2025年銀行第九輪安全評估自查報告為落實銀保監(jiān)會《銀行業(yè)金融機構(gòu)信息科技風(fēng)險監(jiān)管要求》及《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等法律法規(guī)，我行于2025年6月至8月開展第九輪安全評估自查工作，覆蓋信息科技治理、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、業(yè)務(wù)連續(xù)性、外包管理等全領(lǐng)域，通過制度審查、系統(tǒng)檢測、現(xiàn)場訪談、模擬攻擊等方式實施，現(xiàn)將自查情況詳述如下：在信息科技治理方面，我行已建立由首席信息官牽頭，信息科技部、合規(guī)部、風(fēng)險管理部組成的三級安全管理架構(gòu)。2025年上半年召開4次信息科技安全委員會會議，審議通過《移動應(yīng)用安全開發(fā)規(guī)范（2025修訂版）》《云平臺安全運營手冊》等3項制度，更新《關(guān)鍵信息基礎(chǔ)設(shè)施認定清單》，明確核心交易系統(tǒng)、客戶信息管理系統(tǒng)等5類23個關(guān)鍵系統(tǒng)。制度執(zhí)行層面，2025年18月開展制度合規(guī)性檢查7次，發(fā)現(xiàn)3項制度條款與最新監(jiān)管要求存在滯后（如跨境數(shù)據(jù)傳輸流程未細化），已啟動修訂程序，預(yù)計9月底前完成。網(wǎng)絡(luò)安全防護體系方面，邊界防護部署下一代防火墻（NGFW）、入侵檢測系統(tǒng)（IDS）、Web應(yīng)用防火墻（WAF）共32套，核心區(qū)域?qū)嵤┝阈湃渭軜?gòu)改造，完成終端設(shè)備身份認證、訪問權(quán)限動態(tài)調(diào)整功能上線，終端接入認證覆蓋率100%。針對2025年新型攻擊手段（如AI驅(qū)動的釣魚郵件、漏洞利用工具），升級郵件網(wǎng)關(guān)反釣魚模塊，部署AI威脅檢測引擎，18月攔截惡意郵件12.3萬封，檢測可疑文件4.7萬次，處置率100%。漏洞管理方面，通過自動化掃描與人工滲透測試結(jié)合，累計發(fā)現(xiàn)系統(tǒng)漏洞176個（其中高危21個），已修復(fù)173個（修復(fù)率98.3%），剩余3個為需版本升級的系統(tǒng)漏洞，已與廠商確認補丁發(fā)布時間（10月15日），同步采取訪問控制臨時措施。數(shù)據(jù)安全管理嚴格遵循“分類分級、最小必要、全程可控”原則。數(shù)據(jù)分類分級覆蓋客戶信息、交易數(shù)據(jù)、內(nèi)部管理數(shù)據(jù)等12類，其中客戶敏感信息（身份證號、賬戶密碼）定為最高級別（S級），占比18%；交易流水（T級）占比65%。數(shù)據(jù)全生命周期管理中，采集環(huán)節(jié)通過脫敏規(guī)則引擎自動屏蔽S級數(shù)據(jù)，開發(fā)測試環(huán)境使用經(jīng)過不可逆脫敏的“影子數(shù)據(jù)”，2025年18月未發(fā)生開發(fā)環(huán)境誤用真實數(shù)據(jù)事件；傳輸環(huán)節(jié)對跨網(wǎng)數(shù)據(jù)采用國密SM4加密，核心系統(tǒng)間傳輸加密覆蓋率100%；存儲環(huán)節(jié)S級數(shù)據(jù)加密存儲率100%，定期開展密鑰輪換（每季度一次）；銷毀環(huán)節(jié)建立電子數(shù)據(jù)銷毀臺賬，物理介質(zhì)銷毀委托有資質(zhì)的第三方機構(gòu)，2025年已銷毀介質(zhì)520份，均留存銷毀證明?？缇硵?shù)據(jù)方面，因跨境支付業(yè)務(wù)需要，向境外傳輸客戶姓名、交易金額等非敏感信息（T級），已通過國家網(wǎng)信部門安全評估，簽訂數(shù)據(jù)出境標(biāo)準(zhǔn)合同，建立境外接收方安全評估機制（每半年一次），2025年上半年評估結(jié)果為“符合要求”。業(yè)務(wù)連續(xù)性管理方面，已建成“兩地三中心”災(zāi)備體系（生產(chǎn)中心、同城災(zāi)備中心、異地災(zāi)備中心），核心系統(tǒng)RTO（恢復(fù)時間目標(biāo)）≤2小時，RPO（恢復(fù)點目標(biāo)）≤15分鐘。2025年開展災(zāi)備演練4次，覆蓋數(shù)據(jù)中心斷電、網(wǎng)絡(luò)攻擊導(dǎo)致服務(wù)中斷、核心數(shù)據(jù)庫故障等場景。其中6月“網(wǎng)絡(luò)攻擊導(dǎo)致生產(chǎn)中心宕機”演練中，同城災(zāi)備中心接管用時58分鐘，交易中斷時長控制在1小時內(nèi)，符合RTO要求；但發(fā)現(xiàn)異地災(zāi)備中心日志同步延遲問題（最長延遲4分鐘），已優(yōu)化同步策略，7月底完成整改，延遲縮短至30秒內(nèi)。重要業(yè)務(wù)系統(tǒng)應(yīng)急預(yù)案均已更新至2025版，包含AI異常交易識別系統(tǒng)、智能風(fēng)控平臺等新增系統(tǒng)，上半年開展桌面推演6次，現(xiàn)場演練2次，參與人員覆蓋率95%（未覆蓋人員為新入職員工，已安排9月補訓(xùn)）。人員安全意識與外包管理方面，2025年18月開展安全培訓(xùn)12場（含線上+線下），覆蓋全體員工（2300人），培訓(xùn)內(nèi)容包括《個人信息保護法》解讀、新型網(wǎng)絡(luò)釣魚防范、數(shù)據(jù)安全操作規(guī)范等，考核通過率98.7%（未通過人員已安排補考，8月底全部達標(biāo)）。外包管理嚴格執(zhí)行“準(zhǔn)入監(jiān)控退出”全流程，2025年合作外包服務(wù)商共17家（其中信息科技類7家），均通過安全資質(zhì)審查（具備ISO27001認證、國家信息安全服務(wù)資質(zhì)），簽訂包含數(shù)據(jù)安全、保密義務(wù)、違約責(zé)任的專項協(xié)議。日常監(jiān)控通過月度安全報告、季度現(xiàn)場檢查實施，18月發(fā)現(xiàn)2家服務(wù)商存在日志留存不完整問題（未達到6個月要求），已下發(fā)整改通知，8月底前完成日志系統(tǒng)升級，留存周期延長至1年。自查發(fā)現(xiàn)的主要問題包括：一是部分分支機構(gòu)終端設(shè)備未完全納入零信任管理（涉及3家二級分行，共127臺設(shè)備），主要因老舊設(shè)備不支持新認證協(xié)議；二是客戶信息查詢?nèi)罩敬嬖谧侄稳笔Вㄈ绮糠植樵兾从涗洸僮鱅P），涉及2025年57月日志數(shù)據(jù)；三是第三方支付接口安全檢測頻率不足（目前每季度一次，根據(jù)最新監(jiān)管要求應(yīng)每月一次）。針對問題整改，我行已制定專項計劃：對于終端設(shè)備問題，9月底前完成老舊設(shè)備替換（采購支持新協(xié)議的終端130臺），同步對暫未替換設(shè)備實施物理隔離+人工審批訪問；日志缺失問題，8月20日前完成日志采集系統(tǒng)升級，補錄57月缺失字段，后續(xù)每日核查日志完整性；第三方支付接口檢測