T-NIFA 22-2023 金融數(shù)據(jù)安全應(yīng)急響應(yīng)和處置指引

ICS03.060CCS

A T/NIFA

22—2023金融數(shù)據(jù)安全應(yīng)急響應(yīng)和處置

2023-11-10

T/NIFA

22—2023前言

................................................................................. II1

范圍

................................................................................ 12

規(guī)范性引用文件

...................................................................... 13

術(shù)語(yǔ)與定義

.......................................................................... 14

縮略語(yǔ)

..............................................................................25

應(yīng)急響應(yīng)與處置框架

..................................................................26

應(yīng)急響應(yīng)處置能力建設(shè)

................................................................ 36.1

組織建設(shè)

........................................................................ 36.2

制度流程

........................................................................ 56.3

技術(shù)工具

........................................................................ 76.4

人員能力

........................................................................ 77

金融數(shù)據(jù)安全事件分類分級(jí)

............................................................ 77.1

事件分類

........................................................................ 77.2

事件分級(jí)

........................................................................ 88

應(yīng)急響應(yīng)流程

....................................................................... 108.1

安全監(jiān)測(cè)

....................................................................... 108.2

分級(jí)響應(yīng)

....................................................................... 108.3

溯源分析

....................................................................... 108.4

影響評(píng)估

....................................................................... 118.5

處置恢復(fù)

....................................................................... 118.6

上報(bào)主管部門

................................................................... 128.7

復(fù)盤總結(jié)

....................................................................... 12附錄

A（資料性）數(shù)據(jù)安全事件向主管部門報(bào)告相關(guān)要求.................................... 13參考文獻(xiàn)

............................................................................. 16T/NIFA

—2023 本文件按照GB/T

1.1—《標(biāo)準(zhǔn)化工作導(dǎo)則

第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》和GB/T20004.1—2016《團(tuán)體標(biāo)準(zhǔn)化

第1部分：良好行為指南》給出的規(guī)則起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)提出。本文件由中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)歸口。沃移動(dòng)通信有限公司、北京三快科技有限公司。馮朝、王嵩賀、鄧康、李娜、崔新煒、安錦程、隆峰、焦凡、張蕊、劉暢、唐福喜、秦雪、宋文娣。IIT/NIFA

22—20231 范圍本文件規(guī)定了金融數(shù)據(jù)安全應(yīng)急響應(yīng)和處置的整體框架，明確了金融數(shù)據(jù)安全事件應(yīng)急響應(yīng)處置能力建設(shè)要素和指南、金融數(shù)據(jù)安全事件分類分級(jí)的原則和定義以及安全事件應(yīng)急響應(yīng)流程。本文件適用于指導(dǎo)金融機(jī)構(gòu)開展金融數(shù)據(jù)安全應(yīng)急響應(yīng)和處置工作，并為主管部門和第三方測(cè)評(píng)機(jī)構(gòu)等單位開展金融數(shù)據(jù)安全應(yīng)急處置檢查和評(píng)估工作提供參考。2 規(guī)范性引用文件文件。JR/T

0197—2020

金融數(shù)據(jù)安全

數(shù)據(jù)安全分級(jí)指南3 術(shù)語(yǔ)與定義下列術(shù)語(yǔ)和定義適用于本文件。3.1金融數(shù)據(jù) financial

金融機(jī)構(gòu)開展金融業(yè)務(wù)、提供金融服務(wù)以及日常經(jīng)營(yíng)管理所需或產(chǎn)生的各類金融數(shù)據(jù)。該類金融數(shù)據(jù)可用傳統(tǒng)金融數(shù)據(jù)處理技術(shù)或大金融數(shù)據(jù)處理技術(shù)進(jìn)行組織、存儲(chǔ)、計(jì)算、分析和管理。［來源：JR/T

0197—2020，3.10］3.2數(shù)據(jù)安全事件 data

security

incident件。3.3數(shù)據(jù)安全事件應(yīng)急響應(yīng)data

security

emergency

response機(jī)構(gòu)為了應(yīng)對(duì)數(shù)據(jù)安全事件的發(fā)生所做的準(zhǔn)備，以及在事件發(fā)生后所采取的措施。3.4數(shù)據(jù)安全事件應(yīng)急響應(yīng)演練

data

security

incident

emergency

exercisesT/NIFA

—2023開展應(yīng)急處置的活動(dòng)。4 縮略語(yǔ)下列縮略語(yǔ)適用于本文件。BIA：業(yè)務(wù)影響分析（business

analysis）DLP：數(shù)據(jù)泄漏防護(hù)（data

loss

prevention）DRP：災(zāi)難恢復(fù)計(jì)劃（disaster

recovery

planning）SRC：安全響應(yīng)中心（security

response

center）5 應(yīng)急響應(yīng)與處置框架金融數(shù)據(jù)安全應(yīng)急響應(yīng)與處置框架如圖1所示。圖1

應(yīng)急響應(yīng)與處置框架金融數(shù)據(jù)安全應(yīng)急響應(yīng)與處置框架由如下五部分組成：a) 應(yīng)急響應(yīng)原則：1) 渠道建設(shè)等，并通過開展應(yīng)急演練提高數(shù)據(jù)安全事件應(yīng)對(duì)的能力；2) 低事件對(duì)內(nèi)對(duì)外的危害和影響；3) 和蔓延；4) 較高一級(jí)數(shù)據(jù)安全事件進(jìn)行定級(jí)處理；5)間內(nèi)阻止數(shù)據(jù)風(fēng)險(xiǎn)的繼續(xù)擴(kuò)大，降低金融數(shù)據(jù)安全事件的負(fù)面影響。b) 應(yīng)急響應(yīng)處置能力建設(shè)：明確機(jī)構(gòu)在金融數(shù)據(jù)安全應(yīng)急領(lǐng)域應(yīng)具備的能力：1) 組織建設(shè)：金融數(shù)據(jù)安全事件應(yīng)急相關(guān)組織和團(tuán)隊(duì)的設(shè)立、職責(zé)分工和溝通協(xié)作；T/NIFA

22—20232) 制度流程：相關(guān)組織在金融數(shù)據(jù)安全事件應(yīng)急方面的制度和執(zhí)行流程；3) 件應(yīng)急響應(yīng)工作；4) 人員能力：從事金融數(shù)據(jù)安全應(yīng)急和處置的人員需要具備的知識(shí)和技能等。c) 件制定有針對(duì)性的應(yīng)急處置策略和流程，是快速有效處置事件的基礎(chǔ)：1) 件主要將損害后果作為主要的分類原則；2) 定性與定量相結(jié)合的方式。d) 應(yīng)急響應(yīng)處置流程：1) 機(jī)制；2) 事中：根據(jù)應(yīng)急預(yù)案和事件的定級(jí)，采用分級(jí)的應(yīng)急響應(yīng)和處置；3) 應(yīng)急預(yù)案。如需要向主管部門或其他數(shù)據(jù)安全管理機(jī)構(gòu)上報(bào)的，進(jìn)行及時(shí)上報(bào)。e) 快速響應(yīng)：1) 內(nèi)部運(yùn)維感知：通過安全審計(jì)等方式對(duì)可能導(dǎo)致數(shù)據(jù)安全事件的風(fēng)險(xiǎn)進(jìn)行預(yù)警；2) 要求等；3) SRCSRC修復(fù)等；4) 批量客訴：從機(jī)構(gòu)相關(guān)業(yè)務(wù)的客訴信息中，獲取和分析金融數(shù)據(jù)安全相關(guān)信息；5) 6 應(yīng)急響應(yīng)處置能力建設(shè)6.1組織建設(shè)6.1.1 組織架構(gòu)機(jī)構(gòu)應(yīng)制定金融數(shù)據(jù)安全應(yīng)急和處置的組織架構(gòu)，明確應(yīng)急響應(yīng)的相關(guān)組織或團(tuán)隊(duì)的職責(zé)分工及2所示。T/NIFA

—2023圖2

應(yīng)急響應(yīng)組織架構(gòu)金融數(shù)據(jù)安全應(yīng)急和處置組織架構(gòu)分為外部組織和內(nèi)部組織兩大部分。外部組織包括上級(jí)主管單位或部門、外部協(xié)同機(jī)構(gòu)：a)

上級(jí)主管單位或部門主要負(fù)責(zé)下發(fā)應(yīng)急響應(yīng)指令給機(jī)構(gòu)內(nèi)部的應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組，接收機(jī)構(gòu)上報(bào)的金融數(shù)據(jù)安全事件報(bào)告或應(yīng)急處置結(jié)果等；b)

情況并獲得相應(yīng)的支持。內(nèi)部組織劃分基于GB/T

—2009中6.3技術(shù)保障團(tuán)隊(duì)、日常運(yùn)行團(tuán)隊(duì)、應(yīng)急響應(yīng)專家團(tuán)隊(duì)。6.1.2 應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組應(yīng)至少包含首席安全官、法務(wù)負(fù)責(zé)人、合規(guī)負(fù)責(zé)人、公關(guān)負(fù)責(zé)人、技術(shù)負(fù)責(zé)人、業(yè)務(wù)負(fù)責(zé)人，并由首席安全官牽頭推進(jìn)相關(guān)工作。主要職責(zé)包括：a) 對(duì)應(yīng)急響應(yīng)工作的承諾和支持，包括發(fā)布正式文件、提供必要資源等；b) 審核并批準(zhǔn)應(yīng)急響應(yīng)策略和計(jì)劃；c) 批準(zhǔn)和監(jiān)督應(yīng)急響應(yīng)計(jì)劃的執(zhí)行；d) 負(fù)責(zé)機(jī)構(gòu)內(nèi)外部的協(xié)調(diào)工作；e)負(fù)責(zé)高等級(jí)安全事件應(yīng)急處置方案的決策；f) 宣布重大應(yīng)急響應(yīng)狀態(tài)的降級(jí)或解除；g) 決定重大的處置措施和新聞報(bào)道的重大事項(xiàng)；h) 向上級(jí)單位報(bào)告應(yīng)急管理工作情況。6.1.3 應(yīng)急響應(yīng)實(shí)施團(tuán)隊(duì)的數(shù)據(jù)安全官，也應(yīng)納入應(yīng)急響應(yīng)實(shí)施團(tuán)隊(duì)。主要職責(zé)包括：T/NIFA

22—2023a)

貫徹執(zhí)行應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組的工作要求；b)

確定應(yīng)急響應(yīng)策略和等級(jí)；c)

制定和實(shí)施數(shù)據(jù)安全事件的具體應(yīng)急處置工作；d)

對(duì)數(shù)據(jù)安全事件影響情況進(jìn)行分析和評(píng)估；e)

收集分析對(duì)數(shù)據(jù)安全突發(fā)事件應(yīng)急處置過程中的數(shù)據(jù)信息和日志；f)

向應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組報(bào)告應(yīng)急處置進(jìn)展情況和事態(tài)發(fā)展情況；g)

督促相關(guān)部門進(jìn)行數(shù)據(jù)安全事件處置的培訓(xùn)及預(yù)案的演練；h)

負(fù)責(zé)數(shù)據(jù)安全事件發(fā)生時(shí)的損失控制和損害評(píng)估。6.1.4 技術(shù)保障團(tuán)隊(duì)技術(shù)保障團(tuán)隊(duì)的主要職責(zé)包括：a) 為數(shù)據(jù)安全事件的處置工作提供基礎(chǔ)技術(shù)與工具等保障；b) 實(shí)施數(shù)據(jù)安全事件的分析排查及溯源；c) 協(xié)助配合應(yīng)急響應(yīng)實(shí)施團(tuán)隊(duì)及時(shí)有效應(yīng)對(duì)數(shù)據(jù)安全事件。6.1.5 日常運(yùn)行團(tuán)隊(duì)日常運(yùn)行團(tuán)隊(duì)的主要職責(zé)包括：a) 負(fù)責(zé)日常數(shù)據(jù)安全的監(jiān)測(cè)工作；b) 負(fù)責(zé)數(shù)據(jù)備份與恢復(fù)的日常管理；c)當(dāng)數(shù)據(jù)安全事件發(fā)生時(shí)，及時(shí)報(bào)告應(yīng)急響應(yīng)實(shí)施團(tuán)隊(duì)，并協(xié)助處置；d) 配合支撐數(shù)據(jù)安全事件發(fā)生時(shí)的損失控制和損害評(píng)估。6.1.6 應(yīng)急響應(yīng)專家團(tuán)隊(duì)?wèi)?yīng)急響應(yīng)專家團(tuán)隊(duì)的主要職責(zé)包括：a) 對(duì)重大數(shù)據(jù)安全事件進(jìn)行評(píng)估，提出啟動(dòng)應(yīng)急響應(yīng)級(jí)別的建議；b) 研究分析數(shù)據(jù)安全事件的相關(guān)情況及發(fā)展趨勢(shì)，為應(yīng)急響應(yīng)提供咨詢或提出建議；c) 分析數(shù)據(jù)安全事件原因及造成的危害，為應(yīng)急響應(yīng)提供技術(shù)支持。6.2 制度流程6.2.1 概述據(jù)安全風(fēng)險(xiǎn)處置管理指南、數(shù)據(jù)安全事件應(yīng)急預(yù)案、數(shù)據(jù)安全事件分類分級(jí)標(biāo)準(zhǔn)。達(dá)成一致。在組織戰(zhàn)略、業(yè)務(wù)流程、客戶需求等發(fā)生重大變化時(shí)，應(yīng)對(duì)應(yīng)急響應(yīng)制度進(jìn)行評(píng)審和調(diào)整。6.2.2 數(shù)據(jù)安全事件應(yīng)急管理制度數(shù)據(jù)安全事件應(yīng)急管理制度用于定義應(yīng)急處置全鏈路的總體要求和標(biāo)準(zhǔn)流程，主要內(nèi)容包括但不限于：a) 數(shù)據(jù)安全事件應(yīng)急管理的總體原則；b) 數(shù)據(jù)安全事件應(yīng)急事件分類和分級(jí)定義；c) 數(shù)據(jù)安全事件應(yīng)急管理組織機(jī)構(gòu)及職責(zé)分工；d) 應(yīng)急預(yù)案制定要求和應(yīng)急演練機(jī)制要求；T/NIFA

—2023e) 機(jī)制、對(duì)主管單位或部門報(bào)送機(jī)制、對(duì)媒體及用戶信息披露機(jī)制；f)數(shù)據(jù)安全事件復(fù)盤整改、定責(zé)追責(zé)機(jī)制。6.2.3 數(shù)據(jù)安全事件應(yīng)急演練制度據(jù)安全宣傳教育，提高全員風(fēng)險(xiǎn)防范意識(shí)。數(shù)據(jù)安全事件應(yīng)急演練制度包括但不限于：a) 數(shù)據(jù)安全事件應(yīng)急演練原則；b) GB/T38645—20206章描述；c) 數(shù)據(jù)安全事件應(yīng)急演練規(guī)劃，包括演練形式、頻次、規(guī)模、時(shí)間、地點(diǎn)等；d) 級(jí)、演練形式、演練規(guī)模等，調(diào)整不同的團(tuán)隊(duì)進(jìn)行演練；e) 應(yīng)急演練實(shí)施過程。6.2.4 數(shù)據(jù)安全風(fēng)險(xiǎn)處置管理指南數(shù)據(jù)安全風(fēng)險(xiǎn)處置管理指南是通過業(yè)務(wù)影響分析（）、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估和個(gè)人信息保護(hù)影響處置指南主要內(nèi)容包括：a) 數(shù)據(jù)安全風(fēng)險(xiǎn)排摸機(jī)制以及由此形成的數(shù)據(jù)安全風(fēng)險(xiǎn)矩陣；b) 數(shù)據(jù)安全風(fēng)險(xiǎn)定級(jí)標(biāo)準(zhǔn)；c) 數(shù)據(jù)安全風(fēng)險(xiǎn)處置流程；d) 數(shù)據(jù)安全風(fēng)險(xiǎn)處置時(shí)效要求；e) 數(shù)據(jù)安全風(fēng)險(xiǎn)通知對(duì)象、升級(jí)通知規(guī)則、延期處置情形等。6.2.5 數(shù)據(jù)安全事件應(yīng)急預(yù)案6.2.5.1 場(chǎng)景化應(yīng)急預(yù)案于：a) 具體風(fēng)險(xiǎn)場(chǎng)景、涉及的具體業(yè)務(wù)或產(chǎn)品、可能發(fā)生的數(shù)據(jù)安全事件的類別和級(jí)別；b) 應(yīng)急響應(yīng)組織及人員；c) 續(xù)處置等環(huán)節(jié)；d)應(yīng)急流程中每個(gè)環(huán)節(jié)涉及的操作人、具體執(zhí)行動(dòng)作（包含但不限于涉及的工具、系統(tǒng)、模板、口徑）、操作時(shí)效、輸出結(jié)果、信息傳遞方式。6.2.5.2 應(yīng)急預(yù)案有效性評(píng)估為了確保應(yīng)急預(yù)案的有效性，應(yīng)針對(duì)預(yù)案進(jìn)行有效性評(píng)估，并制定優(yōu)化策略。包括但不限于：a) 具體有效性評(píng)估流程及規(guī)范，應(yīng)具備可實(shí)施性；b) 關(guān)要求時(shí)，應(yīng)及時(shí)予以優(yōu)化改進(jìn)；T/NIFA

22—2023c) 應(yīng)急預(yù)案有效性評(píng)估，至少每年開展一次，遇業(yè)務(wù)重大調(diào)整，應(yīng)及時(shí)更新應(yīng)急預(yù)案。6.2.6 數(shù)據(jù)安全事件分類分級(jí)標(biāo)準(zhǔn)數(shù)據(jù)安全事件定級(jí)中應(yīng)考慮對(duì)國(guó)家安全、社會(huì)穩(wěn)定、公眾權(quán)益、組織利益和聲譽(yù)的影響程度評(píng)價(jià)，訴訟、業(yè)務(wù)連續(xù)性影響、資損影響。6.3 技術(shù)工具數(shù)據(jù)安全應(yīng)急響應(yīng)的技術(shù)工具通過自動(dòng)化的方式支撐數(shù)據(jù)安全應(yīng)急響應(yīng)全流程，提升應(yīng)急響應(yīng)工a)

風(fēng)險(xiǎn)監(jiān)測(cè)：主要用于對(duì)圖1中信息感知渠道進(jìn)行統(tǒng)一管理，收集所有信息感知渠道獲取的風(fēng)險(xiǎn)及時(shí)采取相應(yīng)的措施，提高機(jī)構(gòu)的風(fēng)險(xiǎn)感知能力和安全防范能力；b)

ID特征數(shù)據(jù)索引和溯源邏輯編排等方面大幅提升溯源效率；c)

效。響應(yīng)編排能力可通過應(yīng)急預(yù)案管理和響應(yīng)流程編排，保障事件被按照正確的響應(yīng)流程處置，并通過在線聯(lián)動(dòng)和處置服務(wù)在線化接入等提升事件的響應(yīng)處置效率；d)

惡意行為分析工具等通用性技術(shù)工具進(jìn)行數(shù)據(jù)安全事件的應(yīng)急響應(yīng)，及時(shí)發(fā)現(xiàn)被攻陷的信息系統(tǒng)，形成數(shù)據(jù)安全事件應(yīng)急響應(yīng)的標(biāo)準(zhǔn)化技術(shù)動(dòng)作。6.4 人員能力響應(yīng)處置，實(shí)現(xiàn)應(yīng)急響應(yīng)團(tuán)隊(duì)技術(shù)能力的提升。人員需要提升的能力主要包括：a) 對(duì)數(shù)據(jù)安全法律法規(guī)、金融行業(yè)監(jiān)管政策、國(guó)家與金融行業(yè)數(shù)據(jù)安全技術(shù)標(biāo)準(zhǔn)的了解與熟悉；b) 對(duì)數(shù)據(jù)安全、應(yīng)急響應(yīng)工作框架模型、技能、安全意識(shí)、一般處置方法流程的了解與熟悉；c) 對(duì)內(nèi)部數(shù)據(jù)安全應(yīng)急響應(yīng)管理制度、規(guī)范、辦法的熟悉與精通；d) 對(duì)內(nèi)部數(shù)據(jù)安全應(yīng)急響應(yīng)各總體預(yù)案、場(chǎng)景預(yù)案的熟悉與精通；e)參加與實(shí)施過多種場(chǎng)景的應(yīng)急預(yù)案的培訓(xùn)與演練；f) 選擇并輪換進(jìn)行。7 金融數(shù)據(jù)安全事件分類分級(jí)7.1 事件分類7.1.1事件分類原則金融數(shù)據(jù)安全事件可能由故意行為或意外行為引起，也可能由某些控制失效或不可抗力等原因引因誤操作、軟硬件缺陷、安全意識(shí)不足或電磁泄露等原因?qū)е聰?shù)據(jù)被未授權(quán)人知悉的數(shù)據(jù)安全事件，一般為被上，移動(dòng)介質(zhì)在傳遞過程中不慎丟失，被不法出于獲利、炫技等目的通過技術(shù)手段攻擊、非法售賣等途徑獲取數(shù)據(jù)的數(shù)）通過滲透攻擊、惡意軟件竊取系統(tǒng)數(shù)據(jù)；惡意破壞等）、技術(shù)原因（病毒、勒索軟件等）、系統(tǒng)故障等因素導(dǎo)致數(shù)對(duì)數(shù)據(jù)的內(nèi)容、屬性等進(jìn)行增加、刪除、修改導(dǎo)致數(shù)據(jù)的完整性遭到破壞數(shù)據(jù)的使用超出了預(yù)先約定的目的、T/NIFA

—2023件。7.1.2事件分類定義金融數(shù)據(jù)安全事件分類定義如表1所示。表1

金融數(shù)據(jù)安全事件分類定義7.2 事件分級(jí)7.2.1 事件分級(jí)要素的方式。JR/T

0197—202054321級(jí)。遭到破壞的數(shù)據(jù)的級(jí)別越高，導(dǎo)致的數(shù)據(jù)安全事件的影響越大，則相應(yīng)的數(shù)據(jù)安全事件等級(jí)越高。人權(quán)益。影響程度：主要包括影響范圍和影響嚴(yán)重程度。影響范圍通常定量評(píng)估，如被破壞的數(shù)據(jù)的量級(jí)，

5000

5000

級(jí)以上金融數(shù)據(jù)遭泄露、篡改、毀損、丟失條數(shù)≥1

濫用等影響用戶數(shù)量≥1000

[10,50)獲取、出售或者提供敏感個(gè)人信息[100,500)以內(nèi)的；非法獲取、出售或者提供其他個(gè)人信息[1000,5000)

[1000

篡改、濫用等影響用戶數(shù)量在[100

因數(shù)據(jù)安全風(fēng)險(xiǎn)受到主管部門或行政機(jī)關(guān)的警告或行政整改要求，對(duì)機(jī)構(gòu)構(gòu)成較大不良負(fù)面影[100

(0

[100,1000)

級(jí)以上金融數(shù)據(jù)遭泄露、篡改、毀損、丟失條數(shù)[100

失、篡改、濫用等影響用戶數(shù)量

合作伙伴經(jīng)機(jī)構(gòu)授權(quán)獲取的

級(jí)以上金融數(shù)據(jù)發(fā)生泄露條數(shù)超過

丟失、篡改、濫用等影響用戶數(shù)量

10

級(jí)以上金融數(shù)據(jù)遭泄露、篡改、毀損、丟失條數(shù)(0,100

改、濫用等影響用戶數(shù)量

合作伙伴經(jīng)機(jī)構(gòu)授權(quán)獲取的

級(jí)以上金融數(shù)據(jù)發(fā)生泄露條數(shù)[10

,100

取、丟失、篡改、濫用等影響用戶數(shù)量[1

T/NIFA

22—2023影響的用戶量級(jí)等；影響嚴(yán)重程度通常定性評(píng)估，從高到低分為特別嚴(yán)重影響、嚴(yán)重影響、一般影響。7.2.2 事件分級(jí)定義2所示，如行業(yè)主管部門有具體要求，則具體定級(jí)標(biāo)準(zhǔn)根據(jù)行業(yè)主管部門要求執(zhí)行。表2

金融數(shù)據(jù)安全事件分級(jí)定義T/NIFA

—20238應(yīng)急響應(yīng)流程8.1 安全監(jiān)測(cè)安全監(jiān)測(cè)是判斷是否需要進(jìn)入應(yīng)急處置狀態(tài)的觸發(fā)點(diǎn)，包括安全監(jiān)控和探測(cè)發(fā)現(xiàn)兩個(gè)階段。分析和識(shí)別可能發(fā)生或已經(jīng)發(fā)生的數(shù)據(jù)安全事件。安全監(jiān)測(cè)需要對(duì)日常的IT控，數(shù)據(jù)增量監(jiān)控，數(shù)據(jù)鏈路的流動(dòng)狀態(tài)等指標(biāo)，環(huán)比過去24小時(shí)的指標(biāo)對(duì)比，上移10%則定義為一般風(fēng)險(xiǎn)預(yù)警，上移20%-40%則定義為較大風(fēng)險(xiǎn)預(yù)警，上移40%-100%則定義為重大風(fēng)險(xiǎn)預(yù)警。同時(shí)在基礎(chǔ)據(jù)集中輸出等。8.2分級(jí)響應(yīng)案、響應(yīng)時(shí)效等。的響應(yīng)資源，保障事件最終影響范圍可控，同時(shí)組織可接受投入資源大小。式（線上、線下），響應(yīng)時(shí)效，同步范圍，上報(bào)范圍，觸發(fā)范圍。推廣期內(nèi)，響應(yīng)等級(jí)可以合理上移，然后關(guān)聯(lián)上述的響應(yīng)等級(jí)指標(biāo)。針對(duì)不同的數(shù)據(jù)安全事件等級(jí)，分級(jí)響應(yīng)和同步機(jī)制如下：a) 重大事件及以上等級(jí)事件，應(yīng)急響應(yīng)實(shí)施團(tuán)隊(duì)?wèi)?yīng)在獲悉應(yīng)急事件后10分鐘內(nèi)報(bào)送應(yīng)急響應(yīng)領(lǐng)管理層匯報(bào)事態(tài)進(jìn)展，由機(jī)構(gòu)最高管理層進(jìn)行重要事項(xiàng)的決策；b) 高管理層進(jìn)行重要事項(xiàng)的決策；c) 一般事件，應(yīng)急響應(yīng)實(shí)施團(tuán)隊(duì)?wèi)?yīng)在獲悉應(yīng)急事件后2小時(shí)內(nèi)報(bào)送應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組，由應(yīng)急響領(lǐng)導(dǎo)小組進(jìn)行重要事項(xiàng)的決策。8.3溯源分析發(fā)生金融數(shù)據(jù)安全事件后，應(yīng)對(duì)事件的發(fā)生時(shí)間、威脅來源、風(fēng)險(xiǎn)主體和事件原因進(jìn)行溯源分析。不同安全事件分析動(dòng)作存在差異，包含但不限于以下動(dòng)作：a)

據(jù)類型、數(shù)據(jù)量級(jí)等，確定情報(bào)數(shù)據(jù)為本機(jī)構(gòu)相關(guān)數(shù)據(jù)，并驗(yàn)證數(shù)據(jù)安全性是否遭到損害；10T/NIFA

22—2023b)

疑對(duì)象，內(nèi)部系統(tǒng)、設(shè)備、網(wǎng)絡(luò)或人員，以及發(fā)起訪問或操作的威脅源頭；c)

據(jù)使用不合規(guī)、數(shù)據(jù)訪問權(quán)限管控不當(dāng)和系統(tǒng)漏洞等；d)

威脅，分析其他攻擊者或違規(guī)者的威脅行為；e)

應(yīng)的數(shù)據(jù)安全風(fēng)險(xiǎn)以及已經(jīng)排查探明的具體威脅等信息，并聯(lián)系合作伙伴進(jìn)行聯(lián)合排查。8.4 影響評(píng)估8.4.1概述等級(jí)的響應(yīng)處置方案。根據(jù)風(fēng)險(xiǎn)清單可指導(dǎo)后續(xù)對(duì)不同風(fēng)險(xiǎn)的處置恢復(fù)。8.4.2 影響評(píng)估階段影響評(píng)估按照響應(yīng)階段不同分為事前評(píng)估、事中評(píng)估和事后評(píng)估。a)

以此作為參考依據(jù)輔助機(jī)構(gòu)評(píng)判需要執(zhí)行何種等級(jí)的應(yīng)急響應(yīng)動(dòng)作。b)

需要機(jī)構(gòu)即刻提升事件等級(jí)，并升級(jí)事件處置；反之則可以適當(dāng)降級(jí)處置。c)

指標(biāo)都清晰刻畫后得到的結(jié)論。8.4.3 影響評(píng)估內(nèi)容a)

業(yè)務(wù)影響：事件是否會(huì)引發(fā)系統(tǒng)連續(xù)性、系統(tǒng)可靠性或服務(wù)能力下降，影響業(yè)務(wù)正常運(yùn)轉(zhuǎn)；b)

財(cái)務(wù)影響：事件是否會(huì)引發(fā)公司業(yè)務(wù)營(yíng)收減少或向用戶或者合作伙伴進(jìn)行資金賠償；c)

標(biāo)準(zhǔn)；d)

號(hào)密碼泄漏，從而導(dǎo)致設(shè)備、服務(wù)器或應(yīng)用存在被入侵或攻擊的風(fēng)險(xiǎn)；e)

f)

損害其品牌價(jià)值。8.5 處置恢復(fù)處置恢復(fù)主要基于開展。機(jī)構(gòu)發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)時(shí)即應(yīng)啟動(dòng)DRP，旨在遏制風(fēng)險(xiǎn)范圍繼續(xù)擴(kuò)大，或消除風(fēng)險(xiǎn)對(duì)機(jī)構(gòu)的影響。同時(shí)，DRP可以在同質(zhì)或相同的數(shù)據(jù)安全事件上排查是否還有殘留風(fēng)險(xiǎn)或隱11T/NIFA

—2023藏風(fēng)險(xiǎn)。處置過程中宜注意不應(yīng)造成次生或衍生數(shù)據(jù)安全事件。DRP的主要關(guān)注內(nèi)容包括但不限于：a) 網(wǎng)絡(luò)訪問控制、賬號(hào)權(quán)限控制、應(yīng)用漏洞修復(fù)、設(shè)備凍結(jié)、賬戶資金限額等手段；b) 進(jìn)行修復(fù)，特別重大情形可暫停接口調(diào)用，甚至終止合作；c) 負(fù)面聲譽(yù)風(fēng)險(xiǎn)等提前進(jìn)行防護(hù)和準(zhǔn)備，遏制事件影響范圍繼續(xù)擴(kuò)大；d) 律法規(guī)要求執(zhí)行利害人告知、上報(bào)主管部門等義務(wù)；e) 相關(guān)證據(jù)材料。8.6 上報(bào)主管部門門具體要求執(zhí)行。相關(guān)法律法規(guī)要求見附錄A。8.7 復(fù)盤總結(jié)況。12

得向他人提供個(gè)人信息。但是，經(jīng)過處理無法識(shí)別特定個(gè)人且不能復(fù)原的除外；

（一）發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害；（二）個(gè)人信息處理者采取的補(bǔ)救措施和個(gè)人可以采取的減輕危害的措施；（三）個(gè)人信息處理者的聯(lián)系方式。

者被篡改；

72

的要求及時(shí)報(bào)告。事后報(bào)告事項(xiàng)分為一類事項(xiàng)和二類事項(xiàng)。

（一）涉及影響社會(huì)公共秩序的群體性事件或者重大負(fù)面輿情的；5000500（四）因突發(fā)情況導(dǎo)致支付業(yè)務(wù)中斷或者功能故障，超過小時(shí)或者影響支付業(yè)務(wù)筆數(shù)超過T/NIFA

22—2023附

錄 A（資料性）數(shù)據(jù)安全事件向主管部門報(bào)告相關(guān)要求1310網(wǎng)絡(luò)賭博等違法犯罪活動(dòng)，造成重大影響的；戶合法權(quán)益的；區(qū)域性、系統(tǒng)性金融風(fēng)險(xiǎn)的重大風(fēng)險(xiǎn)事件和緊急情況。

（一）