本行长期以来高度重视信息安全工作，从治理、管理、技术、运营等多个层面持续建立健全信息安全工作体系，竭尽所能保护本行客户的隐私和数据安全。

（1）

强化顶层设计，不断完善信息安全治理体系

本行坚持“合规、专业、合作”的信息安全工作方针，构建自上而下的信息安全治理架构。

•成立由董事长主持的网络安全、数据安全工作议事协调机构，负责审议和批准全行网络与数据安全战略、规划和重大决策，本行在每年制定财务预算计划时，明确要求不对网络安全、数据安全建设投入设置任何金额上限，2024年，全行数据安全投入达1.34亿元人民币。

（2）

强化第三方合作管理，全面落实数据共享安全要求

• 发布《兴业银行数据外部交换安全管理办法》,针对外部数据交换活动作为数据安全保护工作中的重要场景，统一外部交换情景下的数据安全要求。通过发布《数据外部共享补充协议参考合同文本》《数据安全评估要求》《兴业银行数据安全评估报告模板》等制度和模板，提升本行三方数据交互活动的安全性及合规性，确保客户信息和金融交易数据的安全。
• 严格限制授权第三方处置客户信息的目的和用途，不会在未经客户授权的前提下将客户信息共享给本行的金融合作伙伴、关联公司和业务合作伙伴,不会将客户个人隐私数据出租、出售或提供给第三方用于客户授权范围外的用途。

（3）

夯实“人防”基础，强化安全意识宣贯与人才培育

持续构建全行宣贯培训长效机制，聚焦员工安全意识薄弱环节，创新手段方式，常态化开展“兴安全”主题活动，不断提升全体员工信息安全防范意识和能力，培育“人人有责、人人尽责”的信息安全文化体系。

培训类型	培训对象	培训次数	培训人次	培训内容
信息安全通识培训	全体内部员工及派遣制人员	177	198,222	网络安全法律法规解读、个人信息保护、社工攻击防范、账号和口令安全、钓鱼邮件识别与防范、数据安全、安全合规要求等
	新员工		2,043
安全专业技能培训	安全岗位人员	115	10,173	攻防技能、网络安全法律法规解读、网络安全设备使用、安全监测分析技术等
安全研发专业培训	研发人员	42	21,388	安全研发生命周期体系，安全需求与设计，安全编码规范，常见漏洞防范指南，安全架构师工作实务，安全研发平台和工具链，密码算法应用，软件供应链安全等

 

（4）

定期开展内外部信息安全审计

• 每年邀请外部第三方机构对本行ISO27001安全管理体系认证进行验证和复查；每年邀请外部独立测评机构对关键信息系统开展网络与信息安全风险评估；每年由外部独立审计机构开展包括信息安全控制措施在内的IT控制审计。
• 内部审计部门每年开展数据安全管理相关的合规审计，内容涵盖数据安全与个人信息保护等，通过有效的审计监督，强化数据安全的管理和落实。
• 年内对各子公司及15家一级分行开展信息科技风险管理专项审计，重点关注网络及信息安全、研发管理、业务连续性管理等领域；开展科技运维与业务连续性风险专项审计，从重要信息系统灾备的业务连续性风险、应对新技术大规模应用风险的主动性等角度，评价本行科技运维和业务连续性的风险管理水平，并将审计结果上报董事会。

关键指标	管理目标	2024年进展
信息安全体系认证覆盖率	信息安全体系认证覆盖本行全部信息系统	本行数据中心与信用卡中心运维超过90%以上的信息系统，均已获得ISO27001信息安全管理体系认证。
信息安全通识培训覆盖率	信息安全通识培训培训覆盖全体员工	全年面向全体内部员工、派遣制人员、新员工开展信息安全通识培训177场次，员工参与培训合计超过20万人次。
客户信息泄露事件数量	客户信息泄露事件“零发生”	报告期内本行未发生客户个人信息泄露事件，亦未发生因信息泄露或未履行个人信息保护相关工作要求而被监管处罚事件。