重慶若可網(wǎng)絡(luò)安全測(cè)評(píng)技術(shù)有限公司- 北京銀行被罰40萬(wàn)：發(fā)生重要信息系統(tǒng)突發(fā)事件未向監(jiān)管部門報(bào)告

北京銀行被罰40萬(wàn)：發(fā)生重要信息系統(tǒng)突發(fā)事件未向監(jiān)管部門報(bào)告

業(yè)界資訊 | 2021-12-02

11月29日銀保監(jiān)會(huì)官網(wǎng)更新行政處罰顯示，北京銀行因發(fā)生重要信息系統(tǒng)突發(fā)事件但未向監(jiān)管部門報(bào)告,嚴(yán)重違反審慎經(jīng)營(yíng)規(guī)則，被罰款40萬(wàn)元。北京銀保監(jiān)局于2021年11月24日作出上述行政處罰決定，行政處罰依據(jù)為《中華人民共和國(guó)銀行業(yè)監(jiān)督管理法》第四十六條。

信息安全是當(dāng)前我國(guó)非常重要和緊迫的一項(xiàng)任務(wù)。不僅僅是銀行，各行各業(yè)都必須把信息安全放在首位，設(shè)置專門的信息安全崗，并定期進(jìn)行檢查。

臨近年底，金融行業(yè)監(jiān)管部門加大了對(duì)銀行業(yè)的檢查力度，被罰機(jī)構(gòu)當(dāng)中，既有國(guó)有大行，也有全國(guó)股份制銀行，也有城商行農(nóng)商行，以及村鎮(zhèn)銀行等。在這些被罰的銀行當(dāng)中，因發(fā)生重要信息系統(tǒng)突發(fā)事件被罰并不多見?！躲y行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范（試行）》規(guī)定，銀行應(yīng)在重要信息系統(tǒng)突發(fā)事件發(fā)生后60分鐘之內(nèi)將突發(fā)事件相關(guān)情況上報(bào)銀監(jiān)會(huì)或其派出機(jī)構(gòu)信息系統(tǒng)應(yīng)急管理部門，并在事件發(fā)生后12小時(shí)內(nèi)提交正式書面報(bào)告。而重要信息系統(tǒng)，是指銀行業(yè)金融機(jī)構(gòu)支撐關(guān)鍵業(yè)務(wù)，其信息安全和系統(tǒng)服務(wù)安全關(guān)系公民、法人和組織的權(quán)益或社會(huì)秩序和公共利益，甚至影響國(guó)家安全的信息系統(tǒng)。主要包括面向客戶、涉及賬務(wù)處理且時(shí)效性要求較高的業(yè)務(wù)處理類、渠道類和涉及客戶風(fēng)險(xiǎn)管理等業(yè)務(wù)的管理類信息系統(tǒng)，支撐上述系統(tǒng)運(yùn)行的前置機(jī)、客戶端、機(jī)房、網(wǎng)絡(luò)等基礎(chǔ)設(shè)施也應(yīng)作為重要信息系統(tǒng)的一部分。因此分析，北京銀行本次罰單所說的“發(fā)生重要信息系統(tǒng)突發(fā)事件但未向監(jiān)管部門報(bào)告“，大概率是核心系統(tǒng)或信貸系統(tǒng)出現(xiàn)了生產(chǎn)事故，沒有及時(shí)向監(jiān)管部門報(bào)告。

值得關(guān)注的是，北京銀行上海張江支行在11月19日也被處罰，違規(guī)案由是“2017年6月至2019年1月，該支行信息安全和員工行為管理嚴(yán)重違反審慎經(jīng)營(yíng)規(guī)則”。被處以罰款50萬(wàn)元。

北京銀行本次的兩個(gè)罰單均與信息安全強(qiáng)相關(guān)，盤點(diǎn)一下，今年年內(nèi)農(nóng)業(yè)銀行也收到相關(guān)罰單。更早之前，廣發(fā)銀行和珠海華潤(rùn)銀行也因此被罰。今年1月，農(nóng)業(yè)銀行因網(wǎng)絡(luò)安全問題被罰420萬(wàn)元，被罰原因中包括發(fā)生重要信息系統(tǒng)突發(fā)事件未報(bào)告，此外，農(nóng)業(yè)銀行還涉及多項(xiàng)違規(guī)：制卡數(shù)據(jù)違規(guī)明文留存；生產(chǎn)網(wǎng)絡(luò)、分行無(wú)線互聯(lián)網(wǎng)絡(luò)保護(hù)不當(dāng)；數(shù)據(jù)安全管理較粗放，存在數(shù)據(jù)泄露風(fēng)險(xiǎn)；網(wǎng)絡(luò)信息系統(tǒng)存在較多漏洞；互聯(lián)網(wǎng)門戶網(wǎng)站泄露敏感信息。在2017年，廣發(fā)銀行收到的7億巨額罰單也牽扯“未向監(jiān)管部門報(bào)告重要信息系統(tǒng)突發(fā)事件”。其他銀行應(yīng)該以此為戒，汲取教訓(xùn)，讓信息安全工作落實(shí)到實(shí)處。如果金融行業(yè)的信息安全出現(xiàn)了問題，會(huì)影響到整個(gè)國(guó)家經(jīng)濟(jì)層面的安全。

《網(wǎng)絡(luò)安全法》第三十一條規(guī)定，國(guó)家對(duì)金融等重要行業(yè)和領(lǐng)域，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。根據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施確定指南（試行）》要求，銀行運(yùn)營(yíng)為金融行業(yè)中的關(guān)鍵業(yè)務(wù)。因此，銀行一般應(yīng)被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者，在履行網(wǎng)絡(luò)運(yùn)營(yíng)者的一般安全保護(hù)義務(wù)的基礎(chǔ)上，還需履行關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的特殊義務(wù)。作為客戶資金和信息的重要載體，保障客戶的網(wǎng)上交易安全和信息安全責(zé)任重大。

建議銀行從業(yè)者切實(shí)提高安全風(fēng)險(xiǎn)防范意識(shí)，加強(qiáng)對(duì)《網(wǎng)絡(luò)安全法》和、網(wǎng)絡(luò)安全等級(jí)保護(hù)制度、《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》（JR/T 0171—2020）等法律法規(guī)或技術(shù)規(guī)范的學(xué)習(xí)宣傳和培訓(xùn)，認(rèn)真做好相關(guān)專業(yè)人員的安全意識(shí)教育，而且常抓不懈。每年應(yīng)進(jìn)行至少一次警示教育，通過宣傳和培訓(xùn)，提高所有參與管理的人員信息安全和風(fēng)險(xiǎn)防范意識(shí)，關(guān)鍵是要重點(diǎn)培養(yǎng)信息安全的業(yè)務(wù)骨干。定期做好測(cè)評(píng)與整改工作，開展信息系統(tǒng)自定級(jí)工作，并將定級(jí)情況報(bào)公安機(jī)關(guān)備案，按期推進(jìn)并完成信息安全等級(jí)保護(hù)工作。開展應(yīng)急演練和建立信息安全應(yīng)急管理機(jī)制，發(fā)現(xiàn)存在的問題和安全防護(hù)體系的薄弱環(huán)節(jié)，組織整改工作建立有效的安全防御體系。比如加強(qiáng)病毒防范工作，使用的儲(chǔ)存介質(zhì)要定期殺毒，防止中病毒導(dǎo)致黑客入侵盜取數(shù)據(jù)，著實(shí)增強(qiáng)銀行防范風(fēng)險(xiǎn)能力。

本文摘自等級(jí)保護(hù)測(cè)評(píng)公眾號(hào)