6月19日，江苏银保监局公布了对于江苏江南农村商业银行股份有限公司（以下简称“江苏江南农商行”）的行政处罚。处罚信息显示，江苏江南农商行因网络安全工作严重不足，江苏银保监局根据《中华人民共和国银行业监督管理法》第四十六条第（五）项，罚款人民币30万元。

江苏江南农商行罚单

如无疏漏，根据银保监会官网查询结果，江苏江南农商行是首家因为网络安全问题被处罚的银行，这张罚单也是银行业第一张网络安全罚单。

或因内部组织建设存在问题

案由为：网络安全工作严重不足，处罚依据为《中华人民共和国银行业监督管理法》第四十六条第（五）项。

《中华人民共和国银行业监督管理法》第四十六条规定银行业金融机构有下列情形之一，由国务院银行业监督管理机构责令改正，并处二十万元以上五十万元以下罚款；情节特别严重或者逾期不改正的，可以责令停业整顿或者吊销其经营许可证；构成犯罪的，依法追究刑事责任：

（一）未经任职资格审查任命董事、高级管理人员的；

（二）拒绝或者阻碍非现场监管或者现场检查的；

（三）提供虚假的或者隐瞒重要事实的报表、报告等文件、资料的；

（四）未按照规定进行信息披露的；

（五）严重违反审慎经营规则的；

“严重违反审慎经营规则”是一个非常宽泛的条款，有很多问题都会触发这项条款，比如将消费性贷款放入楼市等等。因此，虽然知道江苏江南农商行存在网络安全问题，但具体是什么问题，我们无从得知，只能进行猜测。

《网络安全法》第三十一条规定，国家对金融等重要行业和领域，在网络安全等级保护制度的基础上，实行重点保护。根据《关键信息基础设施确定指南（试行）》要求，银行运营为金融行业中的关键业务。

因此，银行一般应被认定为关键信息基础设施运营者，在履行网络运营者的一般安全保护义务的基础上，还需履行关键信息基础设施运营者的特殊义务。

从这个角度出发，银行需承担网络安全义务非常重，而相关的规范规定更是数不胜数，在今年就发布有《个人金融信息保护技术规范》、《网上银行系统信息安全通用规范》、《商业银行应用程序接口安全管理规范》等等多个规范。

以下是吴丹君律师团队整理的银行业网络安全相关法律规范条例，从银行不同角度出发，对涉及到的条款进行了分类。

银行业网络安全法律规范（部分）

大致上，银行业网络安全分为两个部分，一部分是技术建设，包括信息系统开发，相关安全技术使用，风控系统建设等等。

另外一部分是制度建设，包括银行部门架构、员工管理制度、内部风险控制等等。

据业内人士透露，江苏江南农商行购买了不少安全产品，覆盖多个领域。因此，此次江苏江南农商行被罚不太可能是因为安全风控技术问题，更有可能是内部组织建设没有到位。

但是也有媒体爆出，江苏江南农商行的安全系统在2015年就存在重大漏洞，其中一个漏洞是中间件弱口令漏洞，可以通过它轻而易举地进入数据库，从而获取用户信息。

江苏江南农商行中间件弱口令漏洞演示

目前为止，对江苏江南农商行被处罚的具体原因还处于猜测当中。

网络安全：银行数字化转型之难

去年，是银行业数字化运营的兴起之年。不论是国有大行还是股份制、城商行，都在从各个方面探索数字化转型的方向和路线。

加强在金融科技、信息技术、互联网技术上的投入是所有银行共同的做法。近两年，银行业务的线上化、数字化步伐在不断加快，基本形成了包括网上银行、手机银行、直销银行、微信银行以及小程序等在内的线上全渠道服务能力。

这样的好处显而易见，增加了客户接触渠道，加快了业务效率，减少了线下成本，可以更好的推广业务等等。但是相应的网络安全风险也增加了。

当前，银行已成为国内外敌对势力、黑客组织、不法分子实施网络攻击、电信诈骗和渗透窃密的重点目标，除了传统的SQL注入、DDOS攻击、病毒木马等常见攻击外，针对银行的APT攻击、精准式网络攻击等攻击手段也愈演愈烈。

而银行业务在转为线上时，系统可能未经过充分的安全评估和测试便“带病”上线，难免在上线后出现各类安全漏洞，严重影响信息系统稳定运行。

因此，银行在抓住金融科技助力银行科技转型升级的同时，也应寻求其在银行网络安全风险管控的有效着陆点，这对提升银行网络安全运营管理水平，特别是中小型银行有着重大意义。

在目前的监管形式之下，加强网络安全建设以及相关组织建设，或是银行数字化转型的必然之路。