金融“网安”事件报告管理迎新规

5月30日，中国人民银行(zhōngguórénmínyínháng)发布(fābù)《中国人民银行业务领域网络安全事件报告管理办法(bànfǎ)》（以下简称(jiǎnchēng)《办法》），自2025年8月1日起施行。《办法》进一步明确了(le)相关金融从业机构报告中国人民银行业务领域网络安全事件（以下简称“网络安全事件”）的具体要求(yāoqiú)。中国人民银行有关部门负责人在《办法》答记者问(dájìzhěwèn)时指出，《办法》通过细化事件报告流程、明确报告时效要求，着力提升了网络安全事件报告的可操作性、及时性。

“网安”事件(shìjiàn)引发舆情需及时汇报

从适用范围上看，《办法》明确，由于(yóuyú)人为原因(yuányīn)、遭受网络攻击、存在漏洞隐患、软硬件缺陷或故障、不可抗力等因素，对金融从业机构建设、运营、维护、管理的中国人民银行业务(yèwù)领域网络或者处理的相关数据造成危害的事件，应当按照《办法》规定向中国人民银行或者住所地中国人民银行分支机构报告。其中，中国人民银行业务领域包括货币信贷、宏观审慎、跨境人民币、银行间市场、金融业综合统计、支付清算、人民币发行流通、经理国库、征信和(hé)信用(xìnyòng)评级、反洗钱等业务领域。非(fēi)网络安全(wǎngluòānquán)事件无须按照《办法》规定报告。涉及国家秘密的，按照有关(yǒuguān)规定执行(zhíxíng)。

《办法》共五章三十三条。一方面，对网络安全(wǎngluòānquán)事件分级管理(fēnjíguǎnlǐ)作出规定(guīdìng)，明确(míngquè)特别重大(zhòngdà)、重大、较大、一般等级网络安全事件的(de)分级标准底线规则。其中，符合下列情形之一(zhīyī)的，应当(yīngdāng)至少分级为重大网络安全事件：属于金融基础设施、直接服务5000万个以上自然人或与货币(huòbì)存取款、支付交易、税款缴库、银行(yínháng)间市场交易密切相关的中国人民银行业务(yèwù)领域网络，主要功能在业务高峰时段出现两个以上省级行政区范围整体中断运行3小时以上或者单个省级行政区范围整体中断运行6小时以上的；提供金融服务的中国人民银行业务领域网络，主要功能出现中断、超时报错等情形，已实际影响1000万个以上自然人或者100万个以上法人和其他组织的；中国人民银行业务领域核心数据遭到(zāodào)篡改、破坏、泄露的；致使泄露1000万条以上敏感个人信息或者1亿条以上个人信息的等。

另一方面，《办法》对网络安全(wǎngluòānquán)事件报告流程、内容(nèiróng)、时效、途径等作出规定。在(zài)时效上，《办法》强调，金融机构发生较大等级以上网络安全事件后，应当于1小时内报送网络安全事件事发简要报告，并(bìng)在24小时内报送网络安全事件事发报告。如网络安全事件虽未达到较大等级，相关舆情信息已(yǐ)“上热(rè)搜”并引发较大舆情的，金融机构也应按照前款规定报告。

网络安全事件发生后(hòu)，金融机构(jīgòu)还需对事件进行持续报告。《办法》明确，对于重大等级以上网络安全事件，金融从业机构应当(yīngdāng)至少每隔两小时进行事中(shìzhōng)进展报告，直至处置结束。处置过程中如出现调高网络安全事件等级、处置取得(qǔde)阶段性进展、发现新的问题(wèntí)等重要情况时，应当立即报告。网络安全事件处置结束后，金融从业机构应当于10个工作日内报送事后调查总结报告。

引导金融机构落实分类(fēnlèi)标准

对银行(yínháng)信息安全事件进行报告，并非《办法》首提。为保障(bǎozhàng)银行信息系统安全运行，2002年9月，中国人民银行曾发布(fābù)《银行计算机安全事件报告管理制度》。

据中国人民银行有关部门负责人介绍，与现行的管理制度相比，《办法》主要有五方面变化。一是明确(míngquè)金融(jīnróng)从业机构在中国境内发生网络安全事件时，应(yīng)向中国人民银行或者住所地中国人民银行分支机构报告。二是明确将网络安全事件分为四个等级，并提出各等级分级(fēnjí)标准的底线规则。三是细化报告要求，便于中国人民银行全面掌握、督促处置、协调化解网络安全事件。四是明确涉及(shèjí)责任认定时的报告内容(nèiróng)要求。五是(wǔshì)明确法律责任。

上述负责人(fùzérén)表示，《办法(bànfǎ)》出台后，将加强政策宣传，指导金融从业机构更准确地理解把握《办法》条款内容。积极推进落实，引导金融从业机构结合自身(zìshēn)实际完善(wánshàn)网络安全事件(shìjiàn)分级标准、明确网络安全事件报告内部职责分工。规范行政执法，督促金融从业机构坚守网络安全事件报告合规底线。