北京銀行被罰40萬：發生重要信息系統突發事件未向監管部門報告 - 網安

11月29日銀保監會官網更新行政處罰顯示，北京銀行因發生重要信息系統突發事件但未向監管部門報告,嚴重違反審慎經營規則，被罰款40萬元。北京銀保監局于2021年11月24日作出上述行政處罰決定，行政處罰依據為《中華人民共和國銀行業監督管理法》第四十六條。

信息安全是當前我國非常重要和緊迫的一項任務。不僅僅是銀行，各行各業都必須把信息安全放在首位，設置專門的信息安全崗，并定期進行檢查。

臨近年底，金融行業監管部門加大了對銀行業的檢查力度，被罰機構當中，既有國有大行，也有全國股份制銀行，也有城商行農商行，以及村鎮銀行等。在這些被罰的銀行當中，因發生重要信息系統突發事件被罰并不多見。《銀行業重要信息系統突發事件應急管理規范（試行）》規定，銀行應在重要信息系統突發事件發生后60分鐘之內將突發事件相關情況上報銀監會或其派出機構信息系統應急管理部門，并在事件發生后12小時內提交正式書面報告。而重要信息系統，是指銀行業金融機構支撐關鍵業務，其信息安全和系統服務安全關系公民、法人和組織的權益或社會秩序和公共利益，甚至影響國家安全的信息系統。主要包括面向客戶、涉及賬務處理且時效性要求較高的業務處理類、渠道類和涉及客戶風險管理等業務的管理類信息系統，支撐上述系統運行的前置機、客戶端、機房、網絡等基礎設施也應作為重要信息系統的一部分。因此分析，北京銀行本次罰單所說的“ 發生重要信息系統突發事件但未向監管部門報告“，大概率是核心系統或信貸系統出現了生產事故，沒有及時向監管部門報告。

值得關注的是，北京銀行上海張江支行在11月19日也被處罰，違規案由是“2017年6月至2019年1月，該支行信息安全和員工行為管理嚴重違反審慎經營規則”。被處以罰款50萬元。

北京銀行本次的兩個罰單均與信息安全強相關，盤點一下，今年年內農業銀行也收到相關罰單。更早之前，廣發銀行和珠海華潤銀行也因此被罰。今年1月，農業銀行因網絡安全問題被罰420萬元，被罰原因中包括發生重要信息系統突發事件未報告，此外，農業銀行還涉及多項違規：制卡數據違規明文留存；生產網絡、分行無線互聯網絡保護不當；數據安全管理較粗放，存在數據泄露風險；網絡信息系統存在較多漏洞；互聯網門戶網站泄露敏感信息。在2017年，廣發銀行收到的7億巨額罰單也牽扯“未向監管部門報告重要信息系統突發事件”。其他銀行應該以此為戒，汲取教訓，讓信息安全工作落實到實處。如果金融行業的信息安全出現了問題，會影響到整個國家經濟層面的安全。

《網絡安全法》第三十一條規定，國家對金融等重要行業和領域，在網絡安全等級保護制度的基礎上，實行重點保護。根據《關鍵信息基礎設施確定指南（試行）》要求，銀行運營為金融行業中的關鍵業務。因此，銀行一般應被認定為關鍵信息基礎設施運營者，在履行網絡運營者的一般安全保護義務的基礎上，還需履行關鍵信息基礎設施運營者的特殊義務。作為客戶資金和信息的重要載體，保障客戶的網上交易安全和信息安全責任重大。

建議銀行從業者切實提高安全風險防范意識，加強對《網絡安全法》和、網絡安全等級保護制度、《個人金融信息保護技術規范》（JR/T 0171—2020）等法律法規或技術規范的學習宣傳和培訓，認真做好相關專業人員的安全意識教育，而且常抓不懈。每年應進行至少一次警示教育，通過宣傳和培訓，提高所有參與管理的人員信息安全和風險防范意識，關鍵是要重點培養信息安全的業務骨干。定期做好測評與整改工作，開展信息系統自定級工作，并將定級情況報公安機關備案，按期推進并完成信息安全等級保護工作。開展應急演練和建立信息安全應急管理機制，發現存在的問題和安全防護體系的薄弱環節，組織整改工作建立有效的安全防御體系。比如加強病毒防范工作，使用的儲存介質要定期殺毒，防止中病毒導致黑客入侵盜取數據，著實增強銀行防范風險能力。