ICS03.060A11

T/ZCSFFB鎮(zhèn) 江 市 金 融 學 會 標 準T/ZCSFFB001—2025鎮(zhèn)江市法人銀行業(yè)金融機構網(wǎng)絡安全與數(shù)據(jù)安全規(guī)范NetworkSecurityandDataSecuritySpecificationsforZhenjiangCorporateBankingInstitutions2025-12-03發(fā)布 2025-12-03實施鎮(zhèn)江市金融學會 發(fā)布PAGE\*ROMANPAGE\*ROMANII目次前 言 III引 言 IV范圍 1規(guī)范性引用文件 1術語和定義 1網(wǎng)絡安全 1網(wǎng)絡安全策略 1網(wǎng)絡安全區(qū)域 1網(wǎng)絡漏洞 2網(wǎng)絡資產(chǎn)定義 2數(shù)據(jù)安全 2數(shù)據(jù)分級分類 2數(shù)據(jù)采集 2數(shù)據(jù)傳輸 2數(shù)據(jù)存儲 2數(shù)據(jù)使用 2數(shù)據(jù)刪除 2數(shù)據(jù)銷毀 3網(wǎng)絡安全要求 3網(wǎng)絡安全策略屬性 3網(wǎng)絡安全策略制定的原則 3安全區(qū)域和安全等級的劃分 3網(wǎng)絡結構規(guī)劃設計 3終端安全管理 4網(wǎng)絡設備安全管理 4網(wǎng)絡接入 5網(wǎng)絡資產(chǎn)安全保護 5網(wǎng)絡資料管理 5網(wǎng)絡用戶管理 5網(wǎng)絡應用安全管理 5網(wǎng)絡維護安全管理 5網(wǎng)絡安全監(jiān)控管理 6網(wǎng)絡安全事件的分級處理策略 6數(shù)據(jù)安全要求 6數(shù)據(jù)分類分級 6數(shù)據(jù)采集安全 6數(shù)據(jù)傳輸安全 7數(shù)據(jù)存儲安全 7數(shù)據(jù)使用安全 7數(shù)據(jù)刪除安全 7數(shù)據(jù)銷毀安全 8數(shù)據(jù)安全風險與事件管理 8人員安全管理 8安全意識培訓 8人員背景審查 8安全管理制度 8實施與評估 8參考文獻 9T/ZCSFFB001—2025T/ZCSFFB001—2025PAGE\*ROMANPAGE\*ROMANIV前 言GB/T1.1-20201本標準由鎮(zhèn)江市金融學會提出并歸口。本標準主要起草人：戴凱馬月新孫全王屹群黃智先狄燕曹冰楊超湯成輝高津蔡惠俊趙京紀輝炎引 言《金融科技發(fā)展規(guī)劃(2022-2025T/ZCSFFB001—2025T/ZCSFFB001—2025PAGEPAGE1鎮(zhèn)江市法人銀行業(yè)金融機構網(wǎng)絡安全與數(shù)據(jù)安全規(guī)范范圍本標準適用于鎮(zhèn)江地區(qū)法人銀行業(yè)金融機構。規(guī)范性引用文件《中華人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《中國人民銀行業(yè)務領域數(shù)據(jù)安全管理辦法》《中國人民銀行業(yè)務領域網(wǎng)絡安全事件報告管理辦法》《銀行保險機構數(shù)據(jù)安全管理辦法》JR/T0223-2021《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》JR/T0171-2020《個人金融信息保護技術規(guī)范》JR/T0197-2020《金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南》術語和定義網(wǎng)絡安全指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。網(wǎng)絡安全策略指為保證對網(wǎng)絡提供一定級別的安全保護所必須遵守的規(guī)則，是網(wǎng)絡安全工作的核心。網(wǎng)絡安全區(qū)域同樣的安全策略。網(wǎng)絡漏洞網(wǎng)絡資產(chǎn)定義IPWeb數(shù)據(jù)安全通過采取必要措施，確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。數(shù)據(jù)分級分類數(shù)據(jù)采集數(shù)據(jù)傳輸數(shù)據(jù)存儲數(shù)據(jù)使用數(shù)據(jù)刪除數(shù)據(jù)刪除是指在金融產(chǎn)品和服務所涉及的系統(tǒng)及設備中去除數(shù)據(jù)，使其保持不可被檢索、訪問的狀態(tài)。數(shù)據(jù)銷毀網(wǎng)絡安全要求網(wǎng)絡安全策略屬性法人銀行業(yè)金融機構在制定網(wǎng)絡安全策略時應滿足以下屬性要求：強制性：網(wǎng)絡安全策略必須強制執(zhí)行，所有人員必須嚴格執(zhí)行網(wǎng)絡安全策略；c)合法性：網(wǎng)絡安全策略不能和現(xiàn)有法規(guī)或更高一層的規(guī)章制度相沖突。網(wǎng)絡安全策略制定的原則法人銀行業(yè)金融機構在制定網(wǎng)絡安全策略時應滿足以下原則：a)網(wǎng)絡安全策略要易懂，要為網(wǎng)絡安全管理人員所理解；網(wǎng)絡安全策略要定義清晰的安全目標；網(wǎng)絡安全策略涉及的每項內(nèi)容必須有精確的定義，并且要有制定此項內(nèi)容的理由；d)網(wǎng)絡安全策略必須定義適用范圍；e)網(wǎng)絡安全策略必須規(guī)定系統(tǒng)相關人員在網(wǎng)絡安全工作中所承擔的責任。安全區(qū)域和安全等級的劃分法人銀行業(yè)金融機構在劃分安全區(qū)域和安全等級時，應滿足以下要求：備；心生產(chǎn)區(qū)、業(yè)務應用區(qū)、運維管理區(qū)、互聯(lián)網(wǎng)區(qū)；對于高安全等級的區(qū)域，提供應用層面的監(jiān)控和適當?shù)谋Ｗo措施。網(wǎng)絡結構規(guī)劃設計法人銀行業(yè)金融機構在進行網(wǎng)絡結構規(guī)劃設計時，應滿足以下要求：在網(wǎng)絡結構規(guī)劃和設計時，必須實現(xiàn)網(wǎng)絡的可靠性、可擴展性和可管理性；IPIPIPVLAN企業(yè)邊界網(wǎng)絡用于連接機構內(nèi)部網(wǎng)絡與外部網(wǎng)絡，并提供對外部網(wǎng)絡服務的接入,訪問控制必須采用最小授權法，外部單位之間必須進行有效隔離；互聯(lián)網(wǎng)終端接入網(wǎng)絡用于接入本機構互聯(lián)網(wǎng)上網(wǎng)終端,互聯(lián)網(wǎng)出口網(wǎng)絡區(qū)域必須布置網(wǎng)絡管理、（終端安全管理法人銀行業(yè)金融機構在管理本機構終端設備時，應滿足以下安全要求：IPUSB網(wǎng)絡設備安全管理法人銀行業(yè)金融機構在管理本機構網(wǎng)絡設備時，應滿足以下安全要求：FW/（NIDSNIP、防病毒系統(tǒng)、訪問認證設備、動態(tài)口令設備、網(wǎng)絡分析儀器、網(wǎng)絡管理工具、網(wǎng)絡流量監(jiān)控工具；所有網(wǎng)絡設備必須有用戶訪問控制機制,原則上采用集中的用戶訪問控制；及時修改網(wǎng)絡安全設備配置，保證網(wǎng)絡安全設備的有效性，在變更防火墻、路由器和IDS/IPS配置規(guī)則之前，確保變更已進行驗證和審批；網(wǎng)絡設備的日志要統(tǒng)一收集、統(tǒng)一分析、統(tǒng)一備份；對網(wǎng)絡設備的配置必須統(tǒng)一歸檔、統(tǒng)一備份,重要節(jié)點的網(wǎng)絡配置應建立異地存放的備份。核心網(wǎng)絡設備應購買維保服務。定期開展網(wǎng)絡設備健康檢查和網(wǎng)絡設備漏洞檢測，按規(guī)定定期進行升級更新；網(wǎng)絡接入法人銀行業(yè)金融機構在進行網(wǎng)絡接入配置時，應滿足以下要求：IPIP非本機構設備嚴禁接入機構內(nèi)部網(wǎng)絡；3G4G5GWLAN接入設備需按照用途接入在相關網(wǎng)絡規(guī)劃區(qū)域。網(wǎng)絡資產(chǎn)安全保護法人銀行業(yè)金融機構需對本機構網(wǎng)絡資產(chǎn)開展安全保護工作，應滿足以下要求：a)網(wǎng)絡資產(chǎn)應根據(jù)其重要性確定安全保護措施；對重要網(wǎng)絡設備的登錄應采用加密模式。網(wǎng)絡資料管理法人銀行業(yè)金融機構需對本機構網(wǎng)絡資料進行管理，管理工作應滿足以下要求：（進行及時更新、歸檔和備份，包括定期備份、變更前后備份等；網(wǎng)絡變更必須有詳細的文檔，網(wǎng)絡變更文檔必須保留歷史記錄；網(wǎng)絡故障處理必須要有詳細的文檔，網(wǎng)絡故障處理文檔必須保留歷史記錄。網(wǎng)絡用戶管理法人銀行業(yè)金融機構需對本機構網(wǎng)絡用戶進行管理，管理工作應滿足以下要求：a)網(wǎng)絡用戶管理包括對登錄網(wǎng)絡設備的用戶、通過遠程訪問進入內(nèi)部網(wǎng)絡的用戶；b)網(wǎng)絡用戶和權限控制必須統(tǒng)一管理；網(wǎng)絡用戶管理必須實行用戶訪問控制機制；對網(wǎng)絡用戶必須采用有效可行的監(jiān)控、管理、審計機制；e)網(wǎng)絡用戶權限的分配、變更應有明確的規(guī)定；f)網(wǎng)絡用戶的密碼管理應參照本規(guī)范關于用戶標識和密碼管理的規(guī)定。網(wǎng)絡應用安全管理法人銀行業(yè)金融機構應對本機構使用的網(wǎng)絡應用進行管理，管理工作應滿足以下要求：a)網(wǎng)絡應用必須使用網(wǎng)絡管理部門認可的網(wǎng)絡協(xié)議和網(wǎng)絡通訊方式；b)網(wǎng)絡應用必須在需求分析階段考慮本機構絡條件的限制（帶寬、數(shù)據(jù)加密、網(wǎng)絡規(guī)范等）；c)跨網(wǎng)絡安全區(qū)域訪問必須符合安全控制規(guī)范并經(jīng)授權。網(wǎng)絡維護安全管理法人銀行業(yè)金融機構應按照以下要求開展網(wǎng)絡維護工作：須制定日常網(wǎng)絡維護技術文檔，網(wǎng)絡維護操作流程、網(wǎng)絡變更控制流程等規(guī)范文件；b)須制定各類網(wǎng)絡故障的處理方法及流程；c)須根據(jù)災備要求制定網(wǎng)絡層災難性故障的緊急備份措施。網(wǎng)絡安全監(jiān)控管理法人銀行業(yè)金融機構應按照以下要求開展網(wǎng)絡安全監(jiān)控工作：24c)定期對網(wǎng)管服務器進行健康檢查。網(wǎng)絡安全事件的分級處理策略數(shù)據(jù)安全要求數(shù)據(jù)分類分級據(jù)；進行審核更新。數(shù)據(jù)采集安全法人銀行業(yè)金融機構在開展數(shù)據(jù)采集活動時，應符合以下安全要求：采集的企業(yè)客戶數(shù)據(jù)和個人金融信息應與提供的金融產(chǎn)品或服務直接相關，并與合同協(xié)議條款、隱私政策中約定采集的內(nèi)容保持一致，不應超范圍采集數(shù)據(jù)；數(shù)據(jù)傳輸安全法人銀行業(yè)金融機構在進行數(shù)據(jù)傳輸活動時，應符合以下安全要求：（數(shù)據(jù)存儲安全應保障數(shù)據(jù)存儲安全，包括但不限于：數(shù)據(jù)使用安全應保障數(shù)據(jù)使用活動的安全，包括但不限于：在數(shù)據(jù)共享時，與共享方簽訂數(shù)據(jù)安全協(xié)議，明確雙方的安全責任；c)定期對數(shù)據(jù)的訪問權限和實際訪問控制情況進行審計。數(shù)據(jù)刪除安全法人銀行業(yè)金融機構在進行數(shù)據(jù)刪除活動時，應滿足以下要求：針對不同類型的數(shù)據(jù)設定其數(shù)據(jù)保存期，對超過保存期限的數(shù)據(jù)，執(zhí)行數(shù)據(jù)刪除操作；開發(fā)測試、數(shù)據(jù)分析等內(nèi)部數(shù)據(jù)使用需求執(zhí)行完畢后，應刪除有關數(shù)據(jù)，并記錄處理過程。數(shù)據(jù)銷毀安全法人銀行業(yè)金融機構在進行數(shù)據(jù)存儲介質處理時，應滿足以下要求：恢復或者以其他形式被利用；c數(shù)據(jù)安全風險與事件管理應加強數(shù)據(jù)安全風險監(jiān)測，有效識別各類風險并采取補救措施。接到監(jiān)管部門通報的數(shù)據(jù)安全風險時，應立即核實處置，