JR/T 0071.1-2020 金融行业网络安全等级保护实施指引 第1部分:基础和术语.pdf
- 文档部分内容预览:
核心用户数据nuclearuserdata 信息系统中具有最高使用价值或保密程度,需要进行绝对保护的用户数据,该类数据的泄漏或 带来灾难性损失。 [GB/T202712006,定义3.1.25]
设备物理安全facilityphysicalsecurity 为保证信息系统的安全可靠运行,降低或阻止人为或自然因素对硬件设备安全可靠运行带来的安全 风险,对硬件设备及部件所采取的适当安全措施。 [GB/T21052—2007,定义3.3]
设备物理安全facilityphysicalsecurity 为保证信息系统的安全可靠运行,降低或阻止人为或自然因素对硬件设备安全可靠运行带来的安全 风险,对硬件设备及部件所采取的适当安全措施。 [GB/T21052—2007,定义3.3]
系统物理安全systemphysicalsecurity 为保证信息系统的安全可靠运行,降低或阻止人为或自然因素从物理层面对信息系统保密性、完整 性、可用性带来的安全威胁,从系统的角度采取的适当安全措施。 [GB/T21052—2007,定义3.5]
系统物理安全systemphysicalsecurity 为保证信息系统的安全可靠运行,降低或阻止人为或自然因素从物理层面对信息系统保密性、完整 性、可用性带来的安全威胁铁路标准规范范本,从系统的角度采取的适当安全措施。 [GB/T21052—2007,定义3.5]
灾难备份backupfordisasterrecovery 为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力 进行备份的过程。 [GB/T 20988—2007. 定义3.2]
灾难备份中心backupcenterfordisasterrecovery 用于灾难发生后接替主系统进行数据处理和支持关键业务功能运作的场所,可提供灾难备份系统 备用的基础设施和专业技术支持及运行维护管理能力,此场所内或周边可提供备用的生活设施。 [GB/T20988—2007,定义3.1]
分析业务功能及其相关信息系统资源、评估特定灾难对各种业务功能的影响的过程, [GB/T20988—2007,定义3.5]
灾难恢复预案disasterrecoveryplan 定义信息系统灾难恢复过程中所需的任务、行动、数据和资源的文件。用于指导相关人员在预定的 灾难恢复目标内恢复信息系统支持的关键业务功能。 [GB/T20988—2007,定义3.10]
灭难恢复能力 在灾难发生后利用灾难恢复资源和灾难恢复预案及时恢复和继续运作的能力。 [GB/T20988—2007,定义3.12]
演练exercise 为训练人员和提高灾难恢复能力而根据灾难恢复预案进行活动的过程。包括桌面演练、模拟 点演练和完整演练等。 [GB/T20988—2007.定义3.13]
恢复时间目标recoverytimeobjective;RTo 灾难发生后,信息系统或业务功能从停顿到必须恢复的时间要求, [GB/T 20988—2007.定义3.18]
恢复时间目标recoverytimeobjective;RTo 灾难发生后,信息系统或业务功能从停顿到必须恢复的时间要求 [GB/T 20988—2007.定义3.18]
恢复点目标recoverypointobjective;RPo 灾难发生后,系统和数据必须恢复到的时间点要求, [GB/T20988—2007,定义3.19]
为获得审计证据并对其进行客观的评价,以确定满足审计准则的程度所进行的系统的、独立的 文件的过程。
审计准则auditcriteria 审计人员进行审计工作时必须遵循的行为规范,是审计人员执行审计业务、获取审计证据、形成审 计结论、出具审计报告的标准。
计准火 auditcriterl 审计人员进行审计工作时必须遵循的行为规范,是审计人员执行审计业务、获取审计证据、形 结论、出具审计报告的标准。
审计结论auditconclusion 审计组综合审计目的和所有审计发现后得出的审计结果
审计人员auditor 有能力实施审计的人员
鉴别信息authenticationinformation 用以确认身份真实性的信息。 [GB/T 20269—2006,定义3.5]
敏感性sensitivity 表征资源价值或重要性的特性,也可能包含这一资源的脆弱性。 [GB/T20269—2006,定义3.6]
机密性confidentiality 数据所具有的特性,即表示数据所达到的未提供或未泄露给非授权的个人、过程或其他实体的程度 [GB/T20984—2007,定义3.5]
GB/T20282—2006,定义3.5
残余风险residualrisk 采取了安全措施后,信息系统仍然可能存在的风险。 [GB/T20984—2007,定义3.12] 3.3.16 检查评估inspectionassessment 由被评估组织的上级主管机关或业务主管机关发起的,依据国家有关法规与标准,对信息系统及其 管理进行的具有强制性的检查活动。 [GB/T20984—2007,定义3.9] 3.3.17 组织organization 由作用不同的个体为实施共同的业务目标而建立的结构。一个单位是一个组织,某个业务部门也可 以是一个组织。 [GB/T209842007,定义3.11]
4金融行业网络安全等级保护基础
4.1金融行业网络安全等级保护
根据网络安全等级保护对象在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安 全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,将等级保护对象划分为不 同的安全保护等级并对其实施不同的保护和监管
4.2金融行业网络安全等级保护工作的主要内容
根据国家网络安全等级保护管理办法要求,在金融行业开展网络安全等级保护工作,主要内容应该 包括: a) 金融行业系统分等级进行安全保护和监管。具体包括定级、备案、安全建设整改、测评、监督 检查。 金融行业网络安全产品分等级使用管理。 C)金融行业网络安全事件分等级响应、处置等
4.3金融行业网络安全等级保护实施基本原则
4.4金融行业网络安全等级保护监管要求
根据国家网络安全等级保护管理办法要求,网络安全等级保护实行“国家主导、重点单位强制、一 般单位自愿,高保护级别强制、低保护级别自愿”的监管原则。 金融行业的重要等级保护对象应按照国家有关法规和技术标准建设安全保护设施和进行安全保护, 并由金融行业主管部门予以核准,依法对其进行监督和检查。 金融行业的一般股等级保护对象应按照国家有关法规和技术标准,由金融行业组织机构自行设定安全 等级,建设安全保护设施和进行安全保护,报国家主管部门备案,实施自我保护和共同保护。
金融行业网络安全等级保护相关部门职责如下: a 国家网络安全职能部门职责分工: 1)公安机关:监督、检查、指导等级保护工作。 2) 国家保密部门:负责等级保护工作中有关保密工作的监督、检查、指导。并负责涉及国家 秘密系统的分级保护。 3) 国家密码管理部门:负责等级保护工作中有关密码工作的监督、检查、指导。 4)工业和信息化部门:负责等级保护工作中部门间的协调。 b 金融行业主管部门,其主要职责为督促、检查、指导本行业、本部门开展等级保护工作。 ) 运营使用单位,主要包括银行、非银行金融机构等运营机构,其主要职责包括:开展定级、备 案、建设整改、等级测评、自查等工作,落实等级保护制度的各项要求。具体包括:等级保护 对象运营、使用单位按照等级保护的管理规范和技术标准,确定其等级保护对象的安全保护等 级;对新建、改建、扩建的等级保护对象进行安全规划设计、安全建设施工;按照与其安全保 护等级相对应的管理规范和技术标准的要求,定期进行安全状况检测评估。 d)安全服务机构:开展技术支持、服务等工作,并接受监督管理部门的监督管理。
4.6金融行业网络安全等级保护政策体系
自网络安全等级保护制度确立以来,国家主管部门出台一系列文件,构成网络安全等级保护政 金融机构应按照国家法律、政策文件要求,开展网络安全等级保护工作。
4.7金融行业等级保护技术标准体系
按照国家网络安全等级保护标准体系的要求,网络安全等级保护各个环节应符合如下标准要求: a)定级环节应符合GB17859—1999、GB/T22240—2020的要求。 b 建设整改环节应符合GB/T22239一2019、GB/T25070一2019的要求。 C 等级保护测评环节应符合GB/T28448一2019和GB/T28449一2018的要求。金融行业等级保护 测评环节除满足上述要求外,还应符合JR/T0072一2020和JR/T0073一2012的要求。 金融行业网络安全等级保护标准体系参照国家等级保护技术标准体系,突出金融行业特点,其框架 为三层架构设计,体系的第一层分类将金融行业网络安全等级保护标准按基础标准、要求标准、指南标 维划分:第二层分类集中反映金融行业网络安全等级保护的工作需求子类等,第三层描述各子类对应的 具体要求。金融行业网络安全等级保护标准体系分类如下: a)基础类标准,本部分为基础类标准,基础类标准是实施金融行业网络安全等级保护的前提,涉 及的所有部门和人员必须有一个共同的基础、一致的认识,才能开展等级保护工作,因此首先 要制定金融行业网络安全等级保护相关的术语和定义、基本原则方面的规范。
b)要求类标准:金融行业网络安全等级保护的基本要求见JR/T0071.2一2020、金融行业网络安 全等级保护审计实施要求见JR/T0071.5一2020。其中金融行业网络安全等级保护的基本要求 是实施等级保护最关键的内容,也是满足国家和行业相关要求的基本保证。金融行业网络安全 等级保护审计实施要求是行业网络安全工作管理的需求。 C 指南类标准包括测评指南、人员管理指南和审计指南,指南类标准作为金融行业网络安全等级 保护实施的具体指导性文件,对于等级保护工作的落地、满足国家和行业的要求,并对实施单 位产生积极的影响,提高网络安全的防护能力等方面都有重要的作用: 测评指南:金融行业网络安全等级保护的测评指南见JR/T0072一2020,金融行业网络安 全等级保护的测评服务安全指引见JR/T0073一2012。 2)人员管理指南:金融行业网络安全人员的岗位能力要求和评价指引见JR/T0071.3一2020, 金融行业网络安全等级保护的培训指引见JR/T0071.4一2020。 的审计指引见JR/T0071.6一2020
4. 7.2 基础类标准
4.7.3 要求类标准
要求类标准包括基本要求和审计要求: a)基本要求。 金融行业网络安全等级保护的基本要求见JR/T0071.2一2020,基本要求规范金融行业网络安全等 级保护工作中的安全控制选择、安全控制调整、安全控制实施以及安全运行管理等活动,具体作用如下: 1)为金融行业等级保护对象建设单位和运营、使用单位规定要求:在等级保护对象的安全保 护等级确定后,按照基本要求选择特定等级的安全要求进行建设、运营。 2) 为评估机构提供评估依据:基本要求为金融行业等级保护对象的运营、使用单位和金融行 业网络安全等级保护测评机构对等级保护对象的检测评估提供依据。 3 为金融行业网络安全等级保护主管部门提供审计依据:基本要求为主管部门的审计工作提 供依据,用于判断一个特定等级的等级保护对象是否按照金融行业的相关要求进行了基本 的保护。
基本要求主要借鉴国家相关标准,结合金融行业等级保护对象的特点和需求进行研究编制。各等级 的基本安全要求,由安全物理环境、安全区域边界、安全通信网络、安全计算环境、安全管理中心等五 个层面的基本安全技术措施和安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维 管理等五个方面的基本安全管理措施来实现和保证。 b)审计要求。 等级保护工作的审计要求见JR/T0071.5一2020,审计工作独立于目前等级保护工作的实施流程之 外包装标准,从主管部门的角度,审计各单位在定级、备案、建设整改、测评、检查等各项工作中是否遵循了相 关标准和文件的要求,重点在于检查其符合性和有效性。 审计要求主要内容包括:审计目标、审计原则、审计内容、审计机制、审计过程以及审计所使用的 方法。
4.7.4.1测评类指南
测评类指南包含测评指南、测评服务安全指引: a)测评指南。 金融行业网络安全等级保护测评要求见JR/T0072一2020,等级保护对象运营、使用单位在进行定 级、备案后,应选择测评机构进行等级测评。测评涉及以下内容: 在建设、整改阶段,等级保护对象运营、使用单位通过等级测评进行现状分析,确定等级保护对象 的安全保护现状和存在的安全问题,并在此基础上确定安全整改需求。 在运维阶段,等级保护对象运营、使用单位定期委托测评机构开展等级测评,对等级保护对象的安 全等级保护状况进行安全测试,对网络安全管控能力进行考察和评价,从而判定等级保护对象是否达到 了金融行业网络安全等级保护的基本要求,是否具备了相应等级的安全保护能力。等级保护测评报告是 开展整改加固的重要指导性文件,也是备案的重要附件材料。等级保护测评结论为未达到相应等级的基 本安全保护能力的,运营、使用单位应当根据等级测评报告,制定方案并进行整改。 b)测评服务安全指引 金融行业测评服务安全指引见JR/T0073一2012,测评服务安全指引明确等级保护测评服务机构安 全、人员安全、过程安全、测评对象安全、工具安全等方面的基本要求。测评服务安全服务指引适用于 网络安全职能部门对在金融行业开展网络安全等级保护测评的第三方机构和人员进行监督管理。
4.7.4.2人员管理类指南
1)岗位能力培训,主要是针对不能满足岗位要求的人员提供岗位所需安全意识和技能的培 训。 2) 持续技能改进培训,主要是针对各单位内的网络安全等级保护实施人员,提供持续改进的 培训机制,确保这些人员实现技能的不断提高,满足网络安全的快速发展,更好的从事单 位内的网络安全等级保护工作。
4.7.4.3审计类指南
金融行业网络安全等级保护审计(以下简称金融等保审计)指南见JR/T0071.6一2020电气装置标准规范范本,审计指南 主要描述金融等保审计目标、审计程序、审计内容。金融等保审计将涉及到规划、实施、监视和评审、 改进等诸多环节,实施金融等保审计的机构可以参照审计指南的要求,制定金融等保审计方案、确定金 融等保审计内容、实施金融等保审计活动
....- 金融标准
- 相关专题: 金融