金融行业信息系统信息安全等级保护安全指引
银行业金融机构信息系统安全等级保护定级的指导意见
一、背景介绍随着金融科技的快速发展和普及,银行业金融机构信息系统的安全问题日益受到重视。
金融机构信息系统涉及到客户的资金安全、交易信息的保密性和完整性等重要因素,因此其安全等级保护定级工作至关重要。
本文旨在就银行业金融机构信息系统安全等级保护定级的指导意见进行探讨和总结。
二、保护等级划分原则1. 重要性原则根据系统在金融机构业务中的重要性和关键程度进行分类,对于承载重要业务的信息系统,应给予更高的安全等级保护定级。
2. 风险分级原则结合系统所处的环境和受到的威胁,综合评估系统的风险状况,对高风险系统应给予更高的保护等级。
3. 可信度原则对信息系统的可信度进行评估,包括系统的可靠性、可用性和安全性等方面,从而确定系统的安全等级保护定级。
三、保护等级划分方法1. 依据风险评估通过对信息系统所处环境和受到的威胁进行评估,采用定性和定量的方式确定系统的风险等级,并据此划分安全等级保护定级。
2. 依据系统功能根据信息系统所承载的业务功能和对业务的重要性进行划分,对关键业务系统和核心业务系统给予更高的保护等级。
3. 依据安全性能通过对信息系统的安全性能进行评估,包括系统的安全性能指标和安全防护能力等方面,确定系统的安全等级保护定级。
四、保护等级划分标准1. 标准制定制定统一的保护等级划分标准,明确不同等级的安全保护要求和控制措施,确保保护等级划分的合理性和科学性。
2. 标准修订随着金融科技的发展和安全威胁的变化,及时修订相关标准和规范,确保保护等级划分工作与时俱进。
3. 标准应用将标准应用到实际的保护等级划分工作中,指导和规范金融机构信息系统的安全等级保护定级工作。
五、保护等级划分流程1. 信息收集收集信息系统的基本情况、业务功能、安全需求等相关信息,为保护等级划分提供依据。
2. 风险评估结合信息系统所处的环境和受到的威胁,对系统的风险进行评估,确定系统的风险等级。
3. 等级划分根据风险评估的结果和系统的重要性、安全性能等因素,确定信息系统的安全等级保护定级。
金融行业网络安全要求、等级保护对象整体安全保护能力、安全框架和关键技术使用要求
附录A(规范性附录)关于金融行业安全通用要求、安全扩展要求和增强性安全要求的选择和使用由于等级保护对象承载的业务不同,对其安全关注点会有所不同,有的更关注信息的安全性,即更关注搭线窃听、假冒用户等可能导致的信息泄密、非法篡改;有的更关注业务的连续性,即更关注保证系统连续正常的运行,免受对系统未授权的修改、破坏而导致系统不可用引起业务中断。
不同级别的等级保护对象,其对业务信息的安全性要求和系统服务的连续性要求是有差异的,即使相同级别的等级保护对象,其对业务信息的安全性要求和系统服务的连续性要求也有差异。
等级保护对象的安全保护等级由业务信息安全性等级和系统服务保证性等级较高者决定(见GB/T22240—2020),因此,对某一个定级后的等级保护对象的安全保护的侧重点可以有多种组合。
等级保护对象定级后,可能形成的定级结果组合见表A.1。
表A.1各等级保护对象定级结果组合安全保护等级等级保护对象定级结果组合第二级S1A2,S2A2,S2A1第三级S1A3,S2A3,S3A3,S3A2,S3A1第四级S1A4,S2A4,S3A4,S4A4,S4A3,S4A2,S4A1安全保护措施的选择应依据上述定级结果,本部分中的技术安全要求进一步细分为:保护数据在存储、传输、处理过程中不被泄露、破坏和免受未授权的修改的信息安全类要求(简记为S);保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A);其它安全保护类要求(简记为G)。
本部分中所有安全管理要求和安全扩展要求均标注为G,安全要求及属性标识见表A.2。
表A.2安全要求及属性标识技术/管理分类安全控制点属性标识安全技术要求安全物理环境物理位置选择G物理访问控制G防盗窃和防破坏G防雷击G防火G防水和防潮G防静电G温湿度控制G电力供应A电磁防护S 安全通信网络网络架构G通信传输G可信验证S 安全区域边界边界防护G访问控制G入侵防范G可信验证S恶意代码防范G安全审计G 安全计算环境身份鉴别S访问控制S安全审计G可信验证S入侵防范G恶意代码防范G数据完整性S数据保密性S数据备份恢复A表A.2(续)技术/管理分类安全控制点属性标识安全技术要求安全计算环境剩余信息保护S个人信息保护S 安全管理中心系统管理G审计管理G安全管理G集中管控G安全管理要求安全管理制度安全策略G管理制度G制定和发布G评审和修订G 安全管理机构岗位设置G人员配备G授权和审批G沟通和合作G审核和检查G 安全管理人员人员录用G人员离岗G安全意识教育和培训G外部人员访问管理G 安全建设管理定级和备案G安全方案设计G产品采购和使用G自行软件开发G外包软件开发G工程实施G测试验收G系统交付G等级测评G表A.2(续)对于确定了安全保护等级的定级系统,选择和使用基本安全要求时,可以按照以下过程进行:a)明确定级系统应该具有的安全保护能力,根据等级保护对象的安全保护等级选择安全要求。
银行业金融机构信息系统风险管理指引
银行业金融机构信息系统风险管理指引LEKIBM standardization office【IBM5AB- LEKIBMK08- LEKIBM2C】银行业金融机构信息系统风险管理指引第一章总则第一条为有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我国银行业安全、持续、稳健运行,根据《中华人民共和国银行业监督管理法》、国家信息安全相关要求和信息系统管理的有关法律法规,制定本指引。
第二条本指引适用于银行业金融机构。
本指引所称银行业金融机构,是指在中华人民共和国境内设立的商业银行、城市信用合作社、农村合作银行、农村信用合作社等吸收公众存款的金融机构以及政策性银行。
在中华人民共和国境内设立的金融资产管理公司、信托投资公司、财务公司、金融租赁公司、汽车金融公司以及经中国银行业监督管理委员会(以下简称银监会)及其派出机构批准设立的其他金融机构,适用本指引规定。
第三条本指引所称信息系统,是指银行业金融机构运用现代信息、通信技术集成的处理业务、经营管理和内部控制的系统。
第四条本指引所称信息系统风险,是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于技术和管理缺陷产生的操作、法律和声誉等风险。
第五条信息系统风险管理的目标是通过建立有效的机制,实现对信息系统风险的识别、计量、评价、预警和控制,推动银行业金融机构业务创新,提高信息化水平,增强核心竞争力和可持续发展能力。
第二章机构职责第六条银行业金融机构应建立有效的信息系统风险管理架构,完善内部组织结构和工作机制,防范和控制信息系统风险。
第七条银行业金融机构应认真履行下列信息系统管理职责:(一)贯彻执行国家有关信息系统管理的法律、法规和技术标准,落实银监会相关监管要求;(二)建立有效的信息安全保障体系和内部控制规程,明确信息系统风险管理岗位责任制度,并监督落实;(三)负责组织对本机构信息系统风险进行检查、评估、分析,及时向本机构专门委员会和银监会及其派出机构报送相关的管理信息;(四)及时向银监会及其派出机构报告本机构发生的重大信息系统事故或突发事件,并按有关预案快速响应;(五)每年经董事会或其他决策机构审查后向银监会及其派出机构报送信息系统风险管理的年度报告;(六)做好本机构信息系统审计工作;(七)配合银监会及其派出机构做好信息系统风险监督检查工作,并按照监管意见进行整改;(八)组织本机构信息系统从业人员进行信息系统有关的业务、技术和安全培训;(九)开展与信息系统风险管理相关的其他工作。
金融机构信息安全管理指引
附件省银行业金融机构信息安全管理指引(试行)第一章总则第一条为切实加强省银行业金融机构(以下简称银行机构)信息安全工作的管理和指导,进一步增强银行机构信息安全保障能力,保障国家经济金融运行安全,保护金融消费权益和维护社会稳定,根据国家和人民银行总行有关规定和要求,特制订本指引。
第二条本指引所称信息安全管理,是指在银行机构计算机系统建设、运行、维护、使用及废止等过程中,保障计算机数据信息、计算机系统、网络、机房基础设施等安全的一系列活动。
第三条省人民银行分支机构按属地管理原则对辖银行机构信息安全工作进行管理、指导和协调。
各银行机构负责本系统(单位)的信息安全管理,完成人民银行交办的信息安全管理任务、接受人民银行的监督和检查。
第四条各银行机构信息安全管理工作的目标是:建立和完善与金融机构信息化发展相适应的信息安全保障体系,满足金融机构业务发展的安全性要求,保证信息系统和相关基础设施功能的正常发挥,有效防、控制和化解信息技术风险,增强信息系统安全预警、应急处置和灾难恢复能力,保障数据安全,显著提高金融机构业务持续运行保障水平。
第五条各银行机构信息安全管理工作的主要任务是:(一)加强组织领导,健全信息安全管理体制,建立跨部门、跨行业协调机制;(二)加强信息安全队伍建设,落实岗位职责制,不断提高信息安全队伍业务技能;(三)保证信息安全建设资金的投入,将信息安全纳入“五年”发展规划和年度工作计划,不断完善信息安全基础设施建设;(四)进一步加强信息安全制度和标准规体系建设;(五)加大信息安全监督检查力度;加快以密码技术应用为基础的网络信任体系建设;(六)加强安全运行监控体系建设;(七)大力开展信息安全风险评估,实施等级保护;(八)加快灾难恢复系统建设,建立和完善信息安全应急响应和信息通报机制;(九)广泛、深入开展信息安全宣传教育活动,增强全员安全意识。
第六条本指引适用于在省设立的各政策性银行、国有商业银行、股份制银行、邮政储蓄银行、城市商业银行、农村商业银行、城市信用合作社、农村信用合作社、村镇银行的总部和分支机构。
金融行业信息系统信息安全等级保护安全指引
二、安全指引详细内容介绍
测评过程要求: 测评过程机构要求 从事金融行业信息系统信息安全等级保护测评的第三方机构 可以从事等级测评活动以及信息系统安全等级保护定级、安
全建设整改、信息安全等级保护宣传教育等工作的技术支持。
但不得从事的活动。 测评过程人员行为要求 从事金融行业信息系统信息安全等级保护测评活动的测评人 员,不得从事下列活动。 测评过程管理要求 文档管理要求、测评对象管理要求、工具安全使用要求。
金融标准化 宣贯材料之十三
《金融行业信息系统信息安全等级 保护安全指引》介绍
安全指引与其他标准的关联性分析
信息安全等级保护管 理办法公通字 [2007]43号
金融行业已发布的信 息安全标准规范
行业内通用建设\实 施措施调研
《信息系统等级保护 安全设计技术要求》 GB/T 25070—2010
以上为《金融行业信息系统信息安 全等级保护安全指引》的简要介绍 谢谢浏览!
一、安全指引整体介绍
安全指引分两大部分:
资质能力要求
测评机构资质要求
测评机构管理要求 测评人员要求 测评工具要求
测评过程要求
测评过程机构要求 测评过程人员行为要求 测评过程管理要求
安全指引知识要点
一、安全指引整体介绍 二、安全指引详细内容介绍
二、安全指引详细内容介绍
资质能力要求: 测评机构资质要求 从事金融行业信息系统信息安全等级保护测评的第三方机构其机 构资质。 测评机构管理要求 从事金融行业信息系统信息安全等级保护测评的第三方机构其机 构管理应具备的要求。 测评人员要求 对从事金融行业信息系统信息安全等级保护测评的第三方机构其 测评人员的要求。 测评工具要求 对从事金融行业信息系统信息安全等级保护测评的第三方机构其 使用的测评工具的要求。
中国银行业监督管理委员会关于印发《银行业金融机构信息系统风险管理指引》的通知
中国银行业监督管理委员会关于印发《银行业金融机构信息系统风险管理指引》的通知文章属性•【制定机关】中国银行业监督管理委员会(已撤销)•【公布日期】2006.08.07•【文号】银监发[2006]63号•【施行日期】2006.08.07•【效力等级】部门规范性文件•【时效性】失效•【主题分类】银行业监督管理正文*注:本篇法规已被《中国银行业监督管理委员会关于印发<商业银行信息科技风险管理指引>的通知》(发布日期:2009年3月3日实施日期:2009年3月3日)废止中国银行业监督管理委员会关于印发《银行业金融机构信息系统风险管理指引》的通知(银监发[2006]63号)各银监局,各政策性银行、国有商业银行、股份制商业银行,各金融资产管理公司,各省(区、市)农村信用社联合社、国家邮政局邮政储汇局,银监会直接监管的信托投资公司、财务公司、金融租赁公司,中央国债登记结算公司,建银投资公司:现将《银行业金融机构信息系统风险管理指引》印发给你们,请认真执行。
请各银监局将本通知转发至辖内各银行业金融机构。
中国银行业监督管理委员会二00六年八月七日银行业金融机构信息系统风险管理指引第一章总则第一条为有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我国银行业安全、持续、稳健运行,根据《中华人民共和国银行业监督管理法》、国家信息安全相关要求和信息系统管理的有关法律法规,制定本指引。
第二条本指引适用于银行业金融机构。
本指引所称银行业金融机构,是指在中华人民共和国境内设立的商业银行、城市信用合作社、农村合作银行、农村信用合作社等吸收公众存款的金融机构以及政策性银行。
在中华人民共和国境内设立的金融资产管理公司、信托投资公司、财务公司、金融租赁公司、汽车金融公司以及经中国银行业监督管理委员会(以下简称银监会)及其派出机构批准设立的其他金融机构,适用本指引规定。
第三条本指引所称信息系统,是指银行业金融机构运用现代信息、通信技术集成的处理业务、经营管理和内部控制的系统。
金融行业信息系统信息安全等级保护测评指南
与实施指引的关系
《测评指南》阐述了《实施指引》中各要求项的具体测评方法、步骤和判断依据 等,用来评定信息系统的安全保护措施是否符合《实施指引》。 《测评指南》规定了开展等级测评工作的基本过程、流程、任务及工作产品等, 规范测评机构的等级测评工作,并对在等级测评过程中何时如何使用测评要求提 出了指导建议。 二者共同指导等级测评工作。
中间件平台,如Weblogic / Websphere等。
二、等级测评方法及内容介绍—等级测评内容
单元测评——管理
测评对象
人员
安全主管/主机、应用、网络等安全管理员 机房管理员/文档管理员等
文档
管理文档(策略、制度、规程) 记录类(会议记录、运维记录) 其它类(机房验收证明等)
一、测评指南整体介绍
等级测评与其他测评的不同
目的不同:标准符合性测评
性质不同:《管理办法》强制周期性执行 执行对象不同:已经确定等级的信息系统
内容不同:依据《基本要求》和《测评要求》
结果不同:符合、基本符合、不符合。
测评指南知识要点
一、测评指南整体介绍 二、等级测评方法及内容介绍
是指测评人员使用预定的方法/工具使测评对象(各类设备戒安全配置)产生 特定的结果,将运行结果与预期的结果进行比对的过程。
二、等级测评方法及内容介绍—等级测评方法
ቤተ መጻሕፍቲ ባይዱ访谈
对象 适用情况 作用
对技术要求,使用‘访谈’ 方法迚行测评的目的是为了了 访谈的对象是人 解信息系统的全局性(包括局 员。典型的访谈 部,但不是细节)、方向/策略 人员包括:信息 性和过程性信息,一般不涉及 安全主管、信息 到具体的实现细节和具体技术 系统安全管理员、措施,在遇到优势证据时,最 系统管理员、网 弱。 络管理员、资产 对管理要求,访谈的内容应 管理员等。 该较为详细和明确。
金融行业安全管理制度安全等级保护测评实施指导书(三级)
2.1版第0次修订金融行业管理制度安全等级保护测评实施指导书(三级)序号控制点测评项操作步骤判断标准1122管理制度a)应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等,并编制形成信息安全方针制度文件。
a)应检查总体方针、政策性文件和安全策略文件,查看文件是否明确机构安全工作的总体目标、范围、方针、原则、责任等符合:有信息安全工作的整体策略性文件,包括安全工作的总体目标、范围、原则和安全框架。
b)应对安全管理活动中的各类管理内容建立安全管理制度应检查安全管理制度清单,查看是否覆盖文件控制、安全检查、人力资源及培训、设备管理、软件开发/外包开发项目管理,机房安全管理,信息分类及管理、网络安全管理、系统安全管理、恶意代码管理、变更控制、备份及介质管理、事件管理、应急预案等符合:从制度名称或制度章节标题看已覆盖文件控制,安全检查,人力资源及培训,设备管理,软件开发/外包开发项目管理,机房安全管理,信息分类及管理,网络安全管理,系统安全管理,恶意代码管理,变更控制,备份及介质管理、事件管理、应急预案等方面c)应对要求管理人员或操作人员执行的日常管理操作建立操作规程应检查是否具有日常管理操作的操作规程(如系统维护手册和用户操作规程等)符合:至少有开关机操作手册,系统运维手册d)应形成由安全策略、管a)应访谈安全主管,询问是否制定信息安全工作的总体方针和安全策略,符合:安全策略,管理制度,操作规程2.1版第0次修订理制度、操作规程等构成的全面的信息安全管理制度体系制定安全管理制度,具有操作规程,形成信息安全管理制度体系之间存在连贯性制定和发布a)由金融机构总部科技部门负责制定适用全机构范围的你去管理制度,各分支机构的科技部门负责制定适用辖内的安全管理制度。
应访谈安全主管,询问是否有专门的部门或人员负责制定安全管理制度;负责人是何人符合:有制定部门或人员牵头负责b)安全管理制度应具有统一的格式,并进行版本控制1、应检查制度文件是否具有统一的格式,是否标识了版本编号2、应检查文件控制程序或者专门管理制度发文的管理制度,查看文档是否明确安全管理制度的制定,格式要求及版本编号等相关内容符合:若制度文件使用内部发文的格式编制判为符合。
金融行业信息安全等级保护实施
客观、公正、及时、满意
二、等级测评特点
执行的强制性:管理办法强制周期性执行 执行主体:符合条件的测评机构 执行对象:已经定级的信息系统 服务对象:主管部门,运维、使用单位,信息安全监管部门 测评依据:依据《基本要求》 测评内容:单元测评(技术和管理)和整体测评 测评付出:不同级别的测评强度不同 测评方式:访谈、检查和测试 判定准则:满足业务需求
营业网点限于省内
(自治区、直辖市)
W1
W2
y-1类 Y- II类 W1-1类 W1-II类 W2-I类
3
3
3
3
3
4
3
3
3
3
3
3
3
3
3
3
2
2
2
2
y- 1:核心业务信息系统或综合业务信息系统 Y-II:网上银行系统、重要支撑系统、重要交易系统、重要管理系统及其他运 行关键业务或涉及客户身份、资产、交易记录等敏感信息的重要信息系统。
客观、公正、及时、满意
一、定级备案法规
信息安全等级保护管理办法(公通字[2007]43号) 。
第十七条 信息系统备案后,公安机关应当对信息系统的备案情况进 行审核, 对符合等级保护要求的, 应当在收到备案材料之日起的10 个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法 及有关标准的,应当在收到备案材料之日起的10个工作日内通知备 案单位予以纠正; 发现定级不准的,应当在收到备案材料之日起的 10个工作日内通知备案单位重新审核确定。运营、使用单位或者主 管部门重新确定信息系统等级后,应当按照本办法向公安机关重新备 案。
金融行业安全管理机构安全等级保护测评实施指导书(三级)
2.1版第0次修订金融行业安全管理机构等级保护测评实施指导书(三级)2.1版第0次修订计划,对信息科技整个生命周期和重大事件等进行审计;d)应设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;应访谈安全主管,询问是否设立专职的安全管理机构(即信息安全管理工作的职能部门);机构内部门设置情况如何,是否明确各部门的职责分工;询问是否设立安全管理各个方面的负责人,并定义了各负责人的职责符合:已明确信息安全管理工作的只能部门,已设立安全主管,统一协调管理工作,已设立系统主管、网络主管、安全主管等。
有些单位规模小,没有设立各方面的负责人,但在日常工作中明确了系统,网络,安全等方面的工作职责,也判定为符合。
不符合:未设立信息安全管理工作的职能部门,并且未明确各个方面的工作职责。
e)应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责应访谈安全主管,询问单位设置了哪些工作岗位(如安全主管,安全管理各个方面的负责人,机房管理员,系统管理员,网络管理员和安全员等重要岗位),是否明确各个岗位的职责分工符合:已设置系统管理员,网络管理员,安全管理员等岗位,并明确了各岗位的职责。
如果没有按照系统管理员,网络管理员,安全管理员划分,比如按专员,科员,但在日常工作中明确了系统管理,网络维护,安全审查等方面的工作职责2.1版第0次修订2.1版第0次修订2.1版第0次修订2.1版第0次修订2.1版第0次修订等信息不符合:未建立联系列表e)应聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等应聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等符合:已聘请信息安全专家(组织内,外部的专家都算)不符合:没有聘请信息安全专家5审核和检查a)应制定安全审核和按检查制度规范安全审核和安全检查工作,按要求定期开展安全审核和安全检查活动应检查是否有安全检查制度,查看文档是否规定检查内容,检查程序和检查周期等,检查内容,检查程序和检查周期等,检查内容是否包括现有安全技术措施的有效性,安全配置与安全策略的一致性,安全管理制度的执行情况等,是否包括用户账号情况,系统漏洞情况,系统审计情况等。
中国证券监督管理委员会公告[2011]38号――证券期货业信息系统安全等级保护基本要求(试行)
![中国证券监督管理委员会公告[2011]38号――证券期货业信息系统安全等级保护基本要求(试行)](https://img.taocdn.com/s3/m/02e1c62fb6360b4c2e3f5727a5e9856a56122615.png)
中国证券监督管理委员会公告[2011]38号――证券期货业信息系统安全等级保护基本要求(试行)文章属性•【制定机关】中国证券监督管理委员会•【公布日期】2011.12.22•【文号】中国证券监督管理委员会公告[2011]38号•【施行日期】2011.12.22•【效力等级】部门规范性文件•【时效性】失效•【主题分类】证券,期货正文中国证券监督管理委员会公告(〔2011〕38号)现公布金融行业推荐性标准《证券期货业信息系统安全等级保护基本要求(试行)》(JR/T 0060-2010),自公布之日起施行。
中国证券监督管理委员会二○一一年十二月二十二日ICS 03.060A11JR备案号中华人民共和国金融行业标准JR/T 0060-2010 证券期货业信息系统安全等级保护基本要求(试行)Securities and futures industry-Baseline for classified protection of information system(Trial basis)2011-12-22发布2011-12-22实施中国证券监督管理委员会发布目次前言引言1 范围2 规范性引用文件3 术语和定义4 证券期货业信息系统安全等级保护概述4.1 证券期货业信息系统安全保护等级4.2 不同等级的安全保护能力4.3 基本技术要求和基本管理要求4.4 基本技术要求的三种类型5 第一级基本要求5.1 技术要求5.1.1 物理安全5.1.2 网络安全5.1.3 主机安全5.1.4 应用安全5.1.5 数据安全及备份恢复5.2 管理要求5.2.1 安全管理制度5.2.2 安全管理机构5.2.3 人员安全管理5.2.4 系统建设管理5.2.5 系统运维管理6 第二级基本要求6.1 技术要求6.1.1 物理安全6.1.2 网络安全6.1.3 主机安全6.1.4 应用安全6.1.5 数据安全及备份恢复6.2 管理要求6.2.1 安全管理制度6.2.2 安全管理机构6.2.3 人员安全管理6.2.4 系统建设管理6.2.5 系统运维管理7 三级基本要求7.1 技术要求7.1.1 物理安全7.1.2 网络安全7.1.3 主机安全7.1.4 应用安全7.1.5 数据安全及备份恢复7.2 管理要求7.2.1 安全管理制度7.2.2 安全管理机构7.2.3 人员安全管理7.2.4 系统建设管理7.2.5 系统运维管理8 第四级基本要求8.1 技术要求8.1.1 物理安全8.1.2 网络安全8.1.3 主机安全8.1.4 应用安全8.1.5 数据安全及备份恢复8.2 管理要求8.2.1 安全管理制度8.2.2 安全管理机构8.2.3 人员安全管理8.2.4 系统建设管理8.2.5 系统运维管理9 第五级基本要求附录A(规范性附录)关于证券期货业信息系统整体安全保护能力的要求附录B(规范性附录)证券期货业重要信息系统安全要求的选择和使用前言本标准附录A和附录B是规范性附录。
人民银行信息系统信息安全等级保护实施指引(试行)
附件1人民银行信息系统信息安全等级保护实施指引(试行)2011年6月目录编制说明 (1)1概述 (1)1.1目的 (2)1.2范围 (2)1.3术语 (3)1.4引用文件 (4)2指引编制策略 (4)2.1国家等级保护要求 (4)2.1.1基本要求 (5)2.1.2设计要求 (6)2.2人民银行架构特点 (7)2.2.1网络结构与联网机构关系 (7)2.2.2业务接入及系统特点 (12)2.3指导思想 (14)2.3.1纵深防御设计的必要性 (15)2.3.2基本要求与纵深防御设计结合的意义 (15)2.3.3安全域设计 (16)3信息安全保障框架 (18)3.1总体框架 (18)3.2技术体系 (20)3.2.1计算环境 (22)3.2.2区域边界 (23)3.2.3通信网络 (23)3.2.4支撑设施 (24)3.3管理体系 (24)4保护要求 (25)4.1二级要求 (25)4.1.1技术要求 (25)4.1.2管理要求 (32)4.2三级要求 (42)4.2.1技术要求 (42)4.2.2管理要求 (53)4.3四级要求 (68)4.3.1技术要求 (68)4.3.2管理要求 (80)附录 (97)1等级保护实施措施 (97)1.1网络安全 (97)1.1.1二级要求及措施 (97)1.1.2三级要求及措施 (102)1.1.3四级要求及措施 (112)1.2主机安全 (122)1.2.1二级要求及措施 (122)1.2.2三级要求及措施 (125)1.2.3四级要求及措施 (131)1.3应用安全 (137)1.3.1二级要求及措施 (137)1.3.2三级要求及措施 (141)1.3.3四级要求及措施 (146)1.4数据安全 (152)1.4.1二级要求及措施 (152)1.4.2三级要求及措施 (153)1.4.3四级要求及措施 (155)2国库信息处理系统等级保护案例分析 (157)2.1现状 (157)2.2分区分域设计分析 (157)2.3基本要求分析 (159)2.3.1技术要求 (159)2.3.2管理要求 (161)3金融行业安全要求的选择和使用说明 (162)编制说明《人民银行信息系统信息安全等级保护实施指引》(以下简称“实施指引”)编写的目的是在满足人民银行信息安全发展需要,同时符合国家等级保护基本要求和设计技术要求,为人民银行的信息安全建设提供方法论、具体的建设措施及技术指导。
1.2金融行业信息系统信息安全等级保护实施指引-编制说明
1.2金融行业信息系统信息安全等级保护实施指引-编制说明《金融行业信息系统信息安全等级保护实施指引(送审稿)》编制说明中国人民银行科技司二○一二年二月《金融行业信息系统信息安全等级保护实施指引(送审稿)》编制说明一、背景及意义信息系统信息安全等级保护制度(简称等级保护)是我国信息安全领域的一项基本国策。
金融行业重要的信息系统关系到国计民生,是国家信息安全重点保护对象,因此金融行业是落实和实施信息安全等级保护的重点行业之一。
由于金融行业的信息系统多是数据集中、资金密集、大型复杂、网络化的信息系统,所以围绕金融行业开展信息系统的信息安全等级保护工作,需要一系列适合金融行业的等级保护标准体系作为支撑,以规范和指导金融等级保护工作的实施。
中国人民银行作为我国中央银行,对金融行业重要信息和信息系统的信息安全保护工作负有指导监督的重任,需要在金融行业内建立符合金融行业特点的信息安全等级保护体系规范,通过备案、指导、检查、督促整改等方式来推进金融行业信息安全等级保护工作建设。
为此,人民银行科技司组织安全等级保护领域专家和相关技术人员,根据国家关于信息安全等级保护工作的相关制度和标准,制定符合金融行业特点的、切实可行的信息安全等级保护行业标准和实施指南。
人民银行以落实国家对金融行业信息安全等级保护相关工作要求,加强金融行业信息安全管理和技术风险防范,保障金融行业信息系统信息安全等级保护建设、测评、整改工作顺利开展为目标,特制定金融行业信息系统信息安全等级保护系列规范(以下简称“规范”),规范包含《金融行业信息系统信息安全等级保护实施指引》(以下简称“《实施指引》”)、《金融行业信息系统信息安全等级保护测评指南》(以下简称“《测评指南》”)、《金融行业信息安全等级保护测评服务安全指引》(以下简称“《安全指引》”)三份文件。
《实施指引》编写的目的是在满足金融行业信息安全发展需要,同时符合国家等级保护基本要求和设计技术要求,为金融行业的信息安全建设提供方法论、具体的建设措施及技术指导。
金融行业等保三级对照表
、邀标等形式完成;
d) 各机构购置扫描、检测类信息安全产品应报本机
构科技主管部门批准、备案;(F3)
e) 应预先对产品进行选型测试,确定产品的候选范
围,并定期审定和更新候选产品名单;
f) 扫描、检测类信息安全产品仅限于本机构信息安
全管理人员或经主管领导授权的网络管理员使用;
(F3)
g) 应定期查看各类信息安全产品相关日志和报表信
a) 应定期对各个岗位的人员进行安全技能及安全认
知的考核
b) 应对关键岗位的人员进行全面、严格的安全审查
和技能考核;
c) 应对考核结果进行记录并保存。
4 安全意识教 育和培训
G3
a) 应对定期安全教育和培训进行书面规定,针对不
同岗位制定不同的培训计划;
b) 应对各类人员进行安全意识教育、岗位技能培训
G3
a) 各机构指定责任部门负责非涉密计算机系统和网
络相关的外部人员访问授权审批,批准后由专人全
程陪同或监督,并登记备案;
b) 应对允许被外部人员访问的金融机构计算机系统
和网络资源建立存取控制机制、认证机制,列明所
有用户名单及其权限,其活动应受到监控;
c) 获得外部人员访问授权的所有单位和个人应与金
2 人员配备 G3
a) 应配备一定数量的系统管理员、网络管理员、安 全管理员等; b) 应配备专职信息安全管理人员,实行A、B 岗制 度,不可兼任;
c) 关键事务岗位应配备多人共同管理。
3 授权和审批 G3
a) 应根据各个部门和岗位的职责明确授权审批事项 、审批部门和批准人等;
b) 应针对系统变更、重要操作、物理访问和系统接 入等事项建立审批程序,按照审批程序执行审批过 程,对重要活动建立逐级审批制度;
《金融服务 信息安全指南》标准解读(最新修正版)
监控 符合性 维护 灾难恢复
14
信息安全体系的建立
实施信息安全策略需要建立信息安全体系,信息安全体系的建 立、维护、改进和监控需要机构内多个专业部门的协同参与,
全员支持信息安全体系的建立和实施。
本标准最重要的建议是机构应建立一个信息安全管理体系。 在公司管理的最高层次上,体系应遵循机构建立的策略,形成 覆盖整个机构的建立和维护机制。
信息安全策略应成为机构管理体系的有机组成部分。
内容简明扼要、明确保护的信息资产、通用范式。
全机构范围发布、对信息资产的全覆盖等。
签署、授权,才能生效。
由上层管理者发布的安全要求,例如首席执行官(CEO)和首席信息官(CIO)
公开发布 内容是稳定的
广泛的代表性
11
安全实践文档特点
监控和审查列表以及安全相关事故 的报告。
它们是策略如何实施的专业技术性描述。如 “使用‘pwadmin’命令确保用户口令 满足公司访问控制和鉴别实践文档中建立的标准。接下来的 命令是⋯⋯”
13
信息安全管理——信息安全方案
信 息 安 全 管 理 体 系
体系的建立 安全意识 审查 事故管理
性。
在三个层次的文档中范围最狭窄。 制定文档时应保证文档是完整的、准确的和恰当的,并且不能与其他实践或策略冲 突,并应对法规限制、外部生产标准和其他规程文档予以考虑。
规程文档应包括:先前的包含任何残余风险标识的安全风险分析和管理审查结果、 随后行动的结果 (诸如控制措施执行的安全符合性检查的结果)、日常信息安全行动
9
信息安全策略—文档层次
安全文档分为以下三个层次:
银行及相关金融服务信息安全标准体系
汇报人: 日期:
目录
• 引言 • 银行及相关金融服务信息安全标准概述 • 银行及相关金融服务信息安全标准的核心内容 • 银行及相关金融服务信息安全标准的实施和应用
目录
• 银行及相关金融服务信息安全标准的挑战和机遇 • 银行及相关金融服务信息安全标准的案例分析
01
强调银行及相关金融服务机构应建立完善的信息安全风险管理制度,明确信息安全风险的分 类、评估、监测、报告和处置流程,确保其业务系统的安全性和稳定性。
04
银行及相关金融服务信息安全标 准的实施和应用
标准的实施步骤和方法
制定计划
根据目标,制定详细的实施计 划,包括时间表、任务分配和 预期成果。
引入工具
全性和稳定性。
强调银行及相关金融服务机构应建立完 善的信息安全事件应急预案,做好信息
安全事件的预防和应对工作。
信息安全风险评估和管理
规定银行及相关金融服务机构应定期进行信息安全风险评估,识别和分析其业务系统中存在 的潜在安全隐患和风险点。
要求银行及相关金融服务机构应采用科学的方法和技术手段,对识别出的信息安全风险进行 评估和测量,并提出相应的风险应对措施。
意义:通过推广标准体系,可降低金融行业信息安全风险, 维护国家经济安全和社会稳定。
02
银行及相关金融服务信息安全标 准概述
标准的定义和重要性
定义
银行及相关金融服务信息安全标准是指由权威机构或组织制定,用于指导银行 及相关金融服务机构信息安全实践的规范和准则。
重要性
随着银行及相关金融服务行业信息化的深入发展,信息安全问题日益突出。安 全标准体系对于保障银行业信息安全、防范金融风险、维护社会稳定具有重要 意义。
金融行业信息系统信息安全等级保护实施指引 2020
金融行业信息系统信息安全等级保护实施指引 2020金融行业信息系统信息安全等级保护实施指引(2020)是金融行业信息安全领域的重要文件,旨在加强金融机构信息系统的安全防护,确保金融数据的完整性、可用性和保密性。
本文将从背景介绍、主要内容、实施指导等方面进行详细分析。
一、背景介绍随着金融科技的发展和信息化程度的提升,金融机构面临着越来越多的信息安全威胁和挑战。
信息系统安全等级保护是一种基于风险管理的有效安全保护措施,可以帮助金融机构建立健全的信息安全管理体系,提升信息系统的安全性和可靠性。
二、主要内容1.等级划分:根据金融机构的业务特点和风险等级,将信息系统分为不同的安全等级,提出相应的安全保护要求和措施。
2.安全标准:设定符合国家标准和行业规范的信息安全技术要求,包括网络安全、数据保护、访问控制等方面的标准。
3.安全评估:建立信息系统的安全评估机制,定期对信息系统进行安全评估和检测,发现并解决潜在的安全隐患。
4.安全培训:加强员工的信息安全意识培训,提高员工对信息安全的认识和防范能力,降低信息安全风险。
5.应急响应:建立健全的信息安全事件应急响应机制,及时响应安全事件、处置安全威胁,最大限度减少损失。
6.合规监督:加强信息安全合规监督,建立信息安全考核机制,对金融机构的信息系统安全等级进行定期检查和评估。
三、实施指导1.全面落实:金融机构应根据实际情况全面贯彻落实《金融行业信息系统信息安全等级保护实施指引(2020)》,制定相应的安全保护措施和计划。
2.风险评估:针对金融机构信息系统的风险情况,进行全面的风险评估和分析,量化风险并采取相应的安全防护措施。
3.技术支持:金融机构可以借助信息安全技术服务提供商的技术支持,建立完善的信息安全体系,提高信息系统的安全性。
4.组织协作:加强跨部门合作和信息共享,建立信息安全工作组织架构,明确各部门的安全责任和职责,形成合力应对安全挑战。
5.定期检查:建立信息系统安全检查和监控制度,定期对信息系统进行安全漏洞扫描、入侵检测等,确保信息系统的安全性。
金融行业信息系统安全等级保护实施指南
持续改进的策略
持续改进是信息安全等级保护 的核心原则之一,我们需要通 过不断优化和完善,提升系统 的安全性能,确保金融信息的 安全。
评估与反馈的重要性
为了实现动态调整和持续改进 ,我们需要建立有效的评估和 反馈机制,通过收集和分析数 据,及时发现问题,制定改进 措施。
05 等级保护的实施步骤
确定等级保护的目标
设计有效的维护流程需要考虑系统的特性、业务
保障信息安全起到至关重要的作用。
需求和维护人员的技能等因素,以实现系统的高
效运行和及时响应可能出现的问题。
3
实施维护流程的策略
实施维护流程需要有明确的策略和计划,包括定
期的系统检查、问题的及时发现和解决,以及系
统的持续优化和改进。
等级保护更新策略的制定与执行
金融信息是金融机构的核心资 产,包含了客户信用、交易记 录等敏感数据,一旦泄露,将 对金融机构和客户造成重大损 失。
金融信息安全的威胁
随着网络技术的发展,金融信 息安全面临着来自黑客攻击、 内部泄露等多种威胁,这些威 胁可能导致金融机构的声誉受 损,甚至破产。
金融信息安全的重要性
金融信息安全不仅关系到金融 机构的生存发展,也影响到金 融市场的稳定和公众对金融系 统的信任,因此,保障金融信 息安全至关重要。
2 制定防护策略
基于确定的保护等级,制定相应的安全防护策略,包括技术防护和管理防护。
3 实施防护措施
根据防护策略,实施具体的防护措施,如防火墙、入侵检测系统等,并进行定期的检查和 维护。
评估结果的处理与反馈
评估结果的分类与整 反馈信息的制定与传 处理结果的跟踪与优
理
递
化
对评估结果进行详细的分类 和整理,以便于进一步的分 析和处理。
《金融行业信息系统信息安全等级保护实施指引》介绍
《金融行业信息系统信息安全等级保护实施指引》介绍《金融行业信息系统信息安全等级保护实施指引》针对金融机构的信息系统安全等级保护工作,对金融行业信息系统安全等级保护的目标、原则、要求、指南进行了规范。
该指引的实施有助于保护金融机构的核心信息资产,提升金融机构的信息系统防护能力,增强金融行业信息系统的安全性和稳定性。
该指引的主要内容包括以下几个方面:第一,指引明确了金融行业信息系统安全等级保护的目标和原则。
其中,保证信息系统的机密性、完整性、可用性是信息安全等级保护的基本目标;根据风险评估结果,确定相应的安全等级,采取相应的保护措施是安全等级保护的基本原则。
第二,指引规定了金融行业信息系统安全等级划分的方法和准则。
针对金融机构的不同类型、规模、业务特点,制定了信息系统安全等级划分的标准和方法。
指引明确了具体的安全等级划分依据,包括资产价值、风险影响、安全威胁和风险等级等因素。
第三,指引明确了金融行业信息系统保护的要求和措施。
根据不同的安全等级,指引对金融行业信息系统保护提出了具体的要求和措施,包括完善安全管理体系、建立安全技术体系、加强人员安全教育培训、加强监控和审计等。
第四,指引提供了金融行业信息系统安全等级评估的指南和方法。
该指南详细介绍了金融行业信息系统安全等级评估的步骤和方法,包括评估准备、评估计划制定、评估实施和评估报告编写等内容。
指南还提供了评估模型和评估工具供金融机构使用。
总之,《金融行业信息系统信息安全等级保护实施指引》是一份重要的文件,对于金融机构加强信息系统安全保护、提高信息系统安全等级具有指导作用。
通过有效的安全等级保护措施,可以提高金融行业信息系统的安全性和稳定性,保护金融机构的核心信息资产。
同时,也为金融机构提供了评估工具和指南,帮助其进行有效的安全等级评估和管理。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
测评机构管理要求 从事金融行业信息系统信息安全等级保护测评的第三方机构其机 构管理应具备的要求。
测评人员要求
对从事金融行业信息系统信息安全等级保护测评的第三方机构其 测评人员的要求。
测评工具要求
对从事金融行业信息系统信息安全等级保护测评的第三方机构其 使用的测评工具的要求。
二、安全指引详细内容介绍
测评过程管理要求
文档管理要求、测评对象管理要求、工具安全使用要求。
以上为《金融行业信息系统信息安 全等级保护安全指引》的简要介绍
谢谢浏览!
本安全指引严格按照公通字[2007]43号《信息安全等级保护管理办法》(以 下简称管理办法)、GB/T 22239-2008《信息系统安全等级保护基本要求》( 以下简称为基本要求)、GB/T 25070-2010《信息系统等级保护安全设计技 术要求》、GB/T 22240-2008《信息系统安全等级保护定级指南》及GB/T 1.1-2000 《标准化工作导则 第1部分:标准的结构和起草规则》等相关标 准开展规范的编制工作,确保标准的规范性、易用性与可读性,保持了与 国家标准的高度一致性
金融行业等保 测评服务安全
指引
安全指引知识要点
一、安全指引整体介绍 二、安全指引详细内容介绍
一、安全指引整体介绍
《金融行业信息安全等级保护测评服务安全指引》(简称“安全指引”) 的编制总结了金融行业应用系统多年的安全需求和业务特点,并参考国际 、国内相关信息安全标准及行业标准,明确等级保护测评服务机构安全、 人员安全、过程安全、测评对象安全、工具安全等方面的基本要求。
一、安全指引整体介绍
安全指引分两大部分:
资质能力要求 测评过程要求
测评机构资质要求 测评机构管理要求 测评人员要求 测评工具要求
测评过程机构要求 测评过程人员行为要求 测评过程管理要求
安全指引知识要点
一、安全指引整体介绍 二、安全指引详细内容介绍
二、安全指引详细内容介绍
资质能力要求:
测评机构资质要求 从事金融行业信息系统信息安全等级保护测评的第三方机构其机 构资质。
测评过程要求:
测评过程机构要求
从事金融行业信息系统信息安全等级保护测评的第三方机构 可以从事等级测评活动以及信息系统安全等级保护定级、安 全建设整改、信息安全等级保护宣传教育等工作的技术支持。 但不得从事的活动。
测评过程人员行为要求 从事金融行业信息系统信息安全等级保护测评活动的测评人 员,不得从事下列活动。
金融标准化 宣贯材料之十三
《金融行业信息系统信息安全等级 保护安全指引》介绍
安全指引与其他标准的关联性分析
信息安全等级保护管 理办法公通字 [2007]43号
金融行业已发布的信 息安全标准规范
《信息系统安全等级 保护基本要求》
GB/T 22239—2008
行业内通用建设\实 要求》 GB/T 25070—2010