中国人民银行业务领域网络安全事件报告管理办法（2025年）

发布机关中国人民银行

效力现行有效

（2025年5月12日经中国人民银行第8次行务会议审议通过　2025年5月23日中国人民银行令〔2025〕第4号公布　自2025年8月1日起施行）

第一章总则

第一条为规范中国人民银行业务领域网络安全事件报告管理，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《中华人民共和… 第二条金融从业机构在中华人民共和国境内发生中国人民银行业务领域网络安全事件时，应当按照本办法规定向中国人民银行或者住所地中国人民银行分支机构报告。非中国人民银行业务领… 第三条本办法所称中国人民银行业务领域，指依据法律、行政法规，党中央、国务院决定，由中国人民银行承担监督和管理职责的业务领域。第四条国家有关部门和其他金融管理部门等对网络安全事件报告有规定的，金融从业机构还应当从其规定报告。涉及危害计算机信息系统等违法犯罪的网络安全事件，金融从业机构还应当及… 第五条任何个人和组织有权向中国人民银行或其分支机构举报金融从业机构未按照本办法规定报告网络安全事件的行为。中国人民银行或其分支机构对举报人的相关信息予以保密。

第二章网络安全事件分级

第六条金融从业机构应当在本机构网络安全管理制度或者操作规程中明确网络安全事件分级标准（以下简称分级标准），将网络安全事件分为特别重大、重大、较大和一般四个等级。金融从… 第七条符合下列情形之一的，应当分级为特别重大网络安全事件：第八条符合下列情形之一的，应当至少分级为重大网络安全事件：第九条符合下列情形之一的，应当至少分级为较大网络安全事件：第十条符合下列情形之一的，应当至少分级为一般网络安全事件：第十一条金融从业机构制定与中国人民银行管理的金融基础设施业务交互功能异常相关的分级标准时，应当征求金融基础设施运营机构意见并协商一致。第十二条金融从业机构发生网络安全事件时，应当对照分级标准，综合确定网络安全事件等级。同时符合多个分级标准的，应当按照最高级别确定网络安全事件等级。对照分级标准无法准确确…

第三章网络安全事件报告

第十三条金融从业机构应当明确应急处置与报告的职责分工，确保网络安全事件报告及时、准确、完整，不得迟报、漏报或者瞒报。第十四条国家开发银行、政策性银行、国有商业银行、中国邮政储蓄银行、股份制商业银行、属于系统重要性金融机构的城市商业银行、系统重要性非银行支付机构、经营个人征信业务的征信… 第十五条金融从业机构发生较大等级以上网络安全事件后，应当于1小时内报送网络安全事件事发简要报告，并在24小时内报送网络安全事件事发报告。第十六条对于重大等级以上网络安全事件，金融从业机构应当至少每隔2小时进行事中进展报告，直至处置结束。处置过程中如出现调高网络安全事件等级、处置取得阶段性进展、发现新的问… 第十七条网络安全事件处置结束后，金融从业机构应当于10个工作日内报送事后调查总结报告。无法按时报送事后调查总结报告的，金融从业机构应当先按时报送初步报告，说明承诺报送事… 第十八条金融从业机构可以通过电话、即时通信工具、电子邮件、传真或者中国人民银行指定的信息系统报送网络安全事件事发简要报告、事发报告和事中进展报告；采用电子邮件、传真方式… 第十九条网络安全事件事发简要报告内容包括初次确定的网络安全事件等级、事发时间、依据网络安全事件分类分级相关国家标准确定的网络安全事件分类、影响的中国人民银行业务领域网络… 第二十条金融从业机构发生网络安全事件涉及个人信息泄露、篡改、丢失的，事后调查总结报告还应当说明本机构为有效避免网络安全事件危害所采取的补救措施、依法通知个人的情况和告知… 第二十一条较大等级以上网络安全事件事后调查总结报告内容，还应当包括直接负责的主管人员和其他直接责任人员的责任认定和对应责任处理情况。第二十二条满足下列条件之一并且能提供相关证明材料的，金融从业机构可以根据直接负责的主管人员和其他直接责任人员具体承担职责，视情针对性减轻或者免除责任处理，但应当在网络安全… 第二十三条中国人民银行或其分支机构认为金融从业机构网络安全事件事后调查总结报告存在内容缺失、原因分析不清、影响损失评估失实、责任认定或者处理不当等情形，退回事后调查总结报… 第二十四条金融从业机构收到中国人民银行或其分支机构通报的其网络产品、服务存在运行异常、疑似数据泄露、安全缺陷、漏洞等风险提示时，应当立即组织核查，采取必要补救措施。经核查… 第二十五条金融从业机构应当建立网络安全事件台账，完整准确记录网络安全事件事发时间、事发报告时间、中国人民银行或其分支机构接报联系人和对应的网络安全事件报告内容。中国人民银…

第四章法律责任

第二十六条中国人民银行或其分支机构根据金融从业机构报告处置网络安全事件的情况，可以按照中国人民银行执法检查有关规定明确的程序，对金融从业机构依法实施检查，金融从业机构应当… 第二十七条金融从业机构未按照本办法规定报告网络安全事件的，中国人民银行或其分支机构依照《中华人民共和国网络安全法》第五十九条予以处罚。第二十八条金融从业机构收到中国人民银行或其分支机构通报的风险，如果风险属实，但未立即采取补救措施或者未按照本办法规定按时反馈核查处置情况的，中国人民银行或其分支机构依照《… 第二十九条金融从业机构在接受中国人民银行或其分支机构检查时，主动供述检查人员尚未掌握的未按照本办法规定报告网络安全事件行为的，应当从轻或者减轻处罚。第三十条中国人民银行分支机构未按照本办法规定报告网络安全事件，存在失职失责行为，造成重大损失、严重后果或者恶劣影响的，对直接负责的主管人员和其他直接责任人员依规依纪依法…

第五章附则

第三十一条本办法下列用语的含义：第三十二条本办法由中国人民银行负责解释。第三十三条本办法自2025年8月1日起施行。《银行计算机安全事件报告管理制度》（银发〔2002〕280号文印发）、《中国人民银行计算机系统信息安全报告制度》（银发〔201…