查看原文
其他

因发生重要信息系统突发事件未向监管报告,北京银行被罚40万

安知讯 2022-09-24

前言:北京银行因“发生重要信息系统突发事件但未向监管部门报告,严重违反审慎经营规则”,被罚40万元。



11月29日,北京银保监局的罚单显示,北京银行因“发生重要信息系统突发事件但未向监管部门报告,严重违反审慎经营规则”,被罚40万元。


《银行业重要信息系统突发事件应急管理规范(试行)》(下称“《规范》”)指出,银行应在重要信息系统突发事件发生后60分钟之内将突发事件相关情况上报银监会或其派出机构信息系统应急管理部门,并在事件发生后12小时内提交正式书面报告。 


据了解,重要信息系统是指银行业金融机构支撑关键业务,其信息安全和系统服务安全关系公民、法人和组织的权益或社会秩序和公共利益,甚至影响国家安全的信息系统。主要包括面向客户、涉及账务处理且时效性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,支撑上述系统运行的前置机、客户端、机房、网络等基础设施也应作为重要信息系统的一部分。 


而信息系统应急管理是指贯穿于整个信息系统生命周期中,通过风险防范、应急响应、应急保障以确保信息系统能够满足业务发展战略对业务连续性要求的管理。 


《规范》强调,银行业重要信息系统突发事件应对工作原则之一即明确职责。银行业金融机构应明确本机构各部门在应急管理工作中的职责,以保障银行业金融机构业务连续性为目标,以落实和完善应急预案为基础,全面加强信息系统应急管理工作,并制定有效的问责制度。 


信息科技部门在此承担的职能不容忽视。


信息科技管理部门和业务管理部门负责本机构信息系统突发事件应急管理工作的具体落实,制定信息系统突发事件预防措施、预警标准和应急策略,组织做好信息系统营运监测和维护,实施信息系统突发事件应急处置,评估总结信息系统突发事件及应急处置过程中暴露的问题并整改,履行向风险管理部门的报告职责,定期组织信息系统应急演练,持续改进本机构信息系统应急预案等。各银行业金融机构的业务管理部门应针对信息系统突发事件建立相应的业务应急预案和操作流程,并进行持续改进和优化。


《中华人民共和国银行业监督管理法》则指出,银行业金融机构具有“拒绝或者阻碍非现场监管或者现场检查;提供虚假的或者隐瞒重要事实的报表、报告等文件、资料;未按照规定进行信息披露”等情形之一,由国务院银行业监督管理机构责令改正,并处二十万元以上五十万元以下罚款;情节特别严重或者逾期不改正的,可以责令停业整顿或者吊销其经营许可证;构成犯罪的,依法追究刑事责任。


随着信息科技的应用,近年来,银保监会等监管机构也加大了对科技应用的安全问题的监管,除了重要信息系统监管之外,也包括数据安全、信息安全等方面。 


今年年初,农行就因为发生重要信息系统突发事件未报告;制卡数据违规明文留存;生产网络、分行无线互联网络保护不当;数据安全管理较粗放,存在数据泄露风险;网络信息系统存在较多漏洞;互联网门户网站泄露敏感信息等,被罚420万元。



金融信息安全讨论群,请添加群主微信:qiao070132,备注:姓名+公司+职务+安全入群。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存