《金融业网络安全管理办法》与《银行业保险业网络安全管理办法》的关系
7月3日央行等三部门发布《金融业网络安全管理办法(征求意见稿)》,7月10日金融监管总局发布《银行业保险业网络安全管理办法(征求意见稿)》。两份文件它们是什么关系?
01.规范对象对比:金融全行业通用覆盖 VS 银保及银行系非银专项覆盖:
- 《金融业网络安全管理办法》以“金融从业机构”为统一规范对象,全面覆盖银行、保险、证券、基金、支付、征信等各类金融从业机构,实现金融全行业合规兜底;
- 《银行业保险业网络安全管理办法》仅适用于国家金融监督管理总局监管的三类并列主体:银行业金融机构、保险业金融机构、金融控股公司。其中监管口径下的“银行业金融机构”为广义概念,除各类存款类银行外,还包含信托、理财、消金、金租、货币经纪、AMC、财务公司等银行系非银持牌机构。

02.规范定位差异:全行业底线框架 VS 银保落地实操细则
前者定原则、划底线、统一全行业标准;后者定流程、划细则、给可落地的检查问责依据。
(一)《金融业网络安全管理办法》:金融行业网络安全通用基本准则
作为金融全行业统一规范,本办法围绕网络运行安全、数据与个人信息保护、安全责任制、等级保护、商用密码、技术创新应用等核心领域,概括性明确金融业网络安全合规底线及触碰底线时应承担的法律责任。条款以方向性、原则性规定为主,不细化具体操作流程,适用于所有金融机构统一对标。
(二)《银行业保险业网络安全管理办法》:银保行业专项落地细则
本办法衔接《金融业网络安全管理办法》,结合银行、保险、金控的行业特性,从治理架构、运行管理、风险监测、安全事件响应与处置、关基保护、新技术安全、监督问责等全维度细化管控要求,是银保类机构日常合规管理、自查整改及监管检查的直接执行依据。

03.核心内容差异:原则兜底 VS 逐条细化拆解
《金融业网络安全管理办法》做底线原则要求,《银行业保险业网络安全管理办法》对核心义务进行颗粒度细化、责任落地、流程固化,核心差异对比如下:
| 核心义务领域 | 《金融业网络安全管理办法》规定 | 《银行业保险业网络安全管理办法》细化要求 |
|---|---|---|
| 安全责任制 | 原则要求建立网络安全工作责任制,无具体责任链条。 | 明确党委(党组)、董(理)事会主体责任;法定代表人、主要负责人为第一责任人,分管负责人为直接责任人;安全考核纳入机构年度绩效考核体系。 |
| 组织架构 | 仅要求建立网络安全管理组织架构、指定牵头部门,未细化三道防线、独立风控部门、内审等具体岗位及制衡要求。 | 细化网络安全治理架构与岗位权责,明确网络安全风险管理部门并保持独立性;规定网络安全审计职责,开展独立安全审计,可委托第三方审计,大幅细化内部制衡与监督机制。 |
| 权限与运行管理 | 仅提出网络运行安全总体要求。 | 严格执行最小必要权限原则;核心网络节点冗余备份;落实信息系统全生命周期“三同步”;建立科技供应链安全管理制度。 |
| 安全事件管理 | 仅原则要求建立分级处置机制,无分级标准。 | 明确四级事件分级体系:一级特别重大、二级重大、三级较大、四级一般,依据业务影响、中断时长、资金损失、社会影响、安全风险等多维度判定,配套分级处置、报告、问责机制 |
| 新技术应用安全 | 原则性提及“做好信息技术应用创新的风险管理”,未涉及具体管控要求。 | 建立新技术前置安全评估机制,新技术引入前开展安全评估,不得因引入新技术而降低网络安全防护水平。 |
| 集团跨境管理 | 侧重境内机构合规管理。 | 要求金融集团统筹境内外分支机构、附属机构网络安全管理,执行集团统一管控标准,实现跨境风险一体化管控。 |
| 数据安全管理 | 原则要求落实数据分类分级、个人信息保护义务;鼓励使用国家网络身份认证公共服务。 | 细化数据安全管理制度、全生命周期安全管控;进一步明确接入国家网络身份认证公共服务开展用户真实身份核验。 |
04.效力关系与适用规则
(一)立法与衔接逻辑
《金融业网络安全管理办法》,概括性明确金融业网络安全合规底线及触碰 底线时应承担的法律责任;《银行业保险业网络安全管理办法》与通用办法衔接适配、互补落地。两份文件属于同层级配套监管规则。
核心效力原则:行业专项细则不得低于全行业通用底线,可在底线之上增设更严、更细的管控要求。
(二)分机构适用规则
1.同时适用两份文件
国家金融监督管理总局监管的三类并列主体:一是各类银行业金融机构(含存款银行、信托、理财、AMC、财务公司、金融租赁、消金、汽金、货币经纪等银行系非银机构);二是各类保险业金融机构;三是金融控股公司。以上主体需同时满足通用底线要求和银保专项细化要求,双线对标、双向查漏。
2.仅适用《金融业网络安全管理办法》
证监会监管的证券、期货、公募基金、基金销售、交易所、中证登等机构;人民银行/外管局监管的支付、征信、清算、外汇机构。应以通用办法为核心合规依据,同时仍需遵守《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保 护条例》《网络数据安全管理条例》等上位法的通用要求。
3.参照适用《银行业保险业网络安全管理办法》
外国银行分行、贷款公司、外国保险公司分公司、保险专业代理机构、保险经纪人等金融监管总局及其派出机构监管的其他机构,参照适用《银行业保险业网络安全管理办法》(第二条第二款)。
4.监管部门参照执行《金融业网络安全管理办法》
小贷、融资担保、典当等地方金融组织,其本身无直接适用《金融业网络安全管理办法》的义务。由地方金融管理机构在履行监督管理职责时,参照该办法执行(《金融业网络安全管理办法》第三十一条)。

▲ 机构适用规则对照表,合规社编制
05.合规建议
结合两份文件的起草逻辑,本次双规并行的模式,主要是为了兼顾金融业整体合规统一性和细分业态风险差异。不同类型金融机构的合规压力、对标重点存在明显区别,可结合自身监管归口适配对应的规则体系。
现阶段两份文件均为征求意见稿,最终条款、执行尺度和过渡期安排尚未固化。机构可结合自身业态属性,针对性梳理合规短板,待正式稿落地后快速对标整改。
来源:合规社

本网站信息来源于网络,如有侵权,请联系删除。
本网站不保证信息真实性、有效性,仅供参考。请以最新法律法规和相关标准要求为准。