您的位置:法师兄 > 律师普法 > 金融网络安全法规法律是怎样规定的?
金融网络安全法规法律是怎样规定的?

金融网络安全法规法律是怎样规定的?

2024-05-26 13
普法内容
【关注点一】金融机构需根据网络安全等级保护制度的要求履行安全保护义务 【法律要求】原文第二十一条提到“国家实行网络安全等级保护制度。”原文第三十四条提到“关键信息基础设施的运营者安全保护义务……”。第三十八条提到“关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估……”。 【专家解读】《网安法》新提出“网络安全等级保护制度”和“关键信息基础设施的运营者”、“网络运营者”这些概念。《网安法》未对“网络安全等级保护制度”做进一步规定,既未解释该制度的内涵、也没有说明该制度将如何实施,以及“网络安全等级”具体如何划分和确定。建议银行业金融机构进一步关注未来中央网信办和银监会具体如何划分和确定网络安全等级保护制度的文件和通知要求。 根据银监办发[2024]107号《中国银监会办公厅关于开展银行业网络安全风险专项评估治理及配合做好关键信息基础设施网络安全检查工作的通知》(以下简称“107号通知”)通知指出,银行业网络和重要信息系统是国家关键信息基础设施。因此,明确银行业金融机构是关键信息基础设施的运营者,证券、基金、保险行业,以及互联网金融行业暂未明确是否属于国家关键信息基础设施,需按照网络运营者要求执行。 《网安法》对关键信息基础设施的运营者要求一系列安全保护义务,如监测记录网络运行状态并留存相关的网络日志不少于六个月,又如对其网络的安全性和可能存在的风险每年至少进行一次检测评估,相较于人民银行发布《金融行业信息系统信息安全等级保护实施指引》【JR/T0071—2024】要求,延长了日志保存时限,提高了风险评估频率。对于银行业金融机构,该法要求应设置专门安全管理机构和安全管理负责人并进行安全背景审查等,明确受到治安管理处罚或刑事处罚的人员信息安全关键岗位的从业禁止,要求所有金融机构必须加强对人员背景的调查,建议编写明确的岗位说明书,尤其是信息安全岗位的人员,人员招募时采取人力背景调查问卷、第三方机构背调等方式进行安全背景调查。 【关注点二】银行业网络和重要信息系统建设需遵循“三同步原则” 【法律要求】第三十三条提到“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。” 【专家解读】《网安法》明确建设关键信息基础设施必须同时开展信息安全保障工作。这个要求符合目前信息安全实践趋势,如重要信息系统在立项之前,从概念阶段伊始信息安全工作就已经介入,在项目立项、安全需求、安全设计、安全开发、安全测试,直至系统上线验收全生命周期的保障。 对于安全技术措施遵循“三同步原则”的好处是立项目标与安全需求定义相匹配,系统功能实现和系统安全流程设计相匹配,如某信息系统立项定位是重要信息系统,关注系统交易过程数据安全,安全需求定义认为登录密码与交易(支付)密码的保护等级不同,功能实现中设定登录密码重置可通过验证手机短消息方式,但交易(支付)密码重置必须到现场柜台,从而避免因功能实现变更引起的返工和开发延期,降低安全风险,提高效率,减少系统开发成本。 【关注点三】金融机构需制定网络安全事件应急预案,并定期组织演练 【法律要求】第二十五条提到“网络运营者应当制定网络安全事件应急预案”。第五十三条提到“制定网络安全事件应急预案,并定期组织演练工作分工和工作要求”。 【专家解读】《网安法》新提出网络安全事件应急预案及演练的相关要求,金融机构制定应急预案应覆盖所有网络安全场景,包括网络扫描攻击、拒绝服务攻击等,系统方面有恶意代码、后门程序等;另外,根据应急预案涉及的各方面内容,建议由负责应急预案工作的部门组织预案中各角色相关人员开展应急预案培训。 107号通知指出,银行业网络和重要信息系统是国家关键信息基础设施,为进一步加强互联网安全风险应对,提升银行业整体防护能力,按照国家关键信息基础设施保护、网络安全风险专项应对工作的整体安排,决定组织开展银行业网络安全风险专项评估治理工作。建议银行业金融机构可根据中国银监会《银行业突发事件应急预案》等相关规章和标准,结合近年银行业发生的安全事件和面临的安全风险,制定符合自身组织架构的网络安全应急预案,预案中明确科技部内部及业务部门的应急响应责任,准备措施以及应对突发事件的配合机制,并组织演练。 【关注点四】金融机构需建立健全网络安全监测预警和信息通报制度 【法律要求】第二十九条提到“国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作,提高网络运营者的安全保障能力。” 第五十一条提到“国家建立网络安全监测预警和信息通报制度。”第五十二条提到“负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。” 【专家解读】《网安法》提出在网络安全信息的合作、分享,提高保障能力的思路,这与当下行业内部少部分事前心存侥幸、发生信息安全事件后企图瞒报、少报的应对思路形成鲜明对比。 绿盟科技高级副总裁叶晓虎指出“现阶段的企业在安全防护工作中已经能够切实感觉到整个生态链的影响,而单个企业的数据总是不够完整,希望能够与更多产业链伙伴进行信息通道的打通和数据的交换,以保障更快地进行安全响应。”建议采取与合作伙伴或供应商签署保密协议,保证网络日志、安全告警信息不向社会公开的前提下,可以自建或招募一些通过背景审查的安全人员形成安全团队,对同一行业、同一领域的金融机构租用一套行业公有云监测预警平台,解决缺少7*24小时值守人员、缺乏高效运营监管工具的问题,快速高效的提升防护水平。如采用网站安全监测和预警平台解决,可以协同运营,降低成本。 【关注点五】金融机构需采取措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失 【法律要求】第四十二条网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。 【专家解读】《网安法》对网络运营者进行个人信息收集、存储、处理、使用和转让等各环节都作出明确规定,突出强调了信息收集者的责任。对于个人信息收集或使用环节应以明确、易懂和合理的方式如实公示其收集或使用个人信息的目的、个人信息的收集和使用范围、个人信息安全保护措施等信息,接受公共监督。《网安法》的一大亮点就是赋予个人在一定条件下要求删除和更正其个人信息的权利。目前,中央网信办正制定个人信息收集规范标准,将更好地保护个人信息。 互联网金融行业做好自有信息系统的前台和后台数据访问控制,采取合理、有效措施,如业务流程评估、账号和权限管理、数据库审计等,降低个人信息泄露、毁损、丢失风险。建议系统设计开发阶段考虑账号权限分配和访问控制设定功能,避免因内部工作人员因职权便利,违规查询或批量下载客户个人信息和交易记录。运行阶段,制定数据使用、获取、存储规范,对内部工作人员的行为进行制度约束,开展技术渗透测试评估,避免功能实现上存在平行提权、拖库缺陷。 【关注点六】金融机构需开展内部审计,确保网案法贯彻实施 【法律要求】原文第六章法律责任相关要求 【专家解读】《网安法》在第六章“法律责任”中提高了违法行为的处罚标准,加大了处罚力度,有利于保障《网络安全法》的实施。为了避免被罚,蒙受经济损失和名誉损失,金融机构需建立内部审计机制并开展内审工作。金融机构需明确制定内部审计检查方法、标准、检查项,开展内审验证措施有效性,如定期审计信息系统使用过程中是否存在内部人员违规数据获取行为,验证控制措施效果。

*注:律师普法为法师兄(原110咨询网)原创内容,未经授权,任何形式的复制、转载都视为侵权行为。

律师普法更多>>
  • 互联网金融与网络安全法的规定是哪些
    互联网金融与网络安全法的规定是哪些

    行政复议机关应当自受理申请之日起六十日内作出行政复议决定;但是法律规定的行政复议期限少于六十日的除外。情况复杂,不能在规定期限内作出行政复议决定的,经行政机关负责人批准,可以适当延长,并告知申请人和被申请人,但是延长期限最多不超过三十日。

    2024-06-11 17
  • 金融网络安全防范怎么实现金融网络安全
    金融网络安全防范怎么实现金融网络安全

    金融安全现状 一、是从银行机构抽查情况来看,安全性同比其他行业较好。 认证体系基本完善,技术应用世界领先(电子银行的安全一直是技术在引领,中国硬件身份认证技术走在世界的前列,网上银行基本实现了双因子证书认证); 系统防护体系趋于成熟,防护能

    2024-05-18 12
  • 2023网络安全法规定的网络行业组织是
    2023网络安全法规定的网络行业组织是

    首先,网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。其次,建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强

    2024-06-02 12
专业问答更多>>
  • 互联网金融与网络安全法的规定是哪些

    行政复议机关应当自受理申请之日起六十日内作出行政复议决定;但是法律规定的行政复议期限少于六十日的除外。情况复杂,不能在规定期限内作出行政复议决定的,经行政机关负责人批准,可以适当延长,并告知申请人和被

    2022-07-26 15,340
  • 金融网络安全怎么认定

    根据相关法律,对于金融网络安全的具体情况如下认证体系基本完善,技术应用世界领先(电子银行的安全一直是技术在引领,中国硬件身份认证技术走在世界的前列,网上银行基本实现了双因子证书认证); 系统防护体系趋

    2022-06-12 15,340
  • 如何理解网络对于国家的法律规定, 有关于网络安全的法律规定

    1、网络给社会带来了很多进步,也存在一些网络不安全因素,应当辩证的看待,随着国家对网络安全的重视,相关立法不断完善,相信以后会越来越好。2、网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承

    2022-03-12 15,340
  • 我国法律网络安全犯罪的规定是什么

    我国法律网络安全犯罪的规定如下:中华人民共和国刑法(1979年7月1日第五届全国人民代表大会第二次会议通过1997年3月14日第八届全国人民代表大会第五次会议修订,自1997年10月1日起施行)(根据

    2022-03-22 15,340
法律短视频更多>>
  • 网络安全法第五十九条规定罚款 01:22
    网络安全法第五十九条规定罚款

    根据《网络安全法》第五十九条对法律责任做出的明确规定,网络运营者在实施了相关的违法行为后,需要承担的支付罚款的责任是不一致的,需要依据其具体的违法行为以及违法情节严重程度来确定有关的罚款数额。其中对网络运营者和关键信息基础设施的运营者的违法

    9,333 15,340
  • 地邻种树,法律是怎样规定的? 00:59
    地邻种树,法律是怎样规定的?

    地邻种树,法律的规定如下:距离没有规定,但是如果确定邻居栽树行为已经给自己造成妨碍或者损失的,可以要求对方停止侵害,排除妨碍,赔偿损失。根据相关法律规定,供役地权利人应当按照合同约定,允许地役权人利用其不动产,不得妨害地役权人行使权利。不动

    7,305 15,340
  • 保全费由谁承担的法律规定 01:04
    保全费由谁承担的法律规定

    保全费一般由申请保全的当事人预交,最终由败诉方承担的。如果属于当事人及其诉讼代理人因客观原因不能自行收集的证据,或者人民法院认为审理案件需要的证据,主动采取保全措施的情形,不收取费用。案件受理费由原告、有独立请求权的第三人、上诉人预交。被告

    9,065 15,340
刑事辩护不同阶段法律问题导航
赵佳律师 赵佳律师

北京衡宁律师事务所 | 专职律师

擅长:合同纠纷、知识产权、公司法、刑事辩护
咨询律师
136-8115-4805
主讲嘉宾
为您推荐
法师兄法务
您好,请问有什么可以帮助到您的?