T∕ZCSFFB 001-2025 镇江市法人银行业金融机构网络安全与数据安全规范

ICS03.060A11

T/ZCSFFB镇 江 市 金 融 学 会 标 准T/ZCSFFB001—2025镇江市法人银行业金融机构网络安全与数据安全规范NetworkSecurityandDataSecuritySpecificationsforZhenjiangCorporateBankingInstitutions2025-12-03发布 2025-12-03实施镇江市金融学会 发布PAGE\*ROMANPAGE\*ROMANII目次前 言 III引 言 IV范围 1规范性引用文件 1术语和定义 1网络安全 1网络安全策略 1网络安全区域 1网络漏洞 2网络资产定义 2数据安全 2数据分级分类 2数据采集 2数据传输 2数据存储 2数据使用 2数据删除 2数据销毁 3网络安全要求 3网络安全策略属性 3网络安全策略制定的原则 3安全区域和安全等级的划分 3网络结构规划设计 3终端安全管理 4网络设备安全管理 4网络接入 5网络资产安全保护 5网络资料管理 5网络用户管理 5网络应用安全管理 5网络维护安全管理 5网络安全监控管理 6网络安全事件的分级处理策略 6数据安全要求 6数据分类分级 6数据采集安全 6数据传输安全 7数据存储安全 7数据使用安全 7数据删除安全 7数据销毁安全 8数据安全风险与事件管理 8人员安全管理 8安全意识培训 8人员背景审查 8安全管理制度 8实施与评估 8参考文献 9T/ZCSFFB001—2025T/ZCSFFB001—2025PAGE\*ROMANPAGE\*ROMANIV前 言GB/T1.1-20201本标准由镇江市金融学会提出并归口。本标准主要起草人：戴凯马月新孙全王屹群黄智先狄燕曹冰杨超汤成辉高津蔡惠俊赵京纪辉炎引 言《金融科技发展规划(2022-2025T/ZCSFFB001—2025T/ZCSFFB001—2025PAGEPAGE1镇江市法人银行业金融机构网络安全与数据安全规范范围本标准适用于镇江地区法人银行业金融机构。规范性引用文件《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中国人民银行业务领域数据安全管理办法》《中国人民银行业务领域网络安全事件报告管理办法》《银行保险机构数据安全管理办法》JR/T0223-2021《金融数据安全数据生命周期安全规范》JR/T0171-2020《个人金融信息保护技术规范》JR/T0197-2020《金融数据安全数据安全分级指南》术语和定义网络安全指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全策略指为保证对网络提供一定级别的安全保护所必须遵守的规则，是网络安全工作的核心。网络安全区域同样的安全策略。网络漏洞网络资产定义IPWeb数据安全通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。数据分级分类数据采集数据传输数据存储数据使用数据删除数据删除是指在金融产品和服务所涉及的系统及设备中去除数据，使其保持不可被检索、访问的状态。数据销毁网络安全要求网络安全策略属性法人银行业金融机构在制定网络安全策略时应满足以下属性要求：强制性：网络安全策略必须强制执行，所有人员必须严格执行网络安全策略；c)合法性：网络安全策略不能和现有法规或更高一层的规章制度相冲突。网络安全策略制定的原则法人银行业金融机构在制定网络安全策略时应满足以下原则：a)网络安全策略要易懂，要为网络安全管理人员所理解；网络安全策略要定义清晰的安全目标；网络安全策略涉及的每项内容必须有精确的定义，并且要有制定此项内容的理由；d)网络安全策略必须定义适用范围；e)网络安全策略必须规定系统相关人员在网络安全工作中所承担的责任。安全区域和安全等级的划分法人银行业金融机构在划分安全区域和安全等级时，应满足以下要求：备；心生产区、业务应用区、运维管理区、互联网区；对于高安全等级的区域，提供应用层面的监控和适当的保护措施。网络结构规划设计法人银行业金融机构在进行网络结构规划设计时，应满足以下要求：在网络结构规划和设计时，必须实现网络的可靠性、可扩展性和可管理性；IPIPIPVLAN企业边界网络用于连接机构内部网络与外部网络，并提供对外部网络服务的接入,访问控制必须采用最小授权法，外部单位之间必须进行有效隔离；互联网终端接入网络用于接入本机构互联网上网终端,互联网出口网络区域必须布置网络管理、（终端安全管理法人银行业金融机构在管理本机构终端设备时，应满足以下安全要求：IPUSB网络设备安全管理法人银行业金融机构在管理本机构网络设备时，应满足以下安全要求：FW/（NIDSNIP、防病毒系统、访问认证设备、动态口令设备、网络分析仪器、网络管理工具、网络流量监控工具；所有网络设备必须有用户访问控制机制,原则上采用集中的用户访问控制；及时修改网络安全设备配置，保证网络安全设备的有效性，在变更防火墙、路由器和IDS/IPS配置规则之前，确保变更已进行验证和审批；网络设备的日志要统一收集、统一分析、统一备份；对网络设备的配置必须统一归档、统一备份,重要节点的网络配置应建立异地存放的备份。核心网络设备应购买维保服务。定期开展网络设备健康检查和网络设备漏洞检测，按规定定期进行升级更新；网络接入法人银行业金融机构在进行网络接入配置时，应满足以下要求：IPIP非本机构设备严禁接入机构内部网络；3G4G5GWLAN接入设备需按照用途接入在相关网络规划区域。网络资产安全保护法人银行业金融机构需对本机构网络资产开展安全保护工作，应满足以下要求：a)网络资产应根据其重要性确定安全保护措施；对重要网络设备的登录应采用加密模式。网络资料管理法人银行业金融机构需对本机构网络资料进行管理，管理工作应满足以下要求：（进行及时更新、归档和备份，包括定期备份、变更前后备份等；网络变更必须有详细的文档，网络变更文档必须保留历史记录；网络故障处理必须要有详细的文档，网络故障处理文档必须保留历史记录。网络用户管理法人银行业金融机构需对本机构网络用户进行管理，管理工作应满足以下要求：a)网络用户管理包括对登录网络设备的用户、通过远程访问进入内部网络的用户；b)网络用户和权限控制必须统一管理；网络用户管理必须实行用户访问控制机制；对网络用户必须采用有效可行的监控、管理、审计机制；e)网络用户权限的分配、变更应有明确的规定；f)网络用户的密码管理应参照本规范关于用户标识和密码管理的规定。网络应用安全管理法人银行业金融机构应对本机构使用的网络应用进行管理，管理工作应满足以下要求：a)网络应用必须使用网络管理部门认可的网络协议和网络通讯方式；b)网络应用必须在需求分析阶段考虑本机构络条件的限制（带宽、数据加密、网络规范等）；c)跨网络安全区域访问必须符合安全控制规范并经授权。网络维护安全管理法人银行业金融机构应按照以下要求开展网络维护工作：须制定日常网络维护技术文档，网络维护操作流程、网络变更控制流程等规范文件；b)须制定各类网络故障的处理方法及流程；c)须根据灾备要求制定网络层灾难性故障的紧急备份措施。网络安全监控管理法人银行业金融机构应按照以下要求开展网络安全监控工作：24c)定期对网管服务器进行健康检查。网络安全事件的分级处理策略数据安全要求数据分类分级据；进行审核更新。数据采集安全法人银行业金融机构在开展数据采集活动时，应符合以下安全要求：采集的企业客户数据和个人金融信息应与提供的金融产品或服务直接相关，并与合同协议条款、隐私政策中约定采集的内容保持一致，不应超范围采集数据；数据传输安全法人银行业金融机构在进行数据传输活动时，应符合以下安全要求：（数据存储安全应保障数据存储安全，包括但不限于：数据使用安全应保障数据使用活动的安全，包括但不限于：在数据共享时，与共享方签订数据安全协议，明确双方的安全责任；c)定期对数据的访问权限和实际访问控制情况进行审计。数据删除安全法人银行业金融机构在进行数据删除活动时，应满足以下要求：针对不同类型的数据设定其数据保存期，对超过保存期限的数据，执行数据删除操作；开发测试、数据分析等内部数据使用需求执行完毕后，应删除有关数据，并记录处理过程。数据销毁安全法人银行业金融机构在进行数据存储介质处理时，应满足以下要求：恢复或者以其他形式被利用；c数据安全风险与事件管理应加强数据安全风险监测，有效识别各类风险并采取补救措施。接到监管部门通报的数据安全风险时，应立即核实处置，