全工作责任制,确定网络安全负责人;搭建完整安全管理组织架构、议事机制,单独设置安全牵头部门,明确总分机构、下属法人安全职责,保障人员与资金持续投入。
基础安全常态化工作要求:落实网络安全等级保护全流程管理,完成定级备案、定期测评、风险闭环整改;使用商用密码开展网络防护;常态化开展网络运行监测、事件处置。
数据与个人信息保护要求:落实数据分类分级管控,防范数据篡改、泄露、非法利用;鼓励采用国家网络身份认证服务核验用户,规范个人信息全流程处理。
业务与信息管控要求:规范新技术创新应用风险管控;对线上发布内容、自有下载渠道开展安全检测,发现违法信息、恶意程序立即响应处置、留存记录并上报监管部门。
后五条面向金融业关键信息基础设施运营者,设置专项义务:
认定与变更报备要求:需要由国务院金融管理部门统一组织识别、认定关键信息基础设施,结果同步给公安、网信等部门;机构发生合并、分立、解散等情况,或者关键信息基础设施发生较大变化可能影响认定结果时须主动上报。
关键信息基础设施安全管理要求:机构主要负责人负总责,明确分管网络安全的领导班子成员担任首席网络安全官,同时每一项关基设施均需要设有安全责任人;设立独立安全管理机构,并对专门安全管理机构负责人和关键岗位人员开展安全背景审查,定期报送安全保护计划与工作总结。
供应链与密码管控要求:按规定完成网络安全审查,每年报送网络产品和服务、云服务采购清单,严格执行关键信息基础设施商用密码管理规范。
常态化风险评估要求:针对关键信息基础设施每年至少开展一次全面安全检测与风险评估,覆盖等保测评、密码评估、数据保护、安全保护制度与标准落实情况、风险监测处置情况及 安全事件应急处置改进落实情况等内容,评估发现的问题限期整改并向监管报送结果。
应急演练与事件处置要求:制定专项应急预案,定期组织应急演练,规范重大网络威胁、安全事件上报处置流程。
跨部门协同监管与分层法律追责机制关注点
在监督管理和法律责任方面,《办法》针对金融多监管部门协同监管难题,清晰地划分了由国务院金融管理部门按法定分工履行行业网络安全监管职责,并主动配合网信、公安、密码管理等主管部门开展联合监管,由各分支机构、派出机构落实辖区日常监管工作。建立跨部门信息共享机制,互通安全事件、风险情报,定期研判行业整体网络安全态势。
同时,建立法律追责体系,对违反《办法》的行为区分为传输违法违规信息、未按等保及关保要求实施密码保护、不配合监督检查、违反其他法规保护义务、管理人员违反规定等情形,可实施直接处罚、移送其它主管部门处理、治安及刑事追责。
天融信助力金融机构对标新规落地
面对《办法》提出的十五项网络安全义务合规要求,天融信(002212)依托30余年积累的产品及服务经验,全方位响应金融机构的安全建设需求:
第一,依托边界防护、安全检测、数据安全、主机安全、云安全、安全管理等系列产品,构建多层次、纵深覆盖的安全防护体系。
第二,凭借金融等保合规、密码合规、数据安全治理、风险评估、应急响应、安全运营体系建设等成熟服务方案,输出专业化、体系化的安全服务能力。
第三,结合智算基础设施、大模型安全检测与防护、天问大模型等AI相关创新产品,打造适配金融创新应用场景的安全保障能力。
所有文章未经授权禁止转载、摘编、复制或建立镜像,违规转载法律必究。
举报邮箱:1002263188@qq.com