7月10日金融监管总局官网消息,金融监管总局起草了《银行业保险业网络安全管理办法(征求意见稿)》(以下简称《办法》),面向社会公开征求意见。《办法》共八章七十二条,围绕网络安全治理、网络安全建设和运行管理、网络安全风险监测、网络安全事件响应与处置、关键信息基础设施管理、监督管理等核心领域提出明确要求。
《办法》提到,金融机构应当建立网络安全治理架构,明确网络安全工作职责,构建网络安全保障体系,健全决策、管理、执行和监督考核机制,落实网络安全资源保障。金融机构应当建立网络安全责任制,党委(党组)、董(理)事会对网络安全管理工作负主体责任。金融机构主要负责人为网络安全第一责任人,分管网络安全的领导班子成员(高级管理人员)为直接责任人。金融机构应当明确各层级网络安全责任,明确违规情形和责任追究事项,落实问责处置机制。
《办法》指出,金融机构应当明确网络安全风险管理部门,并保持独立性。网络安全风险管理部门应制定并组织落实网络安全风险管理制度,建立网络安全风险识别、评估、计量、监测、报告机制,跟踪网络安全风险管理监管政策规定,并组织落实。
金融机构审计部门负责网络安全审计,制定网络安全审计计划,开展网络安全审计工作,提出整改意见,并推动整改落实。必要情况下,可委托第三方机构对网络安全进行审计和评价,并向金融监管总局或者其派出机构报送外部审计报告。
《办法》强调,金融机构应当建立网络安全考核奖惩机制,定期对网络安全责任落实情况进行考核,并纳入单位年度考核体系。金融机构应当建立用户认证和访问控制管理流程,根据网络区域、系统和数据的重要性和敏感程度,按照“最小必要”原则分配访问权限,对用户角色进行唯一身份标识与鉴别,定期开展权限审计,及时清理不当权限。
值得注意的是,《办法》内容与7月3日公开征求意见的《金融业网络安全管理办法(征求意见稿)》相衔接。金融监管总局表示,《办法》为金融监管总局更好履行对银行业金融机构、保险业金融机构和金融控股公司网络安全和关键信息基础设施监管等工作职责提供支撑。
《办法》起草主要遵循以下思路:一是落实上位法要求,确保国家相关法律法规在银行业保险业有效落地,明确实施路径。二是汲取实践经验,总结近年来科技监管工作成效,将实践经验转化为制度成果,完善工作机制。三是充分考虑银行业保险业金融机构的业务特点,推动落实网络安全保护责任,体现大网络安全的概念,强调全集团统一管理、科技与业务协同、三道防线协同共治的网络安全治理理念。四是体现分级分类管理,在对银行业保险业金融机构提出网络安全整体管理要求的基础上,针对关键信息基础设施管理提出更高要求。
金融监管总局表示,欢迎社会各界提出宝贵意见,将认真研究各方反馈意见,进一步修改完善《办法》并适时发布实施。