🏛️ 银行安全合规概述

05-01 | 银行合规安全等保数据安全个保法

📌 一句话概括

银行安全合规测试是确保系统满足监管要求的"准入门槛"——包括等保2.0、数据安全法、个人信息保护法等，不满足合规要求的系统不能上线运营。

💡 银行合规框架

法规	核心要求	测试影响
等保2.0	安全通用要求+扩展要求	十大安全类目测评
数据安全法	数据分类分级、出境安全评估	数据脱敏验证、跨境传输测试
个人信息保护法	告知同意、最小必要、删除权	隐私合规检查、用户授权流程
银行业监管	银保监会技术规范	业务连续性、灾备测试

🔍 测试实战

1. 合规差距分析

操作：对照监管要求逐条比对系统现状，输出合规差距矩阵

2. 数据分类分级测试

操作：检查系统是否对数据进行分类标识（敏感/一般/核心）

指标：数据分类覆盖率（目标100%）、脱敏规则生效率

⚠️ 常见坑点

合规检查一次通过后不再复查——合规是动态要求，需持续验证
测试环境与生产环境合规脱节——测试环境未按生产标准做安全加固
忽略第三方服务商的合规要求——外包系统同样需要合规验证

📖 延伸阅读

← ← SDK审计等保2.0测试要点 → →