北京銀行因發生重要信息系統突發事件未向監管報告,被罰40萬
11月29日,北京銀保監局的罰單顯示,北京銀行因“發生重要信息系統突發事件但未向監管部門報告,嚴重違反審慎經營規則”,被罰40萬元。
《銀行業重要信息系統突發事件應急管理規范(試行)》(下稱“《規范》”)指出,銀行應在重要信息系統突發事件發生后60分鐘之內將突發事件相關情況上報銀監會或其派出機構信息系統應急管理部門,并在事件發生后12小時內提交正式書面報告。
據了解,重要信息系統是指銀行業金融機構支撐關鍵業務,其信息安全和系統服務安全關系公民、法人和組織的權益或社會秩序和公共利益,甚至影響國家安全的信息系統。主要包括面向客戶、涉及賬務處理且時效性要求較高的業務處理類、渠道類和涉及客戶風險管理等業務的管理類信息系統,支撐上述系統運行的前置機、客戶端、機房、網絡等基礎設施也應作為重要信息系統的一部分。
而信息系統應急管理是指貫穿于整個信息系統生命周期中,通過風險防范、應急響應、應急保障以確保信息系統能夠滿足業務發展戰略對業務連續性要求的管理。
《規范》強調,銀行業重要信息系統突發事件應對工作原則之一即明確職責。銀行業金融機構應明確本機構各部門在應急管理工作中的職責,以保障銀行業金融機構業務連續性為目標,以落實和完善應急預案為基礎,全面加強信息系統應急管理工作,并制定有效的問責制度。
信息科技部門在此承擔的職能不容忽視。
信息科技管理部門和業務管理部門負責本機構信息系統突發事件應急管理工作的具體落實,制定信息系統突發事件預防措施、預警標準和應急策略,組織做好信息系統營運監測和維護,實施信息系統突發事件應急處置,評估總結信息系統突發事件及應急處置過程中暴露的問題并整改,履行向風險管理部門的報告職責,定期組織信息系統應急演練,持續改進本機構信息系統應急預案等。各銀行業金融機構的業務管理部門應針對信息系統突發事件建立相應的業務應急預案和操作流程,并進行持續改進和優化。
《中華人民共和國銀行業監督管理法》則指出,銀行業金融機構具有“拒絕或者阻礙非現場監管或者現場檢查;提供虛假的或者隱瞞重要事實的報表、報告等文件、資料;未按照規定進行信息披露”等情形之一,由國務院銀行業監督管理機構責令改正,并處二十萬元以上五十萬元以下罰款;情節特別嚴重或者逾期不改正的,可以責令停業整頓或者吊銷其經營許可證;構成犯罪的,依法追究刑事責任。
隨著信息科技的應用,近年來,銀保監會等監管機構也加大了對科技應用的安全問題的監管,除了重要信息系統監管之外,也包括數據安全、信息安全等方面。
今年年初,農行就因為發生重要信息系統突發事件未報告;制卡數據違規明文留存;生產網絡、分行無線互聯網絡保護不當;數據安全管理較粗放,存在數據泄露風險;網絡信息系統存在較多漏洞;互聯網門戶網站泄露敏感信息等,被罰420萬元。
