人民银行新规细化金融网络安全事件四级定级,数据泄露、业务中断、勒索攻击均有明确阈值。
原文标题:人行网络安全事件定级标准变化
原文作者:牧羊人的方向
冷月清谈:
怜星夜思:
2、新规定里核心数据泄露直接定为特别重大事件,500条以上征信或财产信息泄露就至少算较大事件,这个尺度算严格吗?
3、新规要求机构每年评估并更新网络安全事件分级标准,实际落地时最容易卡在哪些环节?
4、把勒索软件攻击造成危害后果的事件至少定为较大事件,会不会改变金融机构对勒索攻击的防御投入优先级?
原文内容
2025年5月23日,中国人民银行发布《中国人民银行业务领域网络安全事件报告管理办法》(中国人民银行令〔2025〕第4号),自2025年8月1日起施行。该办法同时废止了2002年印发的《银行计算机安全事件报告管理制度》(银发〔2002〕280号)和2010年印发的《中国人民银行计算机系统信息安全报告制度》(银发〔2010〕366号)。
新规遵循《信息安全技术 网络安全事件分类分级指南》(GB/T 20986-2023)国家标准定义,将网络安全事件明确分为特别重大、重大、较大和一般四个等级,并提出了各等级分级标准的底线规则。这是人行时隔23年对金融网络安全事件报告制度进行的全面升级,标志着我国金融网络安全监管进入更加精细化、标准化的新阶段。
1、新事件定级标准内容
新办法适用于中国人民银行承担监督和管理职责的业务领域,涵盖货币信贷、宏观审慎、跨境人民币、银行间市场、金融业综合统计、支付清算、人民币发行流通、经理国库、征信和信用评级、反洗钱等业务领域。
新办法中规定金融从业机构在本机构网络安全管理制度或者操作规程中明确分级标准,将网络安全事件分为特别重大、重大、较大和一般四个等级,并每年组织评估并视情更新分级标准。分级标准如有更新,应当报本机构主管网络安全的领导班子成员批准。金融从业机构制定分级标准时,应当综合考虑网络安全事件对业务、用户等的影响程度;对与货币存取款、支付交易、税款缴库、银行间市场交易密切相关的网络制定分级标准时,应当差异化考虑业务高峰时段和非业务高峰时段对业务处理的影响程度。
符合下列情形之一的,应当分级为特别重大网络安全事件:
-
属于金融基础设施、直接服务5000万个以上自然人或者与货币存取款、支付交易、税款缴库、银行间市场交易密切相关的中国人民银行业务领域网络,主要功能在业务高峰时段出现两个以上省级行政区范围整体中断运行3小时以上或者单个省级行政区范围整体中断运行6小时以上的;
-
提供金融服务的中国人民银行业务领域网络,主要功能出现中断、超时报错等情形,导致业务无法正常开展,经合理测算或者估算,已实际影响1000万个以上自然人或者100万个以上法人和其他组织的;
-
中国人民银行业务领域核心数据遭到篡改、破坏、泄露的;
-
致使泄露1000万条以上敏感个人信息或者1亿条以上个人信息的;
-
网信部门、公安机关已明确应当分级为特别重大网络安全事件的;
-
中国人民银行或其上海总部、省级分行、计划单列市分行研判并书面告知金融从业机构,应当分级为特别重大网络安全事件的。
符合下列情形之一的,应当至少分级为重大网络安全事件:
-
属于金融基础设施、直接服务5000万个以上自然人或者与货币存取款、支付交易、税款缴库、银行间市场交易密切相关的中国人民银行业务领域网络,主要功能在业务高峰时段出现两个以上省级行政区范围整体中断运行1.5小时以上或者单个省级行政区范围整体中断运行3小时以上的;
-
提供金融服务的中国人民银行业务领域网络,主要功能出现中断、超时报错等情形,导致业务无法正常开展,经合理测算或者估算,已实际影响100万个以上自然人或者 10 万个以上法人和其他组织的;
-
中国人民银行业务领域重要数据遭到篡改、破坏、泄露的;
-
致使泄露100万条以上敏感个人信息或者1000万条以上个人信息的;
-
网信部门、公安机关已明确应当分级为重大网络安全事件的;
-
中国人民银行或其上海总部、省级分行、计划单列市分行研判并书面告知金融从业机构,应当分级为重大网络安全事件的。
符合下列情形之一的,应当至少分级为较大网络安全事件:
-
属于金融基础设施、直接服务5000万个以上自然人或者与货币存取款、支付交易、税款缴库、银行间市场交易密切相关的中国人民银行业务领域网络,主要功能在业务高峰时段出现两个以上省级行政区范围整体中断运行15分钟以上或者单个省级行政区范围整体中断运行30分钟以上的;
-
提供金融服务的中国人民银行业务领域网络,主要功能出现中断、超时报错等情形,导致业务无法正常开展,经合理测算或者估算,已实际影响10万个以上自然人或者5000个以上法人和其他组织的;
-
致使泄露500条以上征信信息、财产信息,或者致使泄露5万条以上个人信息的;
-
遭受勒索恶意程序攻击,已对中国人民银行业务领域网络或者中国人民银行业务领域数据造成危害后果的;
-
网信部门、公安机关已明确应当分级为较大网络安全事件的。
符合下列情形之一的,应当至少分级为一般网络安全事件:
-
提供金融服务的中国人民银行业务领域网络,主要功能出现单个省级行政区范围整体中断运行30分钟以上的;
-
提供金融服务的中国人民银行业务领域网络,主要功能出现中断、超时报错等情形,导致业务无法正常开展,经合理测算或者估算,已实际影响1万个以上自然人或者1000个以上法人和其他组织的;
-
中国人民银行业务领域网络主要功能出现中断、超时报错等情形,导致业务无法正常开展,已持续1小时以上的;
-
中国人民银行业务领域数据遭到篡改、破坏、泄露,导致社会危害的;
-
发生或者可能发生个人信息泄露、篡改、丢失的;
-
网信部门、公安机关已明确应当分级为一般网络安全事件的。
2、新旧标准对比
整体框架上看从“粗放式报告要求”升级为“标准化分级管理体系”。旧标准无明确事件分级,仅规定笼统的“必须报告”条件,适用范围局限于银行机构且仅覆盖计算机安全事件;新标准建立与国标一致的四级分级体系,适用范围扩展至所有金融从业机构,全面覆盖人行监管业务领域,同时细化了全流程报告要求并明确了法律责任依据。
业务中断标准从“单一模糊阈值”转变为“多维度精细化梯度标准”。旧标准仅规定“系统中断超过4小时”或“影响超过一个县级行政区域”必须报告;新标准区分金融基础设施与普通网络、单个省级与两个以上省级行政区影响范围,建立了从15分钟到6小时的时间梯度,最低报告时限从4小时大幅缩短至1小时,影响范围判定从县级提升至省级。
影响用户数量标准实现了从“无量化标准”到“清晰数量梯度”的跨越。旧标准完全没有基于影响用户数量的分级判定依据;新标准针对自然人和法人两类主体,分别建立了从1万到1000万自然人、从1000到100万法人的四级数量阈值,为金融机构提供了明确可操作的事件等级判定标尺。
数据泄露标准完成了从“简单提及”" 到“分类分级精准监管”的升级。旧标准仅笼统提到“敏感数据泄露”和“数据失窃”;新标准首次区分核心数据、重要数据、敏感个人信息和一般个人信息四类数据,针对不同数据类型制定了严格的泄露数量标准,其中核心数据泄露直接定为特别重大事件,500条以上征信/财产信息泄露即触发较大事件,与《数据安全法》《个人信息保护法》实现无缝衔接。
特殊事件类型填补了多项监管空白,强化了对高风险事件的针对性管理。旧标准未对勒索软件攻击、舆情影响等特殊事件作出规定;新标准首次明确勒索软件攻击只要造成危害后果至少定为较大事件,首次将“引发较大舆情但未达较大等级”的事件纳入较大事件报告范围,同时对金融基础设施等关键网络实施了差异化的更严格监管标准。
3、总结
《中国人民银行业务领域网络安全事件报告管理办法》的发布实施,是我国金融网络安全监管领域的一次重大变革。新规通过建立科学规范的四级分级体系、制定精细化的量化标准、加强数据安全监管、严格报告要求和明确法律责任,全面提升了我国金融网络安全事件的报告和处置能力,标志着金融行业网络安全事件监管进入量化分级管理的新阶段。
对于金融从业机构而言,建议如下:
-
尽快修订内部制度:在2025年8月1日施行前,对照新规修订本机构网络安全事件分级标准和报告管理制度。
-
建立量化评估体系:重点梳理本机构涉及金融基础设施、服务5000万以上用户等关键指标的业务系统。
-
完善报告流程:建立事发、事中、事后全链条报告机制,确保时效性合规。
-
加强舆情监控:将舆情监控纳入网络安全事件响应流程。
-
建立台账与考核机制:落实三年留存要求,将报告义务纳入员工考核。
参考资料:
-
中国人民银行令〔2025〕第4号
-
中国人民银行业务领域网络安全事件报告管理办法(2025年)