金融行业重要信息系统、网络安全不容忽视。

出品丨自主可控新鲜事

本文内容来源于银行科技研究社

正文共1300,建议阅读时间2分钟

1月5日,国家金融监督管理总局发布的行政处罚信息显示,中国银行存在9项主要违法违规行为,涉及重要信息系统、信息科技外包、网络安全EAST数据等相关问题,被罚款430万元。

9项主要违法违规行为包括:

1、部分重要信息系统识别不全面,灾备建设和灾难恢复能力不符合监管要求;
2、重要信息系统投产及变更未向监管部门报告,且投产及变更长期不规范引发重要信息系统较大及以上突发事件;
3、信息系统运行风险识别不到位、处置不及时,引发重要信息系统重大突发事件;
4、监管意见整改落实不到位,引发重要信息系统重大突发事件
5、信息科技外包管理不审慎;
6、网络安全域未开展安全评估,网络架构重大变更未开展风险评估且未向监管部门报告;
7、信息系统突发事件定级不准确,导致未按监管要求上报;
8、迟报重要信息系统重大突发事件;
9、错报漏报监管标准化(EAST)数据。

其中,第1、2、3、4、8项均涉及重要信息系统,且提到重要信息系统突发事件。

据了解,《银行业金融机构重要信息系统投产及变更管理办法》中对重要信息系统的定义是,指支撑重要业务,其信息安全和服务质量关系公民、法人和其他组织的权益,或关系社会秩序、公共利益乃至国家安全的信息系统。包括面向客户、涉及账务处理且实时性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,以及支撑系统运行的机房和网络等基础设施。

原银监会发布的《银行业重要信息系统突发事件应急管理规范(试行)》(以下简称“《规范》”)提到,突发事件是指银行业金融机构重要信息系统以及为之提供支持服务的电力、通讯等系统突然发生的,影响业务持续开展,需要采取应急处置措施应对的事件。

《规范》要求,银行业金融机构应在重要信息系统突发事件发生后60分钟之内将突发事件相关情况上报银监会或其派出机构信息系统应急管理部门,并在事件发生后12小时内提交正式书面报告。

银行业金融机构应将应急处置重大进展情况及时上报银监会或其派出机构,直至应急结束。I级突发事件发生后,银行业金融机构应每2小时将应急处置进展情况上报,直至应急结束。

上报银监会或其派出机构的书面报告内容应包括突发事件时间、地点、现象、影响的业务范围、原因分析、后果的初步判断、已采取的措施、后续拟采取方案的建议、事件报告单位、联系人及联系方式、其他与本突发事件有关的内容,并在报告中重点明确需要银监会协调的事项。

2023年有多家银行因重要信息系统相关问题被罚。

比如4月27日,原银保监会上海监管局发布的行政处罚信息显示,大华银行(中国)因“重要信息系统访问控制管理存在不足”,被责令整改,并被罚款35万元。

9月8日,国家金融监督管理总局北京监管局发布的行政处罚信息显示,北京中关村银行因“发生重要信息系统突发事件但未向监管部门报告,严重违反审慎经营规则”,被罚款20万元。

9月26日,国家金融监督管理总局北京监管局发布的行政处罚信息显示,北京农商银行因“发生重要信息系统突发事件,但未向监管部门报告,严重违反审慎经营规则”“信息系统开发测试管理不到位,严重违反审慎经营规则”,被罚款80万元。

免责声明:本文系网络转载,版权归原作者所有。但因转载众多,或无法确认真正原始作者,故仅标明转载来源,如涉及作品版权问题,请与我们联系,我们将在第一时间协商版权问题或删除内容!内容为作者个人观点,并不代表本公众号赞同其观点和对其真实性负责。

点击下方标题,洞悉信创产业发展