2025年银行第九轮安全评估自查报告.docxVIP

2025年银行第九轮安全评估自查报告

为落实银保监会《银行业金融机构信息科技风险监管要求》及《网络安全法》《数据安全法》等法律法规，我行于2025年6月至8月开展第九轮安全评估自查工作，覆盖信息科技治理、网络安全、数据安全、业务连续性、外包管理等全领域，通过制度审查、系统检测、现场访谈、模拟攻击等方式实施，现将自查情况详述如下：

在信息科技治理方面，我行已建立由首席信息官牵头，信息科技部、合规部、风险管理部组成的三级安全管理架构。2025年上半年召开4次信息科技安全委员会会议，审议通过《移动应用安全开发规范（2025修订版）》《云平台安全运营手册》等3项制度，更新《关键信息基础设施认定清单》，明确核心交易系统、客户信息管理系统等5类23个关键系统。制度执行层面，2025年18月开展制度合规性检查7次，发现3项制度条款与最新监管要求存在滞后（如跨境数据传输流程未细化），已启动修订程序，预计9月底前完成。

网络安全防护体系方面，边界防护部署下一代防火墙（NGFW）、入侵检测系统（IDS）、Web应用防火墙（WAF）共32套，核心区域实施零信任架构改造，完成终端设备身份认证、访问权限动态调整功能上线，终端接入认证覆盖率100%。针对2025年新型攻击手段（如AI驱动的钓鱼邮件、漏洞利用工具），升级邮件网关反钓鱼模块，部署AI威胁检测引擎，18月拦截恶意邮件12.3万封，检测可疑文件4.7万次，处置率100%。漏洞管理方面，通过自动化扫描与人工渗透测试结合，累计发现系统漏洞176个（其中高危21个），已修复173个（修复率98.3%），剩余3个为需版本升级的系统漏洞，已与厂商确认补丁发布时间（10月15日），同步采取访问控制临时措施。

数据安全管理严格遵循“分类分级、最小必要、全程可控”原则。数据分类分级覆盖客户信息、交易数据、内部管理数据等12类，其中客户敏感信息（身份证号、账户密码）定为最高级别（S级），占比18%；交易流水（T级）占比65%。数据全生命周期管理中，采集环节通过脱敏规则引擎自动屏蔽S级数据，开发测试环境使用经过不可逆脱敏的“影子数据”，2025年18月未发生开发环境误用真实数据事件；传输环节对跨网数据采用国密SM4加密，核心系统间传输加密覆盖率100%；存储环节S级数据加密存储率100%，定期开展密钥轮换（每季度一次）；销毁环节建立电子数据销毁台账，物理介质销毁委托有资质的第三方机构，2025年已销毁介质520份，均留存销毁证明。跨境数据方面，因跨境支付业务需要，向境外传输客户姓名、交易金额等非敏感信息（T级），已通过国家网信部门安全评估，签订数据出境标准合同，建立境外接收方安全评估机制（每半年一次），2025年上半年评估结果为“符合要求”。

业务连续性管理方面，已建成“两地三中心”灾备体系（生产中心、同城灾备中心、异地灾备中心），核心系统RTO（恢复时间目标）≤2小时，RPO（恢复点目标）≤15分钟。2025年开展灾备演练4次，覆盖数据中心断电、网络攻击导致服务中断、核心数据库故障等场景。其中6月“网络攻击导致生产中心宕机”演练中，同城灾备中心接管用时58分钟，交易中断时长控制在1小时内，符合RTO要求；但发现异地灾备中心日志同步延迟问题（最长延迟4分钟），已优化同步策略，7月底完成整改，延迟缩短至30秒内。重要业务系统应急预案均已更新至2025版，包含AI异常交易识别系统、智能风控平台等新增系统，上半年开展桌面推演6次，现场演练2次，参与人员覆盖率95%（未覆盖人员为新入职员工，已安排9月补训）。

人员安全意识与外包管理方面，2025年18月开展安全培训12场（含线上+线下），覆盖全体员工（2300人），培训内容包括《个人信息保护法》解读、新型网络钓鱼防范、数据安全操作规范等，考核通过率98.7%（未通过人员已安排补考，8月底全部达标）。外包管理严格执行“准入监控退出”全流程，2025年合作外包服务商共17家（其中信息科技类7家），均通过安全资质审查（具备ISO27001认证、国家信息安全服务资质），签订包含数据安全、保密义务、违约责任的专项协议。日常监控通过月度安全报告、季度现场检查实施，18月发现2家服务商存在日志留存不完整问题（未达到6个月要求），已下发整改通知，8月底前完成日志系统升级，留存周期延长至1年。

自查发现的主要问题包括：一是部分分支机构终端设备未完全纳入零信任管理（涉及3家二级分行，共127台设备），主要因老旧设备不支持新认证协议；二是客户信息查询日志存在字段缺失（如部分查询未记录操作IP），涉及2025年57月日志数据；三是第三方支付接口安全检测频率不足（目前每季度一次，根据最新监管要求应每月一次）。

针对问题整改，我行已制定专项计划：对于终端设备问题，9月底