银行网络安全和数据安全应知应会知识讲解培训课件_第1页
银行网络安全和数据安全应知应会知识讲解培训课件_第2页
银行网络安全和数据安全应知应会知识讲解培训课件_第3页
银行网络安全和数据安全应知应会知识讲解培训课件_第4页
银行网络安全和数据安全应知应会知识讲解培训课件_第5页
已阅读5页,还剩58页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

培训时间:2025年7月25日培训讲师:XXX提升网络安全意识,共筑网络安全防线培训课件

禁止吸烟手机静音这不是要求,是个人习惯我们需要一个安静的环境提升网络安全意识,共筑网络安全防线网络安全形势和应对措施目录数据安全形势和应对措施13审计发现问题及工作提示23网点网络与数据安全管理4网络安全形势和应对措施01PART01网络安全(

狭义)网络安全(通信),与服务器安全、终端安全、应用安全等并列。信息安全信息(资产)安全,保障信息资产的保密性、完整性和可用性。网络空间安全,国家安全观下的网络安全。网络安全(

广义)视

角:网络专业领域焦

点:网络结构合理性,访问控制有效性,流量监控覆盖面等

例:《信息安全技术网络安全等级保护基本要求(GB/T22239-2019)》视角:企业或组织焦

点:保护一切对组织有价值的信息资产示

例:ISO/IEC

27000系列标准,用于指导建立信息安全管理体系(ISMS)视角:国家焦

点:政治、经济、文化、社会、国防及公民的合法权益示

例:《国家安全法》、《网络安全法》、《国家网络空间安全战略》1.1什么是网络安全1.2网络安全整体形势——攻击事件高发随着全社会互联网化程度的加深和数字化转型的推进,网络空间的博弈也日趋复杂,网络安全事件呈高发态势数字化转型·互联网产业发达各行各业各人都离不开网络空间数据泄露爆炸式增长·勒索病毒时刻在“索财”·境外组织发起APT攻击网络信息带来的暴利让黑客组织趋之若鹜万豪酒店5亿客户数据泄漏平昌冬奥会遭遇黑客攻击Facebook被爆泄露6亿用户密码南美五国遭遇大停电,疑似美国网络攻击台积电爆发大规模勒索病毒损失超17亿元拼多多现优惠券漏洞,遭黑产团伙盗取数千万元全国200多家三甲医院中招勒索病毒;工银纽约分行事件西北工业大学遭到TAO攻击上万次攻击1.2.1网络安全新挑战——国家间网络攻击对抗加速升级1.2.2网络空间安全已成为第五大主权空间未来的网络空间安全将会是多线作战,我们面对的是与网络犯罪、网络恐怖主义、网络战争、网络意识形态竞争的持久抗争。网络空间(cyberspace)是与陆、海、空、天并列的第五大主权空间,网络空间安全已经成为全球性的挑战。自2023年5月起,美国政府背景的黑客组织对中国发起了超过4500万次的网络攻击。这些攻击活动影响了超过140家中国单位,包括政府、高校、科研机构以及大型企业等关键基础设施。敌对势力的破坏、黑客攻击、恶意软件侵扰、利用计算机犯罪、隐私泄露等,对信息安全构成了极大威胁。当前网络安全已成为事关国家安全的重大问题和世界各国面临的共同挑战。网络安全影响经济安全网络安全影响政治安全网络安全影响个人安全2007年美国国家安全局实施棱镜监听计划。该计划对象包括任何与国外人士通信的美国公民。美国国家安全局可以接触到这类人的个人网络社交数据2016年美国大选期间,俄黑客盗取并公布了希拉里竞选团队的机密邮件,泄露不利于希拉里竞选的信息,直接影响美国大选结果2017年5月,WannaCry勒索蠕虫利用系统漏洞永恒之蓝发起攻击,30个小时内就使100多个国家的大量机构陷入瘫痪1.2.3网络空间安全已成为第五大主权空间1.3网络安全整体形势——攻击手法多样攻击人员通过对某微信公众号客服人员开展社工攻击,成功重置管理后台账号密码,利用公众号泄露的管理后台地址,获取后台管理权限。某微信公众号客服遭受社工攻击,泄露网站后台管理密码1.3.1网络安全整体形势——钓鱼案例黑客通过在公共场所散布免费Wi-Fi,等待猎物上钩。待猎物上钩后,使用工具对通信进行抓包,获取登陆网站链接以及用户名密码等信息。1.3.2网络安全整体形势——Wi-Fi陷阱案例1.4如何应对新挑势——网络安全上升为国家策略1.5如何应对新挑势——网络安全领域立法工作加速推进金监局1.6如何应对网络安全新挑势——三法一条例1.7网络安全管理制度体系近年来总行持续发布网络安全相关规章制度,目前基本都集中在近三年,安全管理工作明显增多。2017年1部,2018年1部,2019年1部,2020年6部,2021年3部,2022年7部(含修订5部、新增2部),2023年3部(含修订2部,新增1部)网络安全管理制度体系网络安全治理基本制度网络安全管理办法标准规范类实施细则类操作手册类细化业务安全管理制度规范网络安全管理制度规范信息科技制度规范纲领性文件配套纳入序号制度名称管理内容类型1中国农业银行网络安全运营监控处置管理实施细则农银规章[2023]174号操作规程与细则类2中国农业银行网络安全事件管理实施细则农银规章[2023]175号操作规程与细则类3中国农业银行网络安全管理办法农银规章[2023]158号管理办法与规定类4中国农业银行网络安全等级保护管理实施细则农银规章[2022]202号操作规程与细则类5中国农业银行互联网应用资产网络安全管理实施细则农银规章[2024]170号操作规程与细则类6中国农业银行网络安全漏洞管理实施细则农银规章[2022]184号操作规程与细则类7中国农业银行终端安全管理实施细则农银规章[2022]178号操作规程与细则类8中国农业银行网络安全应急管理实施细则农银规章[2022]177号操作规程与细则类9中国农业银行应用安全管理实施细则农银规章[2022]112号操作规程与细则类10中国农业银行网络安全审查工作管理实施细则农银规章[2021]174号操作规程与细则类11中国农业银行渗透测试管理实施细则农银规章[2023]152号操作规程与细则类1.8如何应对网络安全严峻形势-安全管理体系建设组织架构建设各级机构主要负责人是网络安全第一责任人01“四横一纵”网络安全防御体系建设每年阻断外部攻击17万次02攻防演练红蓝对抗体系网安行动(2024年2个月,人行+公安部)03安全运营7*24保障04安全人员团队各级机构网络安全管理人员05数据安全形势和应对措施01PART02202.1

数据安全形势和应对措施-我国数据市场现状

2024年1月,国家数据局等17部门联合印发《“数据要素×”三年行动计划(2024—2026年)》(简称《行动计划》),旨在发挥数据要素的放大、叠加、倍增作用,构建以数据为关键要素的数字经济,全文共出现10次“数据安全”、5次“数据流通”、3次“可信”,体现出对数据安全及流通保障的高度重视。

随着数据量的急剧增长和数据流动性的不断提升,我国正成为全球重要的数据安全市场,数据安全的重要性日益凸显。212.1.1

数据安全形势和应对措施-数据安全泄露现状2.2数据安全严峻形势——案例分析(国际)ûû荷兰:

2023年5月26日,荷兰数据监管机构表示,特斯拉可能存在数据保护漏洞,涉嫌100GB机密数据遭到泄露。美国:2024年6月,云存储巨头Snowflake遭到黑客攻击,多达165家知名组织成为此次黑客攻击事件的受害者,数亿条客户数据被盗。其中,票务巨头Ticketmaster被盗走5.6亿条记录,汽车零件商AdvanceAutoParts被盗走7900万条记录等,而且发生数据泄露的Snowflake客户的数量还在不断增长。南非:2022年5月美国征信巨头TransUnion的南非公司遭巴西黑客团伙袭击,5400万消费者征信数据泄露,绝大多数为南非公民。巴西黑客团伙N4aughtysecTU声称对此次攻击负责,表示已经成功访问到5400万消费者的个人信息,总数据量约达4TB。北约:2024年1月,北约高度机密数据泄露,总大小超过10GB,总价值为1亿美元。涉及信息:北约量子技术工程数据、生物技术和人类增强工程数据、北约高超音速技术工程学等。2023年2月,外媒突然曝出疑似45亿条中国公民个人信息遭到泄漏,数据主要来自各快递平台以及淘宝、京东等购物网址,内容包括真实姓名、电话与住址等敏感信息,并且已出现公开查询渠道。2023年7月,江西南昌某高校发生大量数据泄露事件,涉及教职工、学生、缴费等3000余万信息,3万余条信息被兜售。对高校不履行数据安全保护义务违法行为开始执法,处罚80万元,对主要责任人处罚5万元。2023年5月,包头警方发布一起利用AI技术实施电信诈骗的典型案例。骗子通过AI智能换脸和拟声技术,佯装好友通过微信视频联系受害人实施了诈骗,基于对好友的信任和视频聊天中的身份核实,受害人分两笔把430万转到了骗子的银行卡。2024年2月,江苏常州警方查处一起新生儿信息泄露案。犯罪嫌疑人贩卖2.6万条新生儿信息,非法获利30余万元。严格遵守法律法规、防止非法犯罪。加强网络和数据安全监督检查和安全保护是每个企业的义务。2.3数据安全严峻形势——案例分析(国内)24某省级信用联社600余万条会话存档数据被企业微信服务商窃取案。某省联社600余万条客户信息和账户信息被某微信代理商窃取后,为私自使用数家银行用于训练案。同时造成银行的金融交易受影响达68分钟。会话存档数据包含部分客户姓名、身份证号等敏感个人信息。处理个人敏感信息,必须取得“单独同意”2023年1月30日,中国人民银行福州中心支行公布福银罚决字[2023]10号行政处罚决定书,对厦门银行违反个人金融信息保护规定、违反信息披露管理规定、向金融信用信息基础数据库提供个人不良信息未事先告知信息主体本人等23项违法行为予以警告,没收违法所得767.17万元并处罚款764.6万元的行政处罚。数据安全管理规定,银行机构须重点关注、不可逾越2.4数据安全严峻形势——案例分析(金融)2023年,处罚银行保险机构4750家次,处罚责任人8552人次,罚没合计78.38亿元,比2022年增长2.7倍。2.5数据安全严峻形势——案例分析(行内)252016年2019年2021年10月2022年1月2023年01020304052016年安徽农行安庆潜山柜员非法查询客户信息,当事人被处以刑罚2019年,银保监会对我行开展网络安全检查后进行处罚(2021年1号罚单)。办公终端/制卡终端长期大量明文留存敏感信息,互联网上明文发布客户中奖信息等。吉林省吉林市江北支行,泄露个人客户信息,罚款1223万元,处理4人广西崇左分行因“未落实个人银行账户实名制管理规定;违规使用个人金融信息;未严格落实银行账户风险监测要求;未按规定完整保存客户身份资料”等违法行为,被处以警告,并共处罚款1142.5万元,处理13人。2023年,金监总局对我行开展消保检查,在检查意见书违反事项中再次引用2号文。消费者个人信息数据存储管理、传输管理不到位,存在信息泄露隐患;存有明文未加密且含有个人客户敏感信息的文件;存在外发客户敏感信息未加密脱敏情况,占比18%。2.6如何应对数据安全严峻形势-立法制度持续完善*2.7如何应对数据安全严峻形势-立法制度持续完善(国家)2019年5月2020年2月2021年9月2021年11月2022年7月010203040506网信办《数据安全管理办法》(征求意见稿)发布《个人金融信息保护技术规范》《中华人民共和国个人信息保护法》《数据出境安全评估办法》、《信息技术安全技术公有云中个人信息保护实践指南》正式发布,实施日期为2023年2月1日。《数据安全管理办法》*2023年5月《数据安全治理白皮书》2023年10月《保守国家秘密法(修订草案)》2024年3月《数据安全技术数据分类分级规则》2024年6月《面向人工智能的数据治理实践指南(1.0)》其他关联法律法规:2.8数据安全管理制度体系本行制定数据安全管理办法,一方面将数据安全管理办法进行细化,形成数据安全方面基础性的标准规范、实施细则、操作手册、工作指南。另一方面,将数据安全要求配套纳入其他业务管理制度规范、数据管理制度规范和信息科技制度规范中,自上而下形成全行数据安全管理“1+N”的制度体系。数据安全管理制度体系数据治理基本制度数据安全管理办法标准规范类实施细则类操作手册类细化业务管理制度规范数据管理制度规范信息科技制度规范纲领性文件配套纳入序号制度名称管理内容类型1数据安全管理办法【2023年12月】全面办法2数据定级一览表【2024年】数据分类分级标准3数据安全通用保护规范【2024年】生命周期及重点场景保护标准4数据安全技术保护规范生命周期及重点场景保护标准5数据安全重点场景领域清单数据安全治理标准6数据安全重点信息系统清单数据安全治理标准7数据安全事件应急预案【2024年】风险监测应急细则8加强敏感数据保护工作指引非生产环境数据安全管理细则9中国农业银行数据出行安全管理工作指引【2024年】数据出行管理细则10数据出境评估申报工作指引数据出境管理细则11办公终端敏感数据整治策略办公终端数据安全管理细则2.8.1数据安全管理办法-数据分类分级数据分类分级是数据安全管理工作的基础,是数据安全法和数据安全监管制度中明确提出的要求。我行数据分类分级标准,一方面贯彻对接法律和监管要求,另一方面从行内实际出发,与原有分级标准实现无缝衔接。数据安全法/人行业务领域数据安全办法数据安全监管制度数据安全管理办法(新)数据安全管理办法(试行)数据安全分级指南/人行-敏感性分层级核心数据<-->核心数据<-->核心数据--重要数据<-->重要数据<-->重要数据-<-->5级一般数据<-->敏感数据<-->敏感数据关键敏感数据<-->关键敏感数据<-->4级普通敏感数据<-->敏感数据<-->3级其他一般数据<-->其他一般数据内部数据<-->内部数据<-->2级公开数据<-->公开数据<-->1级注:敏感数据、其他一般数据参见《敏感数据目录》,主要针对数据项;核心数据、重要数据通常是指数据集。2.8.2数据安全制度规范——数据定级一览表(1)信用管理部贷款信息相关10条财务会计部财务信息相关10条内控合规、网络金融、信用卡中心、风险管理部等其他部门其他信息个人金融部个人客户相关109条公司业务部对公客户相关77条人力资源部数据定级一览表共计296条分类,其中关键敏感24条,敏感157条,内部111条,公开4条。员工、档案信息等14条2.8.3数据安全管理办法-数据出行定义:数据出行是指通过信息系统、邮件、移动存储设备、纸质传递等方式将数据提供给除客户之外具有业务关系的第三方机构,按照《中国农业银行数据安全管理办法》,数据出行进一步细分为数据报送、委托处理、合作提供、共同处理、数据转移、数据交易等类别,不含向数据主体提供自身数据的情况。银

行客

户A(客户B)第三方2.8.3数据安全管理办法-数据出行1.数据报送(一)协助国安、公安、检察、法院、税务等部门执法,按照本行司法查询相关制度办理。(二)向监管部门定期或一次性提供统计报送等数据,应遵循相关法律法规、监管规定和本行相关制度要求执行。(三)国家行政职能部门履行法定职责以及本行向其申请办理有关事项需向其提供数据的,遵循其规定和本行相关制度执行。(四)其他法律法规、监管要求提供数据的情况,需遵循其要求和本行相关制度执行。1.是不是具有强制性,我们行必须遵循,不遵循就违法违规;2.是不是具有普遍性,每家行都要这么去做

数据出行主办部门谁来判断?怎么判断?!关注传输过程中的保护措施,备份数据是否及时销毁,是否在互联网电脑上有留存2.8.3数据安全管理办法-数据出行2.合作提供合作提供,指本行与第三方机构开展业务合作中向其共享本行数据,且本行和第三方机构均可自主决定各自的处理目的和方式的数据处理行为,应遵照以下要求:(一)对外提供敏感级及以上数据,应当取得数据主体同意,法律法规、监管要求另有规定的除外。(二)应采取必要的管理和技术手段,确保实施过程安全。(三)应与第三方机构以合同协议或其他方式约定数据提供的目的、范围、接收方数据留存时限、是否允许将数据提供至其他主体等信息,明确数据提供方和数据接收方数据责任与义务。1.第三方公司对我行相关信息设备进行故障分析处理、巡检等必要的运维工作,我行需向三方公司提供提供设备相关数据,包括设备配置、运行日志、电路电气线路等数据。2.举办培训班、运动会、团建活动对外提供员工姓名、手机号。3.向医院提供员工相关信息,用于体检。员工制服制作提供员工身高等信息。2.8.3数据安全管理办法-数据出行3.委托处理委托处理,是指本行委托第三方机构开展工作中涉及处理本行数据,并且本行决定处理目的和方式,受托方按本行要求或合同约定执行的数据处理行为。1.委托律师事务所代理全省农行现有及将有的诉讼案件涉及的数据出行事项。2.委托律师开展尽职调查3.开展信用卡委托电话催收。4.制作宣传片,运用影像、声音以及动画等方式对我行或产品形象进行展示。4.数据交易数据交易,是指本行向第三方机构出售数据产品或数据服务以获取商业利益的行为。本行开展数据交易时应根据数据来源和生成特征进行数据确权,对涉及其他数据主体权益的应获得其必要授权,确保数据交易不侵犯数据主体权益。2.8.3数据安全管理办法-数据出行5.数据转移数据转移,是指本行因业务重组、兼并等原因将业务及对应数据转移至第三方机构的行为,相关业务的数据权利和义务应一并转移。数据转移由对应业务主管部门明确转移数据内容,通过协议、承诺等方式约定数据接收方全面承接对应数据的安全保护责任和义务,通过公告等方式告知数据主体。数据转移应采用安全可靠方式进行,并确保转移过程可追溯。不良资产打包出售。6.共同处理共同处理,是指本行与第三方机构开展合作中涉及处理本行数据,并且本行与第三方机构共同决定目的和方式的数据处理行为。各级行、各部门开展工作中涉及数据共同处理的,应当按照“业务必要授权”原则制定方案并采取有效保护措施确保数据安全,并以合同协议或其他书面方式明确双方在数据处理过程中的数据安全责任和义务。银行与某公司采取隐私计算或其他技术,联合创建模型,对存在交集的客户进行分析,针对分析结果打上标签。2.8.3数据安全管理办法-数据出行数据安全自评估审查审批监管报告第三方机构管理数据出行主办部门应在数据出行实施前按照要求开展数据安全自评估的工作。合作提供、委托处理、共同处理、数据转移、数据交易等行为涉及敏感级及以上数据的需开展审查。涉及敏感级及以上数据的委托处理、共同处理、数据转移、数据交易、数据出境的需报监管主办部门应通过合同、协议等方式,建立对第三方机构数据处理行为的法律约束机制并强化对第三方机构的监督管理数据出行主办部门是指与第三方机构开展合作的部门,承担数据安全主体责任。数据出行涉及多个部门时,签署合同协议的部门为主办部门,通过框架协议入围多家第三方机构的,由框架协议签署部门组织分协议(或订单)的签署部门协商确定主办部门。2.8.3数据安全管理办法-数据出行数据安全自评估1.数据安全自评估判断出行类别明确出行数据情况机构尽职调查风险分析健全保护措施《数据出行主要类别判断参考》数据范围、敏感级别、数据规模、论证最小必要数据保护机制、数据安全能力资质、监管处罚情况,重大数据安全事件、境内还是境外、是否满足法律法规数据泄露、数据价值泄露、主体权益影响数据加密、安全传输协议纸质采取密封,过程中不离开责任人数据出行主办部门2.8.3数据安全管理办法-数据出行2.数据出行审查审批流程数据出行主办部门系统主管部门业务主管部门消费者权益保护部(个人)公司业务部(对公)法律事务部科技与产品管理部(安全科、各开发科室)是否需要分管行长审批数据出行主办部门分管行长审批是否敏感数据一般数据数据出行主办部门系统主管部门业务主管部门二级分行以下机构由二级分行审查审批。内部/脱敏数据出行仍然需要填写数据安全评估表并且主办部门登记台账。对业务开展中伴随发生的数据出行,应将数据安全审查审批融入业务审批流程中一并落实,无需另行单独开展。部门主要负责人审批2.8.3数据安全管理办法-数据出行主办部门将报告材料提交至本级数据安全统筹部门,由其向监管部门或监管派出机构报告。自监管报告日起20个工作日未收到监管不同意答复的,方可开展对应的数据处理、协议签署活动跨总行与分行的出行事项,主办部门的监管报告职责按照“协议谁签署,事项谁报告”原则确定二级分行及以下机构,应将报告材料逐级报告至省行对口业务部门,由省行业务部门会同数据安全统筹部门向监管部门报告数据出行同时涉及重要科技外包项目的,按重要科技外包项目向监管报告,但应随附《数据安全评估表》3.数据出行监管报告要点12342.8.3数据安全管理办法-数据出行1.应当与第三方机构约定数据归属、处理目的、方式、范围以及各自的权利和义务等。2.涉及委托处理的,还应要求受托第三方机构在未取得本行同意时,不得将本行数据转委托其他主体进行处理,不得对外共享数据,不得加工、训练、挪用数据,不得开展任何合同协议约定以外的数据处理活动。3.合同应明确数据安全事件应急处置机制,约定第三方机构在处理数据过程中如发生数据泄露、数据损毁、未经授权的访问等数据安全事件,立即向本行反馈并做好应急处置。数据出行主办部门应制定涵盖数据安全内容的应急预案,或建立该场景下的数据安全应急机制,当发现数据泄露或数据接收方丧失数据安全保护能力等情形时,立即启动应急响应程序。1.监督应覆盖所有数据处理活动,并保留记录,确保其满足合同协议要求。发现第三方机构的产品或服务没有落实数据安全管理要求和责任的,主办部门应督促其及时整改,必要时停止合作2.涉及敏感数据的委托处理类项目,主办部门应每年至少对第三方机构进行一次现场检查或评估,确保其具备持续的数据安全保护能力。业务完成、业务终止或协议到期时,主办部门应监督第三方机构立即删除从本行获取的数据及相关衍生数据,不可留存任何备份数据,国家及行业主管部门另有规定的除外约束机制监督管理4.数据出行第三方机构管理和风险应急事前事中事中、事后2.8.3数据出行场景台账管理(1)数据出行主办部门建立和维护本部门数据出行管理台账,定期向本级行数据安全统筹部门报备;数据安全统筹部门组织建立本级行数据出行重点场景管理台账。合作提供、委托处理、共同处理、数据转移、数据交易等行为涉及敏感级及以上数据的为数据出行重点场景。业务场景情况合作机构情况12345678910序号归属业务领域业务场景描述业务持续情况业务起止日期总行管理部门是否总行统筹管理场景出行类别判断合作机构名称合作机构类型科技外包、非科技外包、服务合作机构管理、其它对数据出行业务场景进行详细描述。持续性、一次性如2020年6月-2022年6月历史场景起始日期不易查证的可写2023年以前至今本业务场景对应的总行管理部门指由总行提出管理要求,明确合同协议,规范数据接口,但由分行签订合同协议的项目。合作提供、共同处理、委托处理、数据转移、数据交易单一的合作机构填写名称;若与多个机构合作,请举例并描述合作机构类型,如“嘉实、华夏、博远等基金公司”政府机关、行业协会、事业单位、银行同业、其他金融同业、企业单位、其它注意事项:1.各机构按照“谁签合同谁登记台账”开展台账登记工作。2.对合作提供类项目,可以按照业务场景汇总为一条记录。数据报送、与其他银行进行业务量统计指标数据交换无需纳入台账。3.业务场景描述要细致,至少包含数据处理活动参与方、数据概要内容,涉及的数据主体2.8.3数据出行场景台账管理(2)数据情况评估审查及监管报告情况填报信息111213141516171819202122对外传输数据(项)范围描述是否包含个人信息个人信息对应的数据主体个人信息四要素情况数据出行规模(年度记录条数)数据安全级别(最高级别)交互方式交互频度评估审查情况监管报告情况填报部门联系人及联系方式对交互的数据内容进行详细描述姓名、银行卡号、账户余额、账号等X项;是/否客户、员工、客户员工兼有。姓名、身份证号、手机号、银行卡号等4项,列明具体信息项1000条以内,1000-1万条,1万-10万条,10万-100万条,100万条以上其他一般数据敏感数据重要数据线上-开放银行、线上-其他应用程序接口、线上-邮件、线上-其他、线下—中转机、线下-光盘刻录、线下-其他(线上-其他,线下-其他请在备注列说明具体方式)仅一次/每日/每月/每季/每年/不定时/其它2023年以前存量延续业务/已开展数据安全评估审查,详见XX材料/未开展数据安全评估审查2023年以前存量延续业务/不符合监管报告情形/符合监管报告情形且已报告,详见XX材料/符合监管报告情形尚未报告XX分行XX部门注意事项:4.多数单元格设定了标准字典项,若有不在字典项内的可在备注列说明情况。5.2023年开始的项目应完成数据安全审查,评估材料名称在备注列说明。6.匿名化处理后的信息不再属于个人信息。各部门认真填写数据出行台账,避免出现明显填报问题。重点场景台账应实时更新,在开展数据安全审查时完成场景登记。全量场景台账每年至少更新一次。2.8.4数据安全管理办法-数据安全风险监测与事件应急将数据安全风险纳入全面风险管理体系,建立数据安全风险监测、事件处置机制,通过“预防+控制”,形成数据安全风险的闭环管理。

事中:风险监测预警事后:事件应急处置协调联动机制(统分结合,分工负责)系统主管部门、数据使用部门客户服务、运营管理、消保等部门企业文化部科技部门风险管理部门、数据安全统筹部门风险监测内容用户权限监测*异常行为监测(尤其对第三方加强监督)数据安全投诉监测数据安全舆情监测非法技术攻击监测技术特权账号监测网络安全威胁监测技术特权账号监测数据安全事件应急响应启动应急预案分析事件原因评估事件影响开展事件定级事件定级(4级):特别重大

重大

较大

一般。事件分类(3类):

科技类数据安全事件、个人信息安全事件、敏感数据及其他数据安全事件。采取业务措施采取技术措施履行双线报告

上级行业务主管部门和本级行数据安全统筹部门采取补救措施及时完成整改行内报告(1小时):不晚于1小时内向本级行领导小组和上级行主管部门进行首次报告。

监管报告(2小时):较大级及以上数据安全事件发生2小时内,应当向监管部门或其派出机构报告。清单化指标化系统化风险事项(监管提示、处罚、底稿等)及时报告、双线(横纵)报告。安全事件:准确定级、及时报告、分类处置。审计发现问题及工作提示01PART03*3.1.1审计发现问题主要表现为部分部门教育培训不到位,培训范围、内容覆盖不全、培训效果跟踪评价不足。表现为部分人员不知道本部门或机构的数据安全第一责任人;不知道哪个部门为数据安全统筹部门;不知道数据出行审查具体流程;不知道我行数据分类分级标准为哪几类。问题点1:数据安全宣贯机制未有效落实14.3%网点数据安全管理员未明确具体网点,7.5%数据安全管理员岗位变动后未及时更新,36%数据安全管理员存在违反数据安全管理要求行为,未能有效履职。问题点2:数据安全管理员管理不到位使用内网U盘存放敏感数据。某支行综合管理部员工李某内网U盘中存有30043条客户数据,包含客户姓名、手机号、农民合作社或农场名称及地址等敏感信息。问题点3:使用内网U盘存储敏感数据*3.1.2审计发现问题审计通过现场访谈发现员工对于敏感数据授权加密和设例外文件须先经过审批的流程并不熟悉,加密时系统也未提示需要经过审批,主要因为业务条线数据安全教育培训未做到全员覆盖,宣贯力度不足。2023年以来,XX分行DLP扫描出敏感数据文件109259个,采取授权加密的文件3267个,设置为例外文件863个。XX分行个人金融部某员工办公电脑中存放6047个,共计1.63G未经审批直接使用DLP授权加密的文件,主要为客户投诉情况说明、客户身份证复印件,部分文件包含客户姓名、联系方式、身份证号码、卡号等信息。问题点4:敏感数据文件执行处置流程不规范某支行2个网点,现场访谈办公电脑使用者发现一些员工调离岗位后,调离人员未及时清理留存文件,也无人检查和清理电脑文件。某支行3台电脑中明文存放客户敏感信息,涉及客户身份证正反面照片、客户照片共计488个文件夹;包含客户办理贷款所需的身份证复印件、征信报告、授权委托书等敏感信息文件10189个,共计11.9G;包含623个客户的姓名、联系方式、身份证号码等敏感信息excel文件11个。问题点5:网点公用电脑违规留存客户敏感数据25个开放银行项目未履行数据出行审核审批流程。通过开放银行提供对外接口的数据出行项目,仅执行了开放银行报备报批流程,未执行数据出行审核审批流程。问题点6:数据出行评估审核审批流程落实不到位*3.1.3审计发现问题XX分行2021年上线的市场贸易采购通项目,与市场采购贸易联网信息平台进行信息交互,传输收汇客户的账号、日期、金额、币种、汇款人姓名、账号等客户金融交易数据,分行按照内部数据出行管理,未按照敏感数据出行管理。问题点7:出行数据安全级别分类错误XX分行信用卡委外催收项目,主办部门开展数据安全评估时,填写的出行数据内容中客户姓名、联系人姓名、卡号、联系人电话等字段脱敏后对外传输,而实际对外传输未脱敏。问题点8:出行场景数据安全评估不规范委外诉讼、大数据标签服务与开展购房、家装分期、汽车分期等营销活动向三方公司提供兑奖清单等场景为纳入敏感数据出行台账管理。开放银行47个项目未纳入数据出行台账管理。问题点9:数据出行台账登记不全*3.1.4审计发现问题1.未采取必要的技术防控手段,明文传输客户敏感信息。2023年5月以来,XX分行以邮件形式未经加密向XX学院、XX干部学院等6家外部合作机构发送2300多名客户的身份证号、手机号和银行卡等敏感信息。2.合同未明确数据安全事件反馈方式。《指导意见》要求,应在合同协议中明确要求,第三方机构在处理数据过程中如发生数据泄露、数据损毁、未经授权的访问等数据安全事件,及时按照双方约定的方式反馈。2023年以来,XX分行智慧食堂等4个数据出行项目,未在合同协议对数据安全事件反馈方式进行明确。3.委外催收监督检查不到位,催收公司未落实数据安全管理要求,未及时删除退案催收录音,并留存于互联网设备,存在内部信息泄露风险。问题点10:已纳入台账管理的数据出行场景安全管控不到位*3.2.1数据安全专项检查发现问题**分行有361台终端设备未安装终端DLP系统,其中有262台终端设备通过360天擎例外策略联接内网,未纳入例外申请流程管理,部分行存在自审自批的问题。如,**分行共计对7台终端实施了例外策略管理,无申请原因,其中**部、**支行由终端使用人申请并由本人审批,不符合总行终端安全管理要求。问题点1:DLP应安装未安装终端DLP应实现办公终端全覆盖,避免应安装未安装的情况。部分办公终端未启动DLP敏感数据扫描。**分行43台办公终端,仅有18台办公终端完整完成扫描任务和清理敏感数据文件,占抽查终端总数的41.8%;3台终端未完成敏感数据文件清理,终端还保存了10个敏感数据文件。**分行7台办公终端未启动**分行前两轮敏感数据扫描。问题点2:办公终端扫描不充分、未启动扫描办公终端应实现扫描全覆盖,避免应扫描未扫描的情况。**分行扫描出的敏感数据文件三轮扫描均未处理,省分行本部1029个文件。**分行**部*某办公终端长期留存“**客户成交明细.xls”等客户交易明细文件(包括客户姓名、卡号、客户号、交易金额)等敏感信息8,196条,未履行审批手续也未进行加密。问题点3:涉敏文件未及时处理应常态化管控办公终端敏感数据,及时删除、加密扫描出的文件。*3.2.2数据安全专项检查发现问题**分行**部门中转机管理不规范,数据安全管理不到位,存在:两台未安装天擎、趋势和DLP等终端防护软件的办公电脑,以MAC地址绑定的例外准入方式接入我行内网。中转机使用未登记台账,中转机留存敏感信息等问题。问题点4:中转机敏感数据管控不到位应实现中转机外发拦截管控,“凡外发、必审批”,并记录外发情况。抽查发现,XX支行员工办公电脑中,均发现存有明文未加密且含有个人客户敏感信息的文件,部分文件为客户身份证扫描件,部分文件包含客户姓名和身份证号,DLP系统未对上述涉敏文件触发告警提示,员工未对以上数据采取保护措施。问题点5:DLP扫描不到的敏感数据缺乏保护对DLP识别不到的数据,应自行识别并采取有效保护。抽查省行**部、**部2个重点个人客户业务部门及三农对公业务部,在4名员工办公终端中发现有未经审批留存的个人客户敏感数据,达63万条记录,包括客户姓名、卡号、身份证号、手机号、地址等信息。未严格按照客户个人敏感数据集中整治活动的通知要求,对客户个人敏感数据开展审核审批和加密保护等工作。问题点6:业务部门管控落实不到位督促业务部门完成排查清理、审核审批、建立台账和加密保护等工作。01账号密码安全02钓鱼邮件安全03近源攻击安全04社会工程学攻击安全0506数据收集安全07数据存储安全08数据出行安全09邮件外发安全10应急响应3.3.1网络安全与数据安全工作提示数据发布安全数据安全网络安全3.3.2网络安全与数据安全工作提示-账号密码安全000000、111111、11111111、112233、123123、123321、123456、12345678、654321、666666、888888、abcdef、abcabc、abc123、a1b2c3、aaa111、123qwe、qwerty、qweasd、admin、password、p@ssword、passwd、iloveyou、5201314Flzx3qc@10Pasaword@10P@ssw0rd@1qaz2wsx

(1)密码必须符合复杂性要求(2)密码长度最小值(3)密码最长使用期限(4)密码最短使用期限(5)强制密码历史(6)使用可还原的加密存储密码[A-Za-z0-9@#$%^&*()!~]8位180天1天6个禁用选择易记强口令的几个窍门:口令短语字符替换单词误拼键盘模式3.3.3网络安全与数据安全工作提示-钓鱼邮件安全应急措施五不要1.不要轻信发件人地址中显示的“显示名”2.不要轻易点开陌生邮件中的链接。3.不要放松对“熟人”邮件的警惕。4.不要使用公共场所的网络设备执行敏感操作。5.不要将敏感信息发布到互联网上。五要1.看发件人地址、日期、标题。2.看正文措辞、目的、内容。3.看附件内容。当心邮件中的附件信息,不要随便点击下载。学会识别34211.杀毒软件要安装。2.登录口令要保密。要做到不向任何人主动或轻易地泄露邮箱的密码信息。3.邮箱账号要绑定手机。4.公私邮箱要分离5.重要文件要做好防护。1.及时报告。及时报给科技部门,点击邮箱举报。2.修改登录密码。及时修改泄露的密码。3.全盘杀毒。钓鱼邮件中的链接或者附件等可能带有病毒、木马或勒索程序。4.隔离网络。切断受感染设备的网络连接(拔掉网线或者禁用网络)。3.3.4网络安全与数据安全工作提示-近源攻击和社会工程学攻击近源攻击社会工程学攻击1)物理安全措施。2)身份认证和访问控制3)数据加密4)设备安全更新5)提高员工培训和安全意识1)物理入侵:落实出入登记,禁止陌生人员进入办公区域2)信息泄露:强化对敏感信息的保护意识,不要泄露个人及公司敏感信息3)诈骗电话:提高对未知来电的防范意识,不要轻信未知来电的话语4)公共热点:要查证公共热点的可靠性,不要轻易连接未知的无线网络5)共享资源:要把握共享资源的方式和范围,不要造成敏感信息的扩散泄露6)环境渗透:要规避周围环境中的敏感信息,不要给攻击者获取信息的机会7)钓鱼U盘:要保持对未知存储介质的警惕,不要轻易读取未知U盘的数据发现异常情况,保留现场及时向上报告禁止不在互联网发布我行内部数据、敏感数据。发布渠道包括但不限于:各类网站、‌论坛、‌社区、‌博客、‌移动客户端、‌即时通讯工具、‌网络短视频、‌网络直播等网络平台。发布内容包括但不限于:客户数据、员工数据、合同协议、系统部署架构、源代码、系统

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论