中国人民银行业务领域网络安全事件报告管理办法

中国人民银行业务领域网络安全事件报告管理办法

中国人民银行令

（〔2025〕第4号）

　　《中国人民银行业务领域网络安全事件报告管理办法》已经2025年5月12日中国人民银行第8次行务会议审议通过，现予发布，自2025年8月1日起施行。

行 长　潘功胜

2025年5月23日

中国人民银行业务领域网络安全事件报告管理办法

第一章　总　则

　　第一条　为规范中国人民银行业务领域网络安全事件报告管理，根据《中华人民共和国网络安全法 》《中华人民共和国数据安全法 》《中华人民共和国个人信息保护法 》《中华人民共和国中国人民银行法 》等法律、行政法规，制定本办法。

　　第二条　金融从业机构在中华人民共和国境内发生中国人民银行业务领域网络安全事件时，应当按照本办法规定向中国人民银行或者住所地中国人民银行分支机构报告。非中国人民银行业务领域网络安全事件无须按照本办法规定报告。涉及国家秘密的，按照有关规定执行。

　　第三条　本办法所称中国人民银行业务领域，指依据法律、行政法规，党中央、国务院决定，由中国人民银行承担监督和管理职责的业务领域。

　　本办法所称中国人民银行业务领域网络安全事件（以下简称网络安全事件），指由于人为原因、遭受网络攻击、存在漏洞隐患、软硬件缺陷或故障、不可抗力等因素，对本机构建设、运营、维护、管理的中国人民银行业务领域网络或者处理的中国人民银行业务领域数据造成危害的事件。

　　第四条　国家有关部门和其他金融管理部门等对网络安全事件报告有规定的，金融从业机构还应当从其规定报告。涉及危害计算机信息系统等违法犯罪的网络安全事件，金融从业机构还应当及时向公安机关报案。

　　中国人民银行加强与国家有关部门和其他金融管理部门间的网络安全事件报告内容共享，按照国家有关部门规定向其通报网络安全事件，并根据其他金融管理部门需要向其通报网络安全事件。

　　第五条　任何个人和组织有权向中国人民银行或其分支机构举报金融从业机构未按照本办法规定报告网络安全事件的行为。中国人民银行或其分支机构对举报人的相关信息予以保密。

第二章　网络安全事件分级

　　第六条　金融从业机构应当在本机构网络安全管理制度或者操作规程中明确网络安全事件分级标准（以下简称分级标准），将网络安全事件分为特别重大、重大、较大和一般四个等级。金融从业机构应当每年组织评估并视情更新分级标准。分级标准如有更新，应当报本机构主管网络安全的领导班子成员批准。

　　金融从业机构制定分级标准时，应当综合考虑网络安全事件对业务、用户等的影响程度。金融从业机构针对与货币存取款、支付交易、税款缴库、银行间市场交易密切相关的中国人民银行业务领域网络制定分级标准时，应当差异化考虑业务高峰时段和非业务高峰时段网络安全事件对业务处理的影响程度。

　　金融从业机构还应当结合中国人民银行业务领域数据安全管理相关规定，制定与中国人民银行业务领域数据遭到篡改、破坏、泄露相关的分级标准。

　　金......