金融网络安全治理迈入新阶段
近日,中国人民银行、金融监管总局、中国证券监督管理委员会、国家外汇管理局联合发布《金融业网络安全管理办法(征求意见稿)》(以下简称“征求意见稿”),面向社会公开征求意见。这是金融监管四部门首次联合出台、覆盖全金融业的网络安全专项规章,补齐了行业统一治理制度短板,标志着我国金融业网络安全治理正式迈入制度化、标准化、协同化新阶段,对新形势下防范化解金融网络风险、维护金融体系平稳运行具有重要意义。
征求意见稿共五章三十三条,立足金融行业特点,系统重构金融业网络安全治理规则,从监管协同、机构责任、全流程防护、重点领域管控等方面搭建起全方位治理体系,制度亮点突出、针对性极强。
征求意见稿清晰界定权责边界,确立“谁主管谁负责、谁运营谁负责”的治理原则,明确金融机构对本机构网络安全承担第一主体责任,并在网络安全治理、网络运行安全、违法违规信息防范等方面提出明确具体要求,彻底扭转过去部分机构“重业务、轻安全,重发展、轻风控”的惯性思维。
值得一提的是,为推动新规落地见效,要压实落细金融机构主体责任,确保制度落实到位。
首先,强化顶层治理架构,把网络安全嵌入公司治理体系。金融机构需建立党委(党组)、董(理)事会负总责、经营管理层直接落实的网络安全领导责任制,明确专门牵头管理部门,构建决策科学、管理规范、执行有力、监督有效的闭环工作体系。同时细化总部、分支机构、下属法人机构的分级责任清单,实现责任到人、任务到岗、管控到底,杜绝责任虚化、层级脱节、管理缺位等问题,真正把网络安全从单一技术工作上升为机构全局性、战略性重点工作。
其次,夯实资源保障体系,实现安全建设与数字化发展同步推进。网络安全属于前置性、基础性、持续性工程,绝非阶段性整改、事后补救就能够解决的。金融机构必须建立常态化、制度化投入机制,将网络安全建设、运维、人才培养、技术升级等经费足额纳入年度预算,确保安全资源投入与业务数字化建设进度相匹配。面对AI、云计算、分布式系统等新技术的广泛应用,更要坚持安全投入适度超前,以前置防护抵御新型风险,避免出现“技术跑在前面、安全落在后面”的治理短板。
最后,严守合规底线,全面落实等级保护与密码安全管理要求。金融机构要严格对照国家网络安全等级保护制度,精准定级、规范备案、按期测评、闭环整改,持续夯实系统安全、主机安全、应用安全、数据安全基础能力。严格落实商用密码应用要求,以合规技术手段筑牢底层安全底座。其中,承担金融关键信息基础设施运营任务的机构,必须坚持常态化风险排查,每年至少开展一次全面网络安全检测评估,动态排查漏洞隐患、迭代防护策略。
与此同时,新规着重补齐行业长期薄弱的供应链安全短板。金融机构需建立健全第三方服务商准入审核、安全评级、动态考核、退出追责的全链条管理制度,严格审查合作机构技术能力、安全资质、风控水平,清晰界定双方安全责任边界,从源头防范外包服务、技术采购、系统共建带来的供应链风险。同时,要完善网络安全事件应急预案,细化攻击入侵、系统瘫痪、数据泄露、病毒感染等不同场景的处置流程,常态化开展应急演练,提升快速响应、协同处置、复盘整改能力,做到风险早发现、早预警、早处置。
金融安全是国家安全的重要基石,网络安全是金融安全的第一道防线。此次公开征求意见,既是对《中华人民共和国网络安全法》《中华人民共和国数据安全法》等上位法的行业细化落地,也是对金融业网络安全治理体系的系统性升级,推动行业治理从被动应对转向主动防控、从分散管控转向统一规范、从运动式整治转向常态化治理。
(来源:中国银行保险报网)