T/NIFA 22-2023 金融数据安全应急响应和处置指引

ICS03.060

CCSA11

团体标准

T/NIFA22—2023

金融数据安全应急响应和处置

指引

Guidelinesforfinancialdatasecurityemergency

responseanddisposal

2023-11-10发布2023-11-10实施

中国互联网金融协会发布

T/NIFA22—2023

目次

前言..................................................................................II

1范围.................................................................................1

2规范性引用文件.......................................................................1

3术语与定义...........................................................................1

4缩略语...............................................................................2

5应急响应与处置框架...................................................................2

6应急响应处置能力建设.................................................................3

6.1组织建设.........................................................................3

6.2制度流程.........................................................................5

6.3技术工具.........................................................................7

6.4人员能力.........................................................................7

7金融数据安全事件分类分级.............................................................7

7.1事件分类.........................................................................7

7.2事件分级.........................................................................8

8应急响应流程........................................................................10

8.1安全监测........................................................................10

8.2分级响应........................................................................10

8.3溯源分析........................................................................10

8.4影响评估........................................................................11

8.5处置恢复........................................................................11

8.6上报主管部门....................................................................12

8.7复盘总结........................................................................12

附录A（资料性）数据安全事件向主管部门报告相关要求.....................................13

参考文献..............................................................................16

I

T/NIFA22—2023

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》和GB/T

20004.1—2016《团体标准化第1部分：良好行为指南》给出的规则起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由中国互联网金融协会提出。

本文件由中国互联网金融协会归口。

本文件起草单位：中国互联网金融协会、蚂蚁科技集团股份有限公司、奇富科技股份有限公司、奇

安信科技集团股份有限公司、中国金融认证中心、济宁银行股份有限公司、重庆银行股份有限公司、维

沃移动通信有限公司、北京三快科技有限公司。

本文件主要起草人：单强、陆书春、朱勇、王新华、白晓媛、李亮、马余静、高吉兴、周杨、彭晋、

冯朝、王嵩贺、邓康、李娜、崔新炜、安锦程、隆峰、焦凡、张蕊、刘畅、唐福喜、秦雪、宋文娣。

II

T/NIFA22—2023

金融数据安全应急响应和处置指引

1范围

本文件规定了金融数据安全应急响应和处置的整体框架，明确了金融数据安全事件应急响应处置

能力建设要素和指南、金融数据安全事件分类分级的原则和定义以及安全事件应急响应流程。

本文件适用于指导金融机构开展金融数据安全应急响应和处置工作，并为主管部门和第三方测评

机构等单位开展金融数据安全应急处置检查和评估工作提供参考。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

JR/T0197—2020金融数据安全数据安全分级指南

3术语与定义

下列术语和定义适用于本文件。

3.1

金融数据financialdata

金融机构开展金融业务、提供金融服务以及日常经营管理所需或产生的各类金融数据。

注：该类金融数据可用传统金融数据处理技术或大金融数据处理技术进行组织、存储、计算、分析和管理。

［来源：JR/T0197—2020，3.10］

3.2

数据安全事件datasecurityincident

由于人为原因、软硬件缺陷或故障、恶意程序攻击或自然灾害等因素，使得网络或信息系统中的数

据被篡改、泄漏、窃取或滥用、丢失，对国家安全、公共利益或个人、机构合法权益造成负面影响的事

件。

3.3

数据安全事件应急响应datasecurityemergencyresponse

机构为了应对数据安全事件的发生所做的准备，以及在事件发生后所采取的措施。

3.4

数据安全事件应急响应演练datasecurityincidentemergencyexercises

1

T/NIFA22—2023

机构针对设定的数据安全事件模拟情形，按照应急预案所规定的职责和程序，在特定的时间和地域，

开展应急处置的活动。

4缩略语

下列缩略语适用于本文件。

BIA：业务影响分析（businessimpactanalysis）

DLP：数据泄漏防护（datalossprevention）

DRP：灾难恢复计划（disasterrecoveryplanning）

SRC：安全响应中心（securityresponsecenter）

5应急响应与处置框架

金融数据安全应急响应与处置框架如图1所示。

图1应急响应与处置框架

金融数据安全应急响应与处置框架由如下五部分组成：

a)应急响应原则：

1)充分准备：重视金融数据安全事件应急准备工作，包括应急响应处置能力建设、信息感知

渠道建设等，并通过开展应急演练提高数据安全事件应对的能力；

2)快速响应：建立金融数据安全事件快速反应的机制，果断决策，即时处理，最大程度地降

低事件对内对外的危害和影响；

3)及时上报：在金融数据安全事件处置过程中，针对事件影响进一步扩大的情况，及时对内

升级，如有需要，上报主管部门，以决策处置方式调度更多的资源，防止风险进一步泛化

和蔓延；

4)就高不就低：当金融数据安全事件等级判定指标覆盖不同的等级，难以判断级别时，按照

较高一级数据安全事件进行定级处理；

5)止损优先：处置金融数据安全突发事件所采取的措施应以风险止损为首要目标，在最短时

间内阻止数据风险的继续扩大，降低金融数据安全事件的负面影响。

b)应急响应处置能力建设：明确机构在金融数据安全应急领域应具备的能力：

1)组织建设：金融数据安全事件应急相关组织和团队的设立、职责分工和沟通协作；

2

T/NIFA22—2023

2)制度流程：相关组织在金融数据安全事件应急方面的制度和执行流程；

3)技术工具：通过技术手段和产品工具落实金融数据安全事件应急要求或自动化实现安全事

件应急响应工作；

4)人员能力：从事金融数据安全应急和处置的人员需要具备的知识和技能等。

c)金融数据安全事件分类分级：对金融数据安全事件进行分类分级，以便对不同类别和级别的事

件制定有针对性的应急处置策略和流程，是快速有效处置事件的基础：

1)事件分类：金融数据安全事件可从产生原因、攻击方式、损害后果等方面进行分类，本文

件主要将损害后果作为主要的分类原则；

2)事件分级：金融数据安全事件分级主要基于数据等级、影响对象、影响程度等要素，采用

定性与定量相结合的方式。

d)应急响应处置流程：

1)事前：通过风险排查、总结历史突发事件应对情况、建立应急预案和定期应急演练等程序，

全面梳理机构的金融数据安全应急场景。同时建立突发事件的监控、预警及应急联动处置

机制；

2)事中：根据应急预案和事件的定级，采用分级的应急响应和处置；

3)事后：处置完金融数据安全事件后，尽快组织复盘，沉淀应急手段、落实整改方案并完善

应急预案。如需要向主管部门或其他数据安全管理机构上报的，进行及时上报。

e)信息感知渠道：从多个渠道获取金融数据安全相关信息，作为事件预警的输入，以便有效应对，

快速响应：

1)内部运维感知：通过安全审计等方式对可能导致数据安全事件的风险进行预警；

2)主管部门信息：主管部门下发的金融数据安全相关信息，如：风险提示、案例通报、通知

要求等；

3)SRC：与其他SRC建立沟通协作机制，互通金融数据安全相关信息，如：协助进行漏洞验证

修复等；

4)批量客诉：从机构相关业务的客诉信息中，获取和分析金融数据安全相关信息；

5)舆情：通过对互联网上的数据安全相关事件和舆论的监测和分析，进行数据安全风险预警。

6应急响应处置能力建设

6.1组织建设

6.1.1组织架构

机构应制定金融数据安全应急和处置的组织架构，明确应急响应的相关组织或团队的职责分工及

相互协作关系，确保及时有效的实施应急响应工作。金融数据安全应急响应与处置组织架构如图2所示。

3

T/NIFA22—2023

图2应急响应组织架构

金融数据安全应急和处置组织架构分为外部组织和内部组织两大部分。外部组织包括上级主管单

位或部门、外部协同机构：

a)上级主管单位或部门主要负责下发应急响应指令给机构内部的应急响应领导小组，接收机构

上报的金融数据安全事件报告或应急处置结果等；

b)外部协同机构主要包括上下游利益相关方、新闻媒体、第三方服务机构等，与机构保持信息沟

通和协作，以进行信息互补，必要时协作开展联合应急处置。在事件发生时，能及时通报准确

情况并获得相应的支持。

内部组织划分基于GB/T24363—2009中6.3节的描述，包括应急响应领导小组、应急响应实施团队、

技术保障团队、日常运行团队、应急响应专家团队。

6.1.2应急响应领导小组

应急响应领导小组应至少包含首席安全官、法务负责人、合规负责人、公关负责人、技术负责人、

业务负责人，并由首席安全官牵头推进相关工作。主要职责包括：

a)对应急响应工作的承诺和支持，包括发布正式文件、提供必要资源等；

b)审核并批准应急响应策略和计划；

c)批准和监督应急响应计划的执行；

d)负责机构内外部的协调工作；

e)负责高等级安全事件应急处置方案的决策；

f)宣布重大应急响应状态的降级或解除；

g)决定重大的处置措施和新闻报道的重大事项；

h)向上级单位报告应急管理工作情况。

6.1.3应急响应实施团队

应急响应实施团队，由履行数据安全职责的团队牵头，此外需要至少包含法务应急接口人、合规应

急接口人、公关应急接口人、业务应急接口人。另外对于一些大型机构，不同业务部门可能配备有专门

的数据安全官，也应纳入应急响应实施团队。主要职责包括：

4

T/NIFA22—2023

a)贯彻执行应急响应领导小组的工作要求；

b)确定应急响应策略和等级；

c)制定和实施数据安全事件的具体应急处置工作；

d)对数据安全事件影响情况进行分析和评估；

e)收集分析对数据安全突发事件应急处置过程中的数据信息和日志；

f)向应急响应领导小组报告应急处置进展情况和事态发展情况；

g)督促相关部门进行数据安全事件处置的培训及预案的演练；

h)负责数据安全事件发生时的损失控制和损害评估。

6.1.4技术保障团队

技术保障团队的主要职责包括：

a)为数据安全事件的处置工作提供基础技术与工具等保障；

b)实施数据安全事件的分析排查及溯源；

c)协助配合应急响应实施团队及时有效应对数据安全事件。

6.1.5日常运行团队

日常运行团队的主要职责包括：

a)负责日常数据安全的监测工作；

b)负责数据备份与恢复的日常管理；

c)当数据安全事件发