金融号

近日，中国人民银行发布《中国人民银行业务领域网络安全事件报告管理办法》（中国人民银行令〔2025〕第4号，以下简称《办法》），自2025年 8月1日起施行。这一举措是央行在金融网络安全管理领域的重要布局，旨在进一步规范涉及货币信贷、宏观审慎、跨境人民币、银行间市场、金融业综合统计、支付清算、人民币发行流通、经理国库、征信和信用评级、反洗钱等中国人民银行业务领域网络安全事件报告管理，为金融机构网络安全事件处理设定了明确的标准底线规则。

《办法》的出台有着深刻的背景。2002年，央行制定印发《银行计算机安全事件报告管理制度》，明确了银行机构向央行报告计算机安全事件的管理要求。但随着《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》等法律法规相继发布实施，按规定向有关主管部门报告网络安全事件已成为网络运营者的基本法定义务。旧有制度已无法满足当下网络安全新形势的需求，重新编写制度、细化相关要求迫在眉睫。

《办法》共五章三十三条，在多方面作出了详细且具有针对性的规定。其中，对网络安全事件分级管理的规定尤为关键，明确了特别重大、重大、较大、一般等级网络安全事件的分级标准底线规则。例如，符合 “属于金融基础设施、直接服务5000万个以上自然人或者与货币存取款、支付交易、税款缴库、银行间市场交易密切相关的中国人民银行业务领域网络，主要功能在业务高峰时段出现两个以上省级行政区范围整体中断运行3小时以上或者单个省级行政区范围整体中断运行6小时以上” 等情形之一的，应当分级为特别重大网络安全事件。这样清晰的分级标准，使得金融机构在面对网络安全事件时，能够迅速、准确地判断事件的严重程度，从而采取相应的应对措施。

与2002年的制度相比，《办法》主要有五方面变化。一是明确适用范围，清晰界定了金融从业机构在境内发生网络安全事件时的报告对象；二是明确分级标准，遵循国家标准将网络安全事件分为四个等级并给出底线规则，增强了分级的科学性与规范性；三是细化报告要求，对事发、事中、事后报告具体要求的细化，有助于央行全面掌握事件情况，更好地督促处置与协调化解；四是明确涉及责任认定时的报告内容要求，督促相关岗位人员履职尽责；五是明确法律责任，对金融从业机构和央行相关工作人员的责任都作出了明确规定，保障了制度的严肃性。

从行业影响来看，《办法》的实施将推动金融行业网络安全管理的规范化进程。金融从业机构需要依据《办法》重新审视和完善自身的网络安全事件报告机制，包括完善网络安全事件分级标准、明确内部职责分工等。这不仅有助于提升金融机构自身应对网络安全事件的能力，也将使整个金融行业在面对网络安全威胁时，形成更加有序、高效的协同应对格局。

在监管协同方面，《办法》也作出了积极探索。它明确了网络安全事件信息共享和协同处置有关内容，规定国家有关部门和其他金融管理部门等对网络安全事件报告有规定的，金融从业机构还应当从其规定报告；央行也将加强与国家有关部门和其他金融管理部门间的网络安全事件报告内容共享。这种跨部门的协同合作，能够整合各方资源，形成监管合力，更有效地应对复杂多变的网络安全挑战。

央行后续还将从加强政策宣传、积极推进落实、规范行政执法三方面组织实施好《办法》。通过加强政策宣传，可帮助金融从业机构更准确理解《办法》条款；引导金融机构结合自身实际完善相关机制，能确保《办法》在实践中落地生根；规范行政执法则为《办法》的有效执行提供坚实保障，督促金融从业机构坚守网络安全事件报告合规底线。

总体而言，央行发布的《办法》为金融机构网络安全事件报告管理构建了一套全面、细致且具有前瞻性的制度框架。通过明确标准底线规则，规范报告流程与分级管理，加强监管协同与后续实施保障，将有力提升我国金融行业网络安全防护水平，为金融稳定运行筑牢坚实防线，在维护国家金融安全的进程中迈出重要一步。