日前,为进一步规范金融业网络安全管理,中国人民银行、国家金融监督管理总局、中国证券监督管理委员会、国家外汇管理局联合起草了《金融业网络安全管理办法(征求意见稿)》(以下简称《办法》),现面向社会公开征求意见。业内专家认为,《办法》从顶层设计层面将全业态金融机构纳入同一套网络安全执行框架,有望从源头减少网络攻击、数据泄露引发的行业连锁风险,推动金融业整体防护能力迈上新台阶。
具体来看,《办法》共五章三十三条。其中,第二条明确适用范围为“金融从业机构在中华人民共和国境内建设、运营、维护和使用网络,以及金融业网络安全的监督管理,适用本办法”。
博通咨询首席分析师王蓬博分析认为,新规把国内全部金融机构都纳入监管范围,不再分银行证券保险单独设立标准,统一划定网络安全执行要求,这将有效消除过去分头监管产生的套利空间,避免因标准不一而导致的线上支付等业务环节防护参差不齐。
《〈金融业网络安全管理办法(征求意见稿)〉起草说明》(简称《起草说明》)也指出,国务院金融管理部门联合出台与国家网络安全法律法规整体承接、面向金融业普遍适用、监督管理协同高效的金融业网络安全跨部门综合监管制度,并与国务院金融管理部门现有和后续出台的网络安全管理制度相衔接,是健全金融网络安全领域管理制度体系,加强金融业网络安全协同监管的长效举措。
针对责任落实,《办法》明确金融从业机构应当按照国家有关规定建立和落实网络安全责任制,确定网络安全负责人。
苏商银行特约研究员付一夫表示,新规对于强化机构自身建设提出了明确要求,金融机构要建立权责明确的网络安全管理架构,必须指定牵头部门,并确保人力、资金等资源投入到位,同时严格落实网络安全等级保护制度。“相关要求涵盖定级、备案、测评、整改等全流程,将推动机构‘内功’练扎实。”
《办法》指出,国务院金融管理部门按照监管职责分工,在职责范围内负责金融从业机构网络安全管理相关工作,并要支持配合国家网信部门、国务院公安部门、国家密码管理部门开展监督。
王蓬博认为,落地监管方面,国务院金融管理部门打通联合监管通道,还对接网信公安等单位实现联动执法,明确各类违规行为对应的处罚,为日后切实可行的监管打下了良好的基础。
从背景来看,《起草说明》指出,金融数字化转型进程中,金融服务对网络的依赖日益加深,金融网络彼此互联互通、紧密交织。网络运行维护复杂度高、供应链安全保障涉及面广、有组织高强度网络攻击时有发生、新兴技术与业务融合应用紧密等风险叠加共振,潜在威胁到金融稳定和金融安全。
“在近几年金融数字化业务增多后外包、线上渠道带来网络风险持续上升的背景下,制定《办法》是防范网络安全风险向金融风险演变的必要举措。”王蓬博认为,《办法》能够切实推动金融机构把网络安全纳入日常风控审计,倒逼行业整体防护能力提升,同时统一合规标准也能减少各家机构分别适配不同规则产生的管理成本。
“《办法》实际上补齐了金融业统一网络安全顶层规则缺口,明确整合了过去分散在各细分行业的监管要求,这样就能够把多部上位法律法规转化为金融行业可直接落地的操作标准。”王蓬博说。