发生重要信息系统突发事件不向监管报告,北京银行被罚40万,还有这些银行也曾被罚!
11月29日,北京银保监局的罚单显示,北京银行因“发生重要信息系统突发事件但未向监管部门报告,严重违反审慎经营规则”,被罚40万元。
《银行业重要信息系统突发事件应急管理规范(试行)》(下称“《规范》”)指出,银行应在重要信息系统突发事件发生后60分钟之内将突发事件相关情况上报银监会或其派出机构信息系统应急管理部门,并在事件发生后12小时内提交正式书面报告。
据了解,重要信息系统是指银行业金融机构支撑关键业务,其信息安全和系统服务安全关系公民、法人和组织的权益或社会秩序和公共利益,甚至影响国家安全的信息系统。主要包括面向客户、涉及账务处理且时效性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,支撑上述系统运行的前置机、客户端、机房、网络等基础设施也应作为重要信息系统的一部分。
而信息系统应急管理是指贯穿于整个信息系统生命周期中,通过风险防范、应急响应、应急保障以确保信息系统能够满足业务发展战略对业务连续性要求的管理。
《规范》强调,银行业重要信息系统突发事件应对工作原则之一即明确职责。银行业金融机构应明确本机构各部门在应急管理工作中的职责,以保障银行业金融机构业务连续性为目标,以落实和完善应急预案为基础,全面加强信息系统应急管理工作,并制定有效的问责制度。
信息科技部门在此承担的职能不容忽视。
信息科技管理部门和业务管理部门负责本机构信息系统突发事件应急管理工作的具体落实,制定信息系统突发事件预防措施、预警标准和应急策略,组织做好信息系统营运监测和维护,实施信息系统突发事件应急处置,评估总结信息系统突发事件及应急处置过程中暴露的问题并整改,履行向风险管理部门的报告职责,定期组织信息系统应急演练,持续改进本机构信息系统应急预案等。各银行业金融机构的业务管理部门应针对信息系统突发事件建立相应的业务应急预案和操作流程,并进行持续改进和优化。
《中华人民共和国银行业监督管理法》则指出,银行业金融机构具有“拒绝或者阻碍非现场监管或者现场检查;提供虚假的或者隐瞒重要事实的报表、报告等文件、资料;未按照规定进行信息披露”等情形之一,由国务院银行业监督管理机构责令改正,并处二十万元以上五十万元以下罚款;情节特别严重或者逾期不改正的,可以责令停业整顿或者吊销其经营许可证;构成犯罪的,依法追究刑事责任。
随着信息科技的应用,近年来,银保监会等监管机构也加大了对科技应用的安全问题的监管,除了重要信息系统监管之外,也包括数据安全、信息安全等方面。
今年年初,农行就因为发生重要信息系统突发事件未报告;制卡数据违规明文留存;生产网络、分行无线互联网络保护不当;数据安全管理较粗放,存在数据泄露风险;网络信息系统存在较多漏洞;互联网门户网站泄露敏感信息等,被罚420万元。
除了北京银行以外,今年年内农业银行也收到相关罚单。更早之前,广发银行和珠海华润银行也因此被罚。
今年1月,农业银行被罚420万元,被罚原因中包括发生重要信息系统突发事件未报告,此外,农业银行还涉及多项违规:制卡数据违规明文留存;生产网络、分行无线互联网络保护不当;数据安全管理较粗放,存在数据泄露风险;网络信息系统存在较多漏洞;互联网门户网站泄露敏感信息。
在2017年,广发银行收到的7亿巨额罚单也牵扯“未向监管部门报告重要信息系统突发事件”。2017年,广发银行因“侨兴债”案件被罚7.22亿,涉及的违规包括:出具与事实不符的金融票证;未尽职审查保理业务贸易背景真实性;内控管理严重违反审慎经营规则;劳务派遣用工管理不到位;对押品评估费用管理不到位;未向监管部门报告风险信息;未向监管部门报告重要信息系统突发事件;会计核算管理薄弱;信息系统与业务流程控制未按规定执行;流动资金贷款用途监督不到位,未尽职审查银行承兑汇票贸易背景真实性;以流动资金贷款科目向房地产开发企业发放贷款;报送监管数据不真实。
此外,同年,珠海华润银行也因“未按规定报告重要信息系统变更和三级重要信息系统突发事件”,被罚30万元。
NIS研究院整理编辑
本文源自:WEMONEY研究室官方账号
如需转载,请后台留言。
