金融行業信息系統信息安全等級保護有什么要求�?最全金融等保2.0詳解�����。信息安全等級保護制度是國家在國民經濟和社會信息化的發展過程中��,提高信息安全保障能力和水平���,維護國家安全�、社會穩定和公共利益����,保障和促進信息化建設健康發展的一項基本制度�。那么金融行業信息系統信息安全等級保護有什么要求��?最全金融等保2.0詳解來了��!今天專注于網絡信息安全等級保護測評的微子網絡就帶著大家一起來看一下���,希望能夠對大家有所幫助��。
中國人民銀行按照國家有關要求����,制定金融行業等級保護標準主要從兩方面考慮:一是落實國家有關信息安全等級保護工作的要求���。
《國家信息化領導小組關于加強信息安全保障工作的意見》文件要求:“行業主管部門要督促���、檢查���、指導本行業����、本部門開展等級保護工作”�;《關于開展信息安全等級保護安全建設整改工作的指導意見》文件要求:“重點行業信息系統主管部門可制定行業標準規范��,指導本行業信息系統安全建設整改工作”����。因此��,制定金融行業信息安全等級保護系列標準��,是落實國家信息安全有關要求的重要舉措��。
二是加強金融業信息安全管理和技術防護的內在要求�����。金融業重要信息系統關系到國計民生��,是國家信息安全重點保護對象����。由于金融業信息系統大多具有數據集中����、網絡結構復雜�,涉及大量資金交易等特點�,所以金融業開展信息系統的信息安全等級保護建設�、測評和整改工作��,需要適合金融行業信息系統特點的等級保護標準體系作為支撐和依據���,以規范和指導金融業等級保護工作的開展�����。
為此�,人民銀行組織信息安全等級保護領域專家和相關技術人員�,根據國家關于信息安全等級保護工作的相關制度和標準����,編制了符合金融行業特點的�����、切實可行的金融行業信息系統信息安全等級保護系列標準(以下簡稱金融行業等保標準)�。金融行業等保標準包含JR/T 0071—2012 《金融行業信息系統信息安全等級保護實施指引》(以下簡稱《實施指引》)�、JR/T 0072—2012 《金融行業信息系統信息安全等級保護測評指南》(以下簡稱《測評指南》)和JR/T 0073—2012 《金融行業信息安全等級保護測評服務安全指引》(以下簡稱《安全指引》)三項標準��。
一�����、標準概述 金融行業等保標準編制遵循以下三方面原則:(1)與國家標準保持一致性����。金融行業等保標準嚴格按照《信息系統安全等級保護基本要求》(以下簡稱《基本要求》)�、《信息系統等級保護安全設計技術要求》等相關標準開展規范的編制工作���,確保標準的規范性�、易用性與可讀性���,保持了與國家標準的高度一致性�����。
(2)繼承與發展���。金融行業等保標準參考人民銀行等級保護規范等“一行三會”共計26 個制度標準�����,結合行業實際情況���,依據《基本要求》的內容���,對其中體系架構����、安全測評要求和檢查表單等多項內容進行細化�����、補充和調整���。一是補充體系架構設計����、縱深防御��、信息系統生命周期管理等內容�。二是結合金融行業實際安全需求與信息安全防護經驗���,細化補充金融行業增強安全保護類���。三是補充近年來金融行業落實等級保護要求的最佳實踐以及可直接使用的等級保護測評檢查表單等內容�����。
(3)全面性及實用性���。金融行業等保標準的編制總結了金融行業應用系統多年的安全需求和業務特點��,并參考國際����、國內相關信息安全標準及行業標準�,對信息系統建設��、部署���、管理等多個方面提出了安全要求及應對措施���,是具有實際指導意義可操作的規范文檔����。
《實施指引》主要用于指導系統所有者建設整改�,《測評指南》主要用于指導系統所有者開展等級保護自測評或者測評機構對信息系統開展外測評�,《安全指引》用于系統所有者對開展金融行業等保測評的機構進行服務水平能力的確認�����。三個標準的主要內容及特點概述如下���。
(一)《實施指引》結合金融行業特點以及信息系統安全建設需要����,對金融行業的信息安全體系架構采用分區分域設計�,并從安全技術�、安全管理兩個方面詳細闡述了對不同等級信息系統的具體要求�����。安全技術從物理安全�����、網絡安全���、主機安全��、應用安全和數據安全及備份恢復幾個方面提出要求�;安全管理從安全管理制度����、安全管理機構���、人員安全管理�、系統建設管理和系統運維管理幾個方面提出要求����。
《實施指引》用于補充���、細化落實國家等級保護標準�����,并提出建立信息安全體系架構�����、體系化保護兩方面的要求�����?!秾嵤┲敢犯鶕鹑谛袠I特點細化補充國家《基本要求》二級要求�、三級要求����、四級要求�,并新增金融行業增強安全保護類(F類)���,F類要求作為金融行業的增強性安全要求分布在S��、A����、G類的要求中��。
信息安全體系架構中的技術體系通過結合等級保護安全設計技術要求�、國際標準《信息保障技術框架》(IATF )�,結合金融行業自身特點設計出一套滿足金融行業信息系統安全架構的技術體系���。在管理體系設計中�����,通過結合國際標準27001 管理生命周期的過程改進���,創建一套滿足金融行業信息安全管理和制度所需要的管理體系��。
(二)《測評指南》是對《實施指引》中的測評要求提出了具體可操作的測評方法�。包括兩個方面的內容:一是安全控制測評����,主要測評信息安全等級保護要求的基本安全控制點在信息系統中的實施配置情況�����。二是系統整體測評���,主要測評分析信息系統的整體安全性���。其中�,安全控制測評是信息系統整體安全測評的基礎����。
(三)《安全指引》總結了金融行業應用系統多年的安全需求和業務特點���,并參考國際�、國內相關信息安全標準及行業標準��,明確等級保護測評服務機構安全����、人員安全���、過程安全�����、測評對象安全����、工具安全等方面的基本要求����。
二�����、標準應用推廣 金融行業等保標準于2012 年7月10 日正式發布���。為更好地推動并指導銀行業金融機構使用金融行業等保標準��,落實國家等級保護政策要求�����,人民銀行于2012 年7月19 日發布《中國人民銀行關于進一步推進銀行業信息安全等級保護工作的通知》���,要求各銀行業金融機構盡快開展等級保護定級�����、備案工作�,并按照金融行業等保標準以及國家相關標準開展等級保護測評和整改工作�。金融行業等保標準通過近2年的推廣應用��,取得了較好效果�。
(一)金融行業等保標準有效提升信息系統防御水平 根據銀行業金融機構2012 年及2013 年等級保護年度總結報告顯示�����,大部分銀行業金融機構參考金融行業等保標準制定或完善了本單位的信息安全檢查制度及相關操作細則��,并根據金融行業等保標準中的安全域體系化保護��、安全域風險識別及分析機制和以PDCA 動態完善更新的管理機制�,強化了網絡����、主機����、應用及數據的安全防護�����,改進并完善了管理體系�,從而整體提高了整個運行生產環境的安全防御水平�,不再是針對單個定級系統的加固和整改�,有效降低了全系統面臨的相關風險�����,提高了信息系統連續穩定運行水平�����。
(二)金融行業等保標準初顯成效 根據相關統計數據顯示���,截至2013 年年底�,銀行業信息系統的等級保護符合率平均值達到了90% 以上����,證券和保險行業信息系統的等級保護符合率平均值也達到了80% 以上��。金融行業信息系統的等級保護符合率均高于全國各行業的等級保護平均符合率��。
上述數據表明���,金融行業等保標準為金融行業提高重要網絡和信息系統信息安全防護水平起到重要作用�。 近幾年隨著金融行業業務的全面發展���,敵對勢力����、不法分子進行攻擊��、破壞和恐怖活動的日益猖獗�,金融業信息安全工作正面臨比以往更嚴峻的形勢��,因此如何將國家等級保護要求和本行業����、本單位具體工作相結合���,如何將國家等級保護有關要求深入落實到信息系統的規劃��、建設�、測試��、投產�����、運維全生命周期各個環節中�,并逐步形成信息安全長效工作機制和常態化工作��,以及建立一個跨部門的金融行業等級保護工作協調和信息安全防護機制還需不斷探索和嘗試��。人民銀行將繼續貫徹落實國家等級保護制度要求����,積極督促并指導銀行業的定級備案與測評整改工作�����,不斷提升銀行業的信息安全保障能力���,全面踐行人民銀行在金融行業指導協調信息安全工作職責�,以先進���、高效��、安全�、穩定的信息化工作迎接未來的挑戰���。
以上就是微子網絡為大家介紹的金融行業信息系統信息安全等級保護有什么要求的內容��,希望看完對大家能夠有所幫助�,微子網絡專注網絡安全等級保護測評服務��,目前已為多家企業提供了二級等保�、三級等保測評服務�,是江蘇省內專業的網絡安全等級保護測評服務提供商����,專業提供二級等保����、三級等保測評服務等業務��,并且還有專業的安全設備為您提供一站式的便捷服務��,讓您的等保測評之路暢行無阻���。如有需要�,可以點擊在線客服聯系微子網絡���,微子網絡將竭誠為您服務�����。
三級等保測評:www.fifacoinsvip.com
