(三)银监会将把银行信息安全事件管理纳入到银监会统一的重大失职和大案要案责任追究认定管理范畴内,建立起信息安全非现场和现场检查激励约束机制,并把信息系统安全事件报告制度执行情况列为对银行业金融机构考核内容。
(四)银监会和各银监局按照监管权责,敦促法人机构签署信息系统安全保障承诺书,明确高管人员对信息系统安全保障的管理责任。
(五)对于以下情形,银监会及其派出机构根据信息系统安全保障承诺书追究银行业金融机构信息安全管理责任人责任。对于信息安全管理失职并造成严重不良后果的,将对其通报批评,情节特别严重、造成严重危害后果的,依据有关规定追究法律责任。
1.因信息安全管理工作不到位或失职,导致本机构发生重大信息安全事件;
2.迟报、漏报、瞒报信息安全事件,或对信息安全事件处理措施不到位;
3.不遵守有关信息安全规章制度,不执行上级部门及监管部门的信息安全管理要求。
三、组织机制
各银行业金融机构要建立有效的信息安全治理架构,制定信息安全战略,完善信息安全内部管理组织架构和工作机制,将信息安全管理纳入本机构整体信息科技风险管理框架。
(一)各银行业金融机构要高度重视和支持信息安全管理工作,法定代表人要对本机构信息安全管理负总责。要成立信息安全领导机构,由高管层、风险管理部门、信息科技部门、审计部门、合规部门及相关业务部门负责人共同组成,负责重大信息安全事项的决策和审批,明确各部门的信息安全管理职能分工,授权有关部门和人员组织开展信息安全工作,为实施信息安全管理提供坚强的组织保障。
(二)各银行业金融机构应在信息安全领导机构的指导下,设立专门的信息安全管理机构,制定具体的信息安全管理策略和规章制度,组织实施信息安全管理措施。各分支机构及相关部门要设立信息安全管理岗位,由专人负责各项信息安全规章制度和保障措施的落实。
四、监管机制
银监会及其派出机构通过非现场监管、现场检查、应急管理、风险提示、协同保障等工作机制,指导并督促各银行业金融机构加强信息安全管理,落实信息系统安全保障责任。
(一)非现场监管。建立非现场监管分析、预警模型,及时发现风险点,有针对性的指导现场检查工作。开展对银行业金融机构信息科技综合评级,系统评价其信息科技的治理水平和风险状况,建立评级评价体系。
