本行长期以来高度重视信息安全工作,从治理、管理、技术、运营等多个层面持续建立健全信息安全工作体系,竭尽所能保护本行客户的隐私和数据安全。
强化顶层设计,不断完善信息安全治理体系
本行坚持“合规、专业、合作”的信息安全工作方针,构建自上而下的信息安全治理架构。
• 成立由董事长主持的网络安全、数据安全工作议事协调机构,负责审议和批准全行网络与数据安全战略、规划和重大决策,本行在每年制定财务预算计划时,明确要求不对网络安全、数据安全建设投入设置任何金额上限,2023年,全行数据安全投入达1.2亿元人民币。
• 董事会切实履行个人信息保护工作监督网络安全工作的监督职责,每年专题审议全行个人信息保护工作报告,2023年深入总行部门一线开展数据管理和数据安全工作专题调研,发布涉及隐私保护、数据安全的意见传导函2份并监督落实;
• 强化组织保障,在总行设立专门的个人信息保护、数据安全统筹管理部门,各级机构、总行法律合规部门、总行审计部门分别履行一二三道防线职责,各单位各司其职,分工协作,形成“归口管理,分级授权”的组织架构。
2022年底起至今年,本行引入外部专业咨询团队,严格对标国家法律、行政法规及金融行业标准,从“治理-管理-运营”以及“业务-渠道-信息系统-数据”各维度全面梳理本行个人信息处理活动,深入开展差距分析,规划数字化转型新形势下本行个人信息保护工作体系和发展蓝图。
加强安全管理,全面落实隐私与数据保护工作
构建覆盖隐私数据全生命周期的安全保护管理体系,切实提升全行各条线隐私数据保护力度。
• 开展制度建设,建立包括总体安全策略、管理办法、标准规范的三级网络与信息安全制度体系,累计发布信息安全、数据安全领域的专项制度五十多份,充分保障各项工作有规可循。尤其在隐私与数据保护领域,制定印发《兴业银行个人信息保护管理办法》《兴业银行数据安全管理办法》等专项管理制度;
• 强化监督检查,每年常态化开展对集团各单位的信息安全检查与考核评价,近几年将隐私与数据保护作为检查和考评重点,考评结果与各单位绩效挂钩。2023年,本行将飞行检查(Unannounced Inspection)作为主要检查方式,重点监督推进各单位常态化落实信息安全要求;
• 健全自身业务和产品的安全能力,践行Privacy by Design理念,推进建立个人信息保护影响评估机制,将隐私保护要求嵌入产品开发、业务流程和系统设计中,严格遵循“合法、正当、必要”原则,最小化收集客户个人信息;
• 强化数据安全管理能力建设,将数据安全纳入全面风险管理体系,建立覆盖全行各单位的数据安全管理专业岗位和团队,针对数据不同敏感级别落实差异化的安全保护措施。
本行客户享有的主要个人信息主体权利:
1. 知情权、选择权:在官网发布适用全行所有业务条线和产品的隐私政策,明确本行严格遵循最小必要原则,基于明确特定的目的处理客户个人信息,并告知客户享有的查阅、复制、更正、删除权利等权利。本行各类业务产品及应用系统仅在客户明确同意隐私政策、签署授权书并开始使用后才开始收集客户信息。
2. 查阅、复制、更正及更新权利:客户可以登录兴业银行手机银行或个人网银查阅、复制、更正及更新个人信息。
3. 撤回同意及数据删除:本行APP、网银等线上渠道均设置清晰明确的撤回同意及账户注销渠道,本行也会通过网点柜面、客服热线95561等渠道受理客户提出的业务注销和数据删除申请。本行产品和服务停止运营、客户注销业务后,本行也会主动停止处理客户个人信。
4. 举报投诉:本行构建多个客户投诉渠道,例如客服电话、官网、APP以及营业网点等,确保客户投诉渠道畅通,充分保障客户相关权益。
构建原生安全,强化信息系统生命周期管理
本行持续开展信息系统安全研发体系建设,坚持信息系统安全措施“同步规划、同步建设、同步使用”。
• 制定发布覆盖需求、设计、编码、测试、研发环境安全等各领域的标准规范,重点明确不同安全级别信息系统应当具备的各项数据安全基线和要求;
• 加强信息系统上线前的安全需求分析与安全功能设计,为每个信息系统配备专职的安全架构师,严格开展信息系统生命周期过程关键里程碑的安全审核;
• 严格落实信息系统层面的个人信息保护,全面实施个人信息的去标识化和脱敏展示,从严限制所有员工对客户个人信息的查询权限,并组织开展全行信息系统专项检查以及个人信息异常查询行为分析,增强对违规查询行为的监督和威慑力度;
• 深化密码算法技术在信息系统领域的运用,增强对信息系统重要数据在传输和存储过程中的机密性和完整性保护,包括个人网银、数字人民币在内4套重要系统密码应用的合规性、正确性、有效性已通过第三方专业测评认证;
• 强化隐私保护技术运用,建立实施完善的网络金融风控体系和模型,根据不同设备环境、业务功能、使用情境、交易风险级别等实施增强认证、可疑交易阻断等差异化安全措施。2023年,本行通过企业级数字化智能反欺诈平台监控网络金融类业务交易总笔数125.9亿笔,其中,阻断各类高风险交易1,107.95万笔,阻断交易涉及金额1,851.24亿元。
筑牢“技防”壁垒,持续开展网络攻击防护和数据安全技术能力建设
构建“事前预防、事中检测防护、事后快速处置和溯源”的网络安全防御体系,不断提高网络、信息和数据安全技术防护水平。
• 构建实战化、体系化、常态化的安全防护体系,塑造动态防御、主动防御、纵深防御、精准防御、整体防控、联防联控的安全技术能力为目标,全面组织开展网络与信息安全建设工作,已建设覆盖抗DDos攻击、Web应用防护、网页防篡改、恶意代码防护、主机安全防护、攻击溯源、防病毒、反欺诈等领域,具备事前预防、事中检测防护、事后分析溯源能力的网络安全技术防护和运营体系。
• 强化办公环境敏感信息安全,实施内部办公网络与互联网物理隔离,全面禁用普通移动存储设备,部署邮件防泄漏系统建立敏感数据外发实时监测阻断能力,严格控制敏感信息未经审批流入互联网。
• 强化渗透测试和安全漏洞管理,所有系统在投产上线前必须通过渗透测试、漏洞扫描并完成整改复测;定期开展存量信息系统的渗透测试和漏洞检测,及时发现迭代开发过程中引入的安全漏洞。
夯实监测处置能力,建立健全信息安全运营体系
以全天候全方位感知集团网络安全态势为目标,持续开展安全运营。
• 强化应急响应组织建设,成立全行协同一体的网络安全应急指挥小组和相应专项工作组;
• 全年不间断开展网络攻击监测处置,2023年共监测到高危网络攻击尝试超过3,158万次,高危实时阻拦率达到99.9%。
• 强化漏洞预警和威胁情报共享,在内部各机构间建立内部漏洞通报机制,通过集中管理运营的IT资产信息和漏洞库,保障新出现安全漏洞后能够快速准确定位并第一时间修复;
• 开展应急预案建设,制定覆盖拒绝服务、数据泄露、网络攻击、互联网仿冒应用等全场景下的安全应急预案并定期演练,同外部专业机构合作,建立网络安全威胁、数据泄露事件的监测预警机制。
强化第三方合作管理,全面落实数据共享安全要求
从业务管理和技术措施两方面构建第三方合作管理体系,严格落实数据共享安全管理要求。
• 建立IT供应商信息安全准入机制,围绕信息化产品服务采购及合作过程中的数据安全、源代码安全、个人信息保护、信息系统安全等对供应商提出明确的规范要求并开展全流程跟踪监督;
• 强化业务合作过程中对第三方的数据安全管理,全面建立台账,组织开展事前尽职调查与评估,要求第三方在合作协议中书面承诺未经本行及客户本人同意,不得擅自将涉及本行及本行客户的数据提供给其他机构;积极落实对合作机构的监督检查,2022年至今对至少10家外部合作机构开展数据安全专项检查,监督其切实履行约定的数据安全义务;
• 推动母子公司数据共享合规落地,发布并签署母子公司数据共享协议,保障本行与子公司数据共享活动的安全性、合规性。
夯实“人防”基础,强化安全意识宣贯与人才培育
聚焦员工安全意识薄弱环节,创新手段方式,常态化开展“兴安全”主题活动,形成宣贯培训长效机制,持续提升全体员工信息安全防范意识和能力。
• 通过终端屏保、行内学习平台等持续开展安全意识宣贯教育,个人信息保护等安全宣传主题屏保强制向所有在本行场地内工作的内外部各类员工终端上投放;
• 以案释法,设计制作发放侵害个人信息权益典型案例宣传手册65000本(含正式员工、派遣员工和外包员工),提升员工个人信息保护意识;
• 面向零售条线、信息系统研发等关键岗位员工(含正式员工、派遣员工和外包员工)开展个人信息保护、安全编码规范等针对性的专题培训;
• 常态化表彰先进、鼓励后进,2023年施行员工网络安全违规行为记分机制,对未导致严重后果的轻微违规行为进行专门登记管理和专项教育,防微杜渐;
• 强化专业人才培育,在全行范围内组建信息安全专家团队,以自主化、社区化形式建设信息安全技术部落,定期组织技术交流、专家培训等社区活动。本行打造“兴安全”信息安全宣贯培训长效机制,持续提升全体员工信息安全防范意识和能力。2023年,本行持续推进“兴安全”主题活动,通过电脑屏保、内部聊天软件、学习平台等多渠道持续推送员工信息安全知识科普和合规要求,培育“人人有责、人人尽责”的信息安全文化体系。
| 培训类型 | 培训对象 | 培训次数 | 培训人次 | 培训内容 |
| 信息安全通识培训 |
全体内部员工及派遣制人员 | 274 | 209,981 | 网络安全法律法规解读、个人信息保护、社工攻击防范、账号和口令安全、钓鱼邮件识别与防范、数据安全、安全合规要求等 |
| 新员工 | 799 | |||
| 安全专业技能培训 | 安全岗位人员 | 45 | 1,120 | 攻防技能、网络安全法律法规解读、网络安全设备使用、安全监测分析技术等 |
| 安全研发专业 | 研发人员 | 2 | 8,884 | 安全研发生命周期体系,安全需求与设计,安全编码规范,常见漏洞防范指南,安全架构师工作实务,安全研发平台和工具链,密码算法应用,软件供应链安全等 |
定期开展内外部信息安全审计
● 本行全面引入并落实ISO27001信息安全管理体系,每年邀请外部第三方机构对本行ISO27001安全管理体系认证进行验证和复查;
● 每年邀请外部独立测评机构对本行关键信息系统开展网络与信息安全风险评估;
● 每年由外部独立审计机构开展包括信息安全控制措施在内的IT内部控制审计;
● 每年由内部审计部门独立开展信息科技风险和网络安全专题审计。2023年,本行审计部共开展5次信息安全管理体系相关审计,包括集团部分下属机构信息科技风险管理专项审计、信息科技外包风险管理专项审计、网上银行科技风险专项审计、香港分行全面业务审计。
管理体系认证
| 外部认证类型 | 覆盖范围 | 备注 |
| 国际ISO27001信息安全管理标准与管理体系cnas/cnas双认证 | 超过总行90%的信息系统 | 本行数据中心与信用卡中心运维总行超过90%以上的信息系统,已获得ISO 27001信息安全管理体系认证。同时兴业消费金融股份公司、兴业数字金融服务股份有限公司两家子公司也已获得该认证。 |
| 金融科技产品认证 | 全量移动互联网APP | 认证评测内容覆盖移动互联网APP身份认证安全、数据安全、软件权限控制等通用安全防护能力和采集、传输、存储、使用等个人信息全生命周期的合规性。 |
| 中国信通院API安全管理和API安全能力成熟度先进级认证 | 开放银行平台 | 国内首家获得该类评估先进级(最高级)认证的银行。 |