T-ZCSFFB 001-2025 镇江市法人银行业金融机构网络安全与数据安全规范

ICS03.060A11T/ZCSFFBNetworkSecurityandDataSecuritySforZhenjiangCorporateBankingIns镇江市金融学会发布I 2规范性引用文件 3术语和定义 13.1网络安全 3.2网络安全策略 3.3网络安全区域 3.4网络漏洞 3.5网络资产定义 3.6数据安全 3.7数据分级分类 3.8数据采集 3.9数据传输 3.10数据存储 3.11数据使用 3.12数据删除 3.13数据销毁 4网络安全要求 4.1网络安全策略属性 4.2网络安全策略制定的原则 4.3安全区域和安全等级的划分 4.4网络结构规划设计 4.5终端安全管理 44.6网络设备安全管理 44.7网络接入 4.8网络资产安全保护 4.9网络资料管理 4.10网络用户管理 4.11网络应用安全管理 4.12网络维护安全管理 4.13网络安全监控管理 4.14网络安全事件的分级处理策略 5数据安全要求 5.1数据分类分级 5.2数据采集安全 5.3数据传输安全 5.4数据存储安全 5.5数据使用安全 5.6数据删除安全 5.7数据销毁安全 5.8数据安全风险与事件管理 6人员安全管理 6.1安全意识培训 6.2人员背景审查 7安全管理制度 8实施与评估 8参考文献 T/ZCSFFB001—2025本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草，参考其他相关金融行业网络安全和数据安全的行业标准，旨在为镇江地区法人银行业金融机构提供科学、系统、可落地的安全指引。本标准由镇江市金融学会提出并归口。本标准起草单位：中国人民银行镇江市分行镇江市金融学会镇江农商行丹阳农商行句容农商行扬中农商行本标准主要起草人：戴凯马月新孙全王屹群黄智先狄燕曹冰杨超汤成辉高津蔡惠俊赵京纪辉炎T/ZCSFFB001—2025随着金融科技的快速发展和数字化转型的深入推进，法人银行业金融机构的网络安全与数据安全已成为维护金融稳定、保障客户权益和推动行业高质量发展的核心基石。为贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等国家法律法规，以及《金融科技发展规划(2022-2025年)》等行业政策要求，结合镇江地区法人银行业金融机构实际需求，特制定本《镇江市法人银行业金融机构网络安全与数据安全规范》（以下简称《规范》）。本《规范》以“筑牢安全防线、护航金融发展”为目标，立足镇江地区法人银行业金融机构的业务特点和技术现状，围绕网络安全与数据安全的核心要素，构建了覆盖管理框架、技术措施、操作流程、人员能力、合规要求的全链条标准体系。内容涵盖网络安全策略制定、安全区域划分、资产防护、数据全生命周期管理、应急响应等关键环节，既吸纳了国内外金融行业安全实践的先进经验，又充分考虑了本地机构的差异化需求，旨在为镇江地区法人银行业金融机构提供科学、系统、可落地的安全指引。1T/ZCSFFB001—2025镇江市法人银行业金融机构网络安全与数据安全规范本标准规定了法人银行业金融机构在网络安全和数据安全方面的基本管理要求、技术措施等方面的本标准适用于镇江地区法人银行业金融机构。2规范性引用文件下列文件对于本标准的应用是必不可少的。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中国人民银行业务领域数据安全管理办法》《中国人民银行业务领域网络安全事件报告管理办法》《银行保险机构数据安全管理办法》JR/T0223-2021《金融数据安全数据生命周期安全规范》JR/T0171-2020《个人金融信息保护技术规范》JR/T0197-2020《金融数据安全数据安全分级指南》3术语和定义3.1网络安全指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。3.2网络安全策略指为保证对网络提供一定级别的安全保护所必须遵守的规则，是网络安全工作的核心。3.3网络安全区域指根据传输信息的性质、使用主体、安全目标和策略等不同来划分的网络，每一个安全区域有相同的安全保护需求、安全访问控制和边界控制策略，区域间具有相互信任关系，相同的网络安全区域共享2T/ZCSFFB001—2025同样的安全策略。3.4网络漏洞指在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的下访问或破坏系统。具体包括网络安全产品本身的漏洞、结构不合理而产生的漏洞、单个设备本身的配置错误而产生的漏洞。3.5网络资产定义指网络空间中某机构所拥有的一切可能被潜在攻击者利用的设备、信息、应用等数字资产。具体包括但不限于硬件设备、云主机、操作系统、IP地址、端口、证书、域名、Web应用、业务应用、中间件、框架、机构公众号、小程序、App、API、源代码等。3.6数据安全通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。3.7数据分级分类数据分级管理是指为提升数据管理能力，依据国家法律法规和金融行业相关指南要求，制订数据分类分级管理要求，对不同级别的数据进行标记区分，以便明确不同数据的管控措施。3.8数据采集数据采集是指银行在提供金融产品和服务、开展经营管理等活动中，直接或间接从个人金融信息主体，以及企业客户、外部数据供应方等外部机构获取数据的过程。3.9数据传输数据传输是指将数据从一个实体发送到另一个实体的过程。按照传输模式，可分为机构内部数据传输、本机构与外部机构或金融客户的数据传输两种形式。3.10数据存储数据存储是指在提供金融产品和服务、开展经营管理等活动中，将数据进行持久化保存的过程，包括但不限于采用磁盘、磁带、云存储服务、网络存储设备等载体存储数据。3.11数据使用数据使用是指在提供金融产品和服务、开展经营管理等活动中，进行数据的访问、导出、加工、展示、开发测试、汇聚融合、公开披露、委托处理、数据共享等活动。3.12数据删除3T/ZCSFFB001—2025数据删除是指在金融产品和服务所涉及的系统及设备中去除数据，使其保持不可被检索、访问的状态。3.13数据销毁数据销毁是指在停止业务服务、数据使用以及存储空间释放再分配等场景下，对数据库、服务器和终端中的剩余数据以及硬件存储介质等采用数据擦除或者物理销毁的方式确保数据无法复原的过程。4网络安全要求4.1网络安全策略属性法人银行业金融机构在制定网络安全策略时应满足以下属性要求：a)连续性：网络安全策略要和现行的网络管理方法保持一致，不会因为安全策略与实际的管理模式相差太大而无法实现；b)强制性：网络安全策略必须强制执行，所有人员必须严格执行网络安全策略；c)合法性：网络安全策略不能和现有法规或更高一层的规章制度相冲突。4.2网络安全策略制定的原则法人银行业金融机构在制定网络安全策略时应满足以下原则：a)网络安全策略要易懂，要为网络安全管理人员所理解；b)网络安全策略要定义清晰的安全目标；c)网络安全策略涉及的每项内容必须有精确的定义，并且要有制定此项内容的理由；d)网络安全策略必须定义适用范围；e)网络安全策略必须规定系统相关人员在网络安全工作中所承担的责任。4.3安全区域和安全等级的划分法人银行业金融机构在划分安全区域和安全等级时，应满足以下要求：a)安全区域是根据业务的安全性要求和数据的安全等级划分的，保护的对象是相对安全级别高的设b)安全区域划分要根据各个环境的具体情况结合网络功能区域的划分进行，不宜过粗或过细，如核心生产区、业务应用区、运维管理区、互联网区；c)对于高安全等级的区域，提供应用层面的监控和适当的保护措施。4.4网络结构规划设计法人银行业金融机构在进行网络结构规划设计时，应满足以下要求：a)在网络结构规划和设计时，必须实现网络的可靠性、可扩展性和可管理性；b)IP地址管理必须有统一、明确的规划和文档；IP地址划分必须清晰、明了，有利于日常维护和故障处理；IP地址划分必须有利于IP路由的收敛和动态路由的实现、有利于划分VLAN、有利于区分不同的用途；4T/ZCSFFB001—2025c)内部网络用于接入本机构内部使用的各类设备，内部网络必须通过企业边界网络与外部网络互通，并实施严格的安全隔离；d)企业边界网络用于连接机构内部网络与外部网络，并提供对外部网络服务的接入,访问控制必须采用最小授权法，外部单位之间必须进行有效隔离；e)互联网终端接入网络用于接入本机构互联网上网终端,互联网出口网络区域必须布置网络管理、网络安全（如入侵检测设备、漏洞检测设备等）设备，对整个互联网出口网络进行性能、安全和可用性监控。对互联网出口网络的各种管理信息必须进行有效的分析和审查。4.5终端安全管理法人银行业金融机构在管理本机构终端设备时，应满足以下安全要求：a)建立终端设备使用管理台账，动态维护终端设备品牌型号、责任人、入网IP地址、操作系统、预装软件、维修记录等信息，覆盖终端设备采购、入网、维护、报废全过程；b)合理划分终端设备接入网段，实现网络准入策略全覆盖。入网终端设备均应安装终端安全管理软件，制定并开启终端设备防非法外联、数据防泄漏等方面的安全管理策略，加强准入白名单管控，确保入网终端设备均被识别纳管。入网终端设备应安装使用正版软件，不得使用来源不明、未经授权的软件和介质，不得安装与虚拟货币相关的各类钱包和挖矿软件；c)入网终端设备安装统一的防病毒软件并定期更新病毒库，精细化做好终端设备分组，对不同分组制定针对性病毒查杀策略，利用全扫、快扫相结合方式提升病毒扫描频率，及时阻断病毒爆发传播路径，确保病毒感染风险不积累、不扩散、不升级；d)制定终端设备操作系统补丁分发策略，及时更新补丁库，规范终端设备漏洞管理，参照国内外权威漏洞库及有关部门通报的漏洞，开展漏洞监测、排查与处置，根除漏洞加强移动介质使用管控；e)通过硬件管控策略做好终端设备不必要外部设备接口封禁，杜绝内外网移动介质混用，严禁在终端设备连接手机、相机、USB存储介质等一切未授权外部设备，加强移动存储介质数据流转管控，防范终端设备数据泄露风险。4.6网络设备安全管理法人银行业金融机构在管理本机构网络设备时，应满足以下安全要求：a)网络设备包括但不限于路由器、交换机、防火墙（FW）、网络入侵检测/防护系统（NIDS/NIPS）、防病毒系统、访问认证设备、动态口令设备、网络分析仪器、网络管理工具、网络流量监控工具；b)应根据设备使用场景要求及设备功能特征，合理选择一项或多项产品实施，防止因设备局限性影响网络安全运行；c)所有网络设备必须有用户访问控制机制,原则上采用集中的用户访问控制；d)及时修改网络安全设备配置，保证网络安全设备的有效性，在变更防火墙、路由器和IDS/IPS配置规则之前，确保变更已进行验证和审批；e)网络设备的日志要统一收集、统一分析、统一备份；f)对网络设备的配置必须统一归档、统一备份,重要节点的网络配置应建立异地存放的备份。核心网络设备应购买维保服务。g)定期开展网络设备健康检查和网络设备漏洞检测，按规定定期进行升级更新；h)网络产品本身的漏洞可以由产品厂商发布后识别；结构不合理而产生的漏洞和单个设备本身的配置错误可以通过检查和购买服务发现。发现漏洞后，进行设备漏洞评估，决定是否处理，如何处理、何时处理及事后跟踪。5T/ZCSFFB001—20254.7网络接入法人银行业金融机构在进行网络接入配置时，应满足以下要求：a)为了实施网络安全策略，应用系统在投产前提供以下信息：源IP地址、目标IP地址、应用的协议、使用的端口、网络资源要求和安全保护要求等；b)非本机构设备严禁接入机构内部网络；c)在工作环境中使用的3G、4G、5G和WLAN移动接入设备、离行式设备的网络接入，必须充分保障设备、线路和网络的安全；d)接入设备需按照用途接入在相关网络规划区域。4.8网络资产安全保护法人银行业金融机构需对本机构网络资产开展安全保护工作，应满足以下要求：a)网络资产应根据其重要性确定安全保护措施；b)对重要网络设备的登录应采用加密模式。4.9网络资料管理法人银行业金融机构需对本机构网络资料进行管理，管理工作应满足以下要求：a)维护范围内的网络设备配置资料（包括网络拓扑图、网络设备配置以及网络变更记录等）进行及时更新、归档和备份，包括定期备份、变更前后备份等；b)网络变更必须有详细的文档，网络变更文档必须保留历史记录；c)网络故障处理必须要有详细的文档，网络故障处理文档必须保留历史记录。4.10网络用户管理法人银行业金融机构需对本机构网络用户进行管理，管理工作应满足以下要求：a)网络用户管理包括对登录网络设备的用户、通过远程访问进入内部网络的用户；b)网络用户和权限控制必须统一管理；c)网络用户管理必须实行用户访问控制机制；d)对网络用户必须采用有效可行的监控、管理、审计机制；e)网络用户权限的分配、变更应有明确的规定；f)网络用户的密码管理应参照本规范关于用户标识和密码管理的规定。4.11网络应用安全管理法人银行业金融机构应对本机构使用的网络应用进行管理，管理工作应满足以下要求：a)网络应用必须使用网络管理部门认可的网络协议和网络通讯方式；b)网络应用必须在需求分析阶段考虑本机构络条件的限制（带宽、数据加密、网络规范等）；c)跨网络安全区域访问必须符合安全控制规范并经授权。4.12网络维护安全管理法人银行业金融机构应按照以下要求开展网络维护工作：6T/ZCSFFB001—2025a)须制定日常网络维护技术文档，网络维护操作流程、网络变更控制流程等规范文件；b)须制定各类网络故障的处理方法及流程；c)须根据灾备要求制定网络层灾难性故障的紧急备份措施。4.13网络安全监控管理法人银行业金融机构应按照以下要求开展网络安全监控工作：a)关键网络设备的运行情况、重要网络线路的状况必须进行24小时监控；b)需对网络流量进行监控，对网络安全管理数据进行分析和统计；c)定期对网管服务器进行健康检查。4.14网络安全事件的分级处理策略法人银行业金融机构应根据国家相关法律法规及行业监管部门的相关规定要求，制定本机构网络安全事件分级标准及应急处理预案，包括但不限于：a)特别重大安全事件：启动应急响应机制，组建由高级管理层领导的应急响应小组，技术团队全力投入网络、系统恢复，完成安全加固并溯源取证，评估业务影响、制定业务恢复计划并确保尽快恢复，风险、合规部门提供必要的法律和风险合规指导，进行舆情监测应对。b)重大安全事件：启动应急响应机制，组件应急响应小组，参与人员的级别和规模可根据实际情况适当调整，技术团队投入网络、系统恢复，响应速度和资源投入程度可根据事件严重程度进行调整，评估业务影响、制定业务恢复计划尽可能短的时间内恢复，风险、合规部门提供必要的法律和风险合规指导，进行舆情监测应对；c)较大安全事件：由科技部门负责人牵头，核心技术人员参与组成应急响应小组，迅速对事件进行分析和处理，完成安全加固并溯源取证，业务团队评估业务影响范围和程度确定业务恢复的优先级和方案，风险、合规部门提供必要的法律和风险合规建议。d)一般安全事件：由安全团队、业务人员组成应急响应小组，快速对事件进行分析和处理，业务团队确定简单的业务恢复措施，风险、合规部门提供必要的法律和风险合规建议。5数据安全要求5.1数据分类分级法人银行业金融机构应根据国家相关法律法规及行业监管部门的相关规定要求，建立健全本机构数据分类分级制度，包括但不限于：a)根据数据的敏感性、重要性等因素将数据分为不同类别和级别，如核心数据、重要数据和一般数据；b)针对不同级别的数据制定相应的保护策略，应每年至少一次对分类分级结果和管控、使用等措施进行审核更新。5.2数据采集安全法人银行业金融机构在开展数据采集活动时，应符合以下安全要求：7T/ZCSFFB001—2025a)应通过合同协议、隐私政策等方式，明确双方在数据安全方面的责任及义务，告知数据采集范围、频度、类型、用途等，必要时提供相关个人金融信息主体的授权。并明确数据采集过程中个人金融信息的知悉范围和安全管控措施，确保采集数据的合规性、完整性和真实性；b)采集的企业客户数据和个人金融信息应与提供的金融产品或服务直接相关，并与合同协议条款、隐私政策中约定采集的内容保持一致，不应超范围采集数据；c)明确数据采集的风险评估流程，至少每年开展一次针对采集的数据源、频度、渠道、方式、数据范围和类型等进行的风险评估活动。5.3数据传输安全法人银行业金融机构在进行数据传输活动时，应符合以下安全要求：a)在日常数据业务开展过程中建立成熟稳定的数据传输安全和密钥管理机制，明确并落实相关职责，采用适当的技术保护措施，以保证传输通道、传输节点和传输数据的安全，防止传输过程中的数据泄露；b)明确数据传输安全管理规范及数据传输安全要求（如传输通道、传输协议、数据加密、安全密码算法、签名验签、身份鉴别、数据传输接口安全等），保障数据的完整性、真实性、不可抵赖性等，明确需要对数据传输加密的场景，同时采取技术措施对数据传输安全策略的变更进行审核。5.4数据存储安全应保障数据存储安全，包括但不限于：a)建立存储媒体资产标识，并针对各类存储媒体明确格式化要求，同时明确存储媒体所存储的数据内容和数据级别；b)使用技术工具对存储媒体性能进行监控，包括存储媒体的使用历史、性能指标、错误或损坏情况，并对存储媒体访问和使用行为进行记录和审计，对超过安全阈值的存储媒体进行预警；c)制定数据备份策略和恢复策略，明确定义数据备份和恢复的范围、频率、工具、过程、日志记录、数据保存时长、放置场所、文件命名规则、介质替换频率和将数据离站运输的方法等，采用技术措施实现备份数据的加密存储，并定期检验备份数据的完整性和可用性；d)建立数据归档的操作流程,明确归档数据的压缩或加密要求,对存储的数据进行加密处理，尤其是机密数据。5.5数据使用安全应保障数据使用活动的安全，包括但不限于：a)根据数据的不同安全级别，制定和明确数据访问控制过程中的相关安全措施，保障数据在被访问过程中的保密性和完整性；b)在数据共享时，与共享方签订数据安全协议，明确双方的安全责任；c)定期对数据的访问权限和实际访问控制情况进行审计。5.6数据删除安全法人银行业金融机构在进行数据删除活动时，应满足以下要求：a)针对不同类型的数据设定其数据保存期，对超过保存期限的数据，执