11月29日银保监会官网更新行政处罚显示,北京银行因发生重要信息系统突发事件但未向监管部门报告,严重违反审慎经营规则,被罚款40万元。北京银保监局于2021年11月24日作出上述行政处罚决定,行政处罚依据为《中华人民共和国银行业监督管理法》第四十六条。
信息安全是当前我国非常重要和紧迫的一项任务。不仅仅是银行,各行各业都必须把信息安全放在首位,设置专门的信息安全岗,并定期进行检查。
临近年底,金融行业监管部门加大了对银行业的检查力度,被罚机构当中,既有国有大行,也有全国股份制银行,也有城商行农商行,以及村镇银行等。在这些被罚的银行当中,因发生重要信息系统突发事件被罚并不多见。《银行业重要信息系统突发事件应急管理规范(试行)》规定,银行应在重要信息系统突发事件发生后60分钟之内将突发事件相关情况上报银监会或其派出机构信息系统应急管理部门,并在事件发生后12小时内提交正式书面报告。而重要信息系统,是指银行业金融机构支撑关键业务,其信息安全和系统服务安全关系公民、法人和组织的权益或社会秩序和公共利益,甚至影响国家安全的信息系统。主要包括面向客户、涉及账务处理且时效性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,支撑上述系统运行的前置机、客户端、机房、网络等基础设施也应作为重要信息系统的一部分。因此分析,北京银行本次罚单所说的“发生重要信息系统突发事件但未向监管部门报告“,大概率是核心系统或信贷系统出现了生产事故,没有及时向监管部门报告。
值得关注的是,北京银行上海张江支行在11月19日也被处罚,违规案由是“2017年6月至2019年1月,该支行信息安全和员工行为管理严重违反审慎经营规则”,被处以罚款50万元。
北京银行本次的两个罚单均与信息安全强相关,盘点一下,今年年内农业银行也收到相关罚单。更早之前,广发银行和珠海华润银行也因此被罚。今年1月,农业银行因网络安全问题被罚420万元,被罚原因中包括发生重要信息系统突发事件未报告,此外,农业银行还涉及多项违规:制卡数据违规明文留存;生产网络、分行无线互联网络保护不当;数据安全管理较粗放,存在数据泄露风险;网络信息系统存在较多漏洞;互联网门户网站泄露敏感信息。在2017年,广发银行收到的7亿巨额罚单也牵扯“未向监管部门报告重要信息系统突发事件”。其他银行应该以此为戒,汲取教训,让信息安全工作落实到实处。如果金融行业的信息安全出现了问题,会影响到整个国家经济层面的安全。
《网络安全法》第三十一条规定,国家对金融等重要行业和领域,在网络安全等级保护制度的基础上,实行重点保护。根据《关键信息基础设施确定指南(试行)》要求,银行运营为金融行业中的关键业务。因此,银行一般应被认定为关键信息基础设施运营者,在履行网络运营者的一般安全保护义务的基础上,还需履行关键信息基础设施运营者的特殊义务。作为客户资金和信息的重要载体,保障客户的网上交易安全和信息安全责任重大。
建议银行从业者切实提高安全风险防范意识,加强对《网络安全法》和 、网络安全等级保护制度、《个人金融信息保护技术规范》(JR/T 0171—2020)等法律法规或技术规范的学习宣传和培训,认真做好相关专业人员的安全意识教育,而且常抓不懈。每年应进行至少一次警示教育,通过宣传和培训,提高所有参与管理的人员信息安全和风险防范意识,关键是要重点培养信息安全的业务骨干。定期做好测评与整改工作,开展信息系统自定级工作,并将定级情况报公安机关备案,按期推进并完成信息安全等级保护工作。开展应急演练和建立信息安全应急管理机制,发现存在的问题和安全防护体系的薄弱环节,组织整改工作建立有效的安全防御体系。比如加强病毒防范工作,使用的储存介质要定期杀毒,防止中病毒导致黑客入侵盗取数据,着实增强银行防范风险能力。(文章来源:凤凰新闻)