中国人民银行业务领域网络安全事件报告管理办法
第一章 总 则
第一条 为规范中国人民银行业务领域网络安全事件报告管理,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国中国人民银行法》等法律、行政法规,制定本办法。
第二条 金融从业机构在中华人民共和国境内发生中国人民银行业务领域网络安全事件时,应当按照本办法规定向中国人民银行或者住所地中国人民银行分支机构报告。非中国人民银行业务领域网络安全事件无须按照本办法规定报告。涉及国家秘密的,按照有关规定执行。
第三条 本办法所称中国人民银行业务领域,指依据法律、行政法规,党中央、国务院决定,由中国人民银行承担监督和管理职责的业务领域。
本办法所称中国人民银行业务领域网络安全事件(以下简称网络安全事件),指由于人为原因、遭受网络攻击、存在漏洞隐患、软硬件缺陷或故障、不可抗力等因素,对本机构建设、运营、维护、管理的中国人民银行业务领域网络或者处理的中国人民银行业务领域数据造成危害的事件。
第四条 国家有关部门和其他金融管理部门等对网络安全事件报告有规定的,金融从业机构还应当从其规定报告。涉及危害计算机信息系统等违法犯罪的网络安全事件,金融从业机构还应当及时向公安机关报案。
中国人民银行加强与国家有关部门和其他金融管理部门间的网络安全事件报告内容共享,按照国家有关部门规定向其通报网络安全事件,并根据其他金融管理部门需要向其通报网络安全事件。
……
第五章 附 则
第三十一条 本办法下列用语的含义:
(一)金融从业机构,是指金融机构以及经中国人民银行批准设立或者认定的其他机构。
(二)网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
(三)业务高峰时段,是指按年度统计的分时平均业务量超过日平均业务量百分之三的时段,或者依据本机构制度列明的其他合理计算方式确定的时段。
(四)整体中断运行,是指因网络安全事件,某一时段内未处理和处理失败业务量与正常情况全部业务量的比例,经合理测算或者估算,已经超过百分之七十。
(五)主要功能,是指与用户身份认证或者业务交互相关的功能。
(六)本办法所称“以上”均含本数。
第三十二条 本办法由中国人民银行负责解释。
中国人民银行分支机构自身发生的网络安全事件应当向其上级行报告,报告时效、途径和内容等要求按照本办法对金融从业机构的规定执行。
第三十三条 本办法自2025年8月1日起施行。《银行计算机安全事件报告管理制度》(银发〔2002〕280号文印发)、《中国人民银行计算机系统信息安全报告制度》(银发〔2010〕366号文印发)同时废止。
《管理办法》全文详见:中国人民银行令〔2025〕第4号(中国人民银行业务领域网络安全事件报告管理办法)