金(jīn)融行業信息系統信息安全等級保護有什(shén)麽要求？最全金(jīn)融等保2.0詳解。信息安全等級保護制度是國家在國民(mín)經濟和社會信息化(huà)的發展過程中，提高信息安全保障能(néng)力和水平，維護國家安全、社會穩定和公共利益，保障和促進信息化(huà)建設健康發展的一(yī)項基本制度。那麽金(jīn)融行業信息系統信息安全等級保護有什(shén)麽要求？最全金(jīn)融等保2.0詳解來(lái)了(le)！今天專注于網絡信息安全等級保護測評的微子(zǐ)網絡就(jiù)帶着大家一(yī)起來(lái)看一(yī)下(xià)，希望能(néng)夠對大家有所幫助。

中國人(rén)民(mín)銀行按照國家有關(guān)要求，制定金(jīn)融行業等級保護标準主要從兩方面考慮：一(yī)是落實國家有關(guān)信息安全等級保護工作(zuò)的要求。

《國家信息化(huà)領導小組關(guān)于加強信息安全保障工作(zuò)的意見》文件要求：“行業主管部門要督促、檢查、指導本行業、本部門開展等級保護工作(zuò)”；《關(guān)于開展信息安全等級保護安全建設整改工作(zuò)的指導意見》文件要求：“重點行業信息系統主管部門可制定行業标準規範，指導本行業信息系統安全建設整改工作(zuò)”。因此，制定金(jīn)融行業信息安全等級保護系列标準，是落實國家信息安全有關(guān)要求的重要舉措。

二是加強金(jīn)融業信息安全管理(lǐ)和技術防護的内在要求。金(jīn)融業重要信息系統關(guān)系到國計民(mín)生(shēng)，是國家信息安全重點保護對象。由于金(jīn)融業信息系統大多具有數據集中、網絡結構複雜，涉及大量資金(jīn)交易等特點，所以金(jīn)融業開展信息系統的信息安全等級保護建設、測評和整改工作(zuò)，需要适合金(jīn)融行業信息系統特點的等級保護标準體(tǐ)系作(zuò)為(wèi)支撐和依據，以規範和指導金(jīn)融業等級保護工作(zuò)的開展。   

為(wèi)此，人(rén)民(mín)銀行組織信息安全等級保護領域專家和相關(guān)技術人(rén)員(yuán)，根據國家關(guān)于信息安全等級保護工作(zuò)的相關(guān)制度和标準，編制了(le)符合金(jīn)融行業特點的、切實可行的金(jīn)融行業信息系統信息安全等級保護系列标準（以下(xià)簡稱金(jīn)融行業等保标準）。金(jīn)融行業等保标準包含JR/T 0071—2012 《金(jīn)融行業信息系統信息安全等級保護實施指引》（以下(xià)簡稱《實施指引》）、JR/T 0072—2012 《金(jīn)融行業信息系統信息安全等級保護測評指南(nán)》（以下(xià)簡稱《測評指南(nán)》）和JR/T 0073—2012 《金(jīn)融行業信息安全等級保護測評服務(wù)安全指引》（以下(xià)簡稱《安全指引》）三項标準。

一(yī)、标準概述   金(jīn)融行業等保标準編制遵循以下(xià)三方面原則：（1）與國家标準保持一(yī)緻性。金(jīn)融行業等保标準嚴格按照《信息系統安全等級保護基本要求》（以下(xià)簡稱《基本要求》）、《信息系統等級保護安全設計技術要求》等相關(guān)标準開展規範的編制工作(zuò)，确保标準的規範性、易用性與可讀性，保持了(le)與國家标準的高度一(yī)緻性。

（2）繼承與發展。金(jīn)融行業等保标準參考人(rén)民(mín)銀行等級保護規範等“一(yī)行三會”共計26 個(gè)制度标準，結合行業實際情況，依據《基本要求》的内容，對其中體(tǐ)系架構、安全測評要求和檢查表單等多項内容進行細化(huà)、補充和調整。一(yī)是補充體(tǐ)系架構設計、縱深防禦、信息系統生(shēng)命周期管理(lǐ)等内容。二是結合金(jīn)融行業實際安全需求與信息安全防護經驗，細化(huà)補充金(jīn)融行業增強安全保護類。三是補充近年來(lái)金(jīn)融行業落實等級保護要求的最佳實踐以及可直接使用的等級保護測評檢查表單等内容。

（3）全面性及實用性。金(jīn)融行業等保标準的編制總結了(le)金(jīn)融行業應用系統多年的安全需求和業務(wù)特點，并參考國際、國内相關(guān)信息安全标準及行業标準，對信息系統建設、部署、管理(lǐ)等多個(gè)方面提出了(le)安全要求及應對措施，是具有實際指導意義可操作(zuò)的規範文檔。   

《實施指引》主要用于指導系統所有者建設整改，《測評指南(nán)》主要用于指導系統所有者開展等級保護自測評或者測評機構對信息系統開展外測評，《安全指引》用于系統所有者對開展金(jīn)融行業等保測評的機構進行服務(wù)水平能(néng)力的确認。三個(gè)标準的主要内容及特點概述如(rú)下(xià)。   

（一(yī)）《實施指引》結合金(jīn)融行業特點以及信息系統安全建設需要，對金(jīn)融行業的信息安全體(tǐ)系架構采用分(fēn)區分(fēn)域設計，并從安全技術、安全管理(lǐ)兩個(gè)方面詳細闡述了(le)對不同等級信息系統的具體(tǐ)要求。安全技術從物理(lǐ)安全、網絡安全、主機安全、應用安全和數據安全及備份恢複幾個(gè)方面提出要求；安全管理(lǐ)從安全管理(lǐ)制度、安全管理(lǐ)機構、人(rén)員(yuán)安全管理(lǐ)、系統建設管理(lǐ)和系統運維管理(lǐ)幾個(gè)方面提出要求。   

《實施指引》用于補充、細化(huà)落實國家等級保護标準，并提出建立信息安全體(tǐ)系架構、體(tǐ)系化(huà)保護兩方面的要求。《實施指引》根據金(jīn)融行業特點細化(huà)補充國家《基本要求》二級要求、三級要求、四級要求，并新(xīn)增金(jīn)融行業增強安全保護類（F類），F類要求作(zuò)為(wèi)金(jīn)融行業的增強性安全要求分(fēn)布在S、A、G類的要求中。   

信息安全體(tǐ)系架構中的技術體(tǐ)系通過結合等級保護安全設計技術要求、國際标準《信息保障技術框架》（IATF ），結合金(jīn)融行業自身(shēn)特點設計出一(yī)套滿足金(jīn)融行業信息系統安全架構的技術體(tǐ)系。在管理(lǐ)體(tǐ)系設計中，通過結合國際标準27001 管理(lǐ)生(shēng)命周期的過程改進，創建一(yī)套滿足金(jīn)融行業信息安全管理(lǐ)和制度所需要的管理(lǐ)體(tǐ)系。   

（二）《測評指南(nán)》是對《實施指引》中的測評要求提出了(le)具體(tǐ)可操作(zuò)的測評方法。包括兩個(gè)方面的内容：一(yī)是安全控制測評，主要測評信息安全等級保護要求的基本安全控制點在信息系統中的實施配置情況。二是系統整體(tǐ)測評，主要測評分(fēn)析信息系統的整體(tǐ)安全性。其中，安全控制測評是信息系統整體(tǐ)安全測評的基礎。   

（三）《安全指引》總結了(le)金(jīn)融行業應用系統多年的安全需求和業務(wù)特點，并參考國際、國内相關(guān)信息安全标準及行業标準，明确等級保護測評服務(wù)機構安全、人(rén)員(yuán)安全、過程安全、測評對象安全、工具安全等方面的基本要求。

二、标準應用推廣   金(jīn)融行業等保标準于2012 年7月(yuè)(yuè)10 日正式發布。為(wèi)更好(hǎo)(hǎo)地推動并指導銀行業金(jīn)融機構使用金(jīn)融行業等保标準，落實國家等級保護政策要求，人(rén)民(mín)銀行于2012 年7月(yuè)(yuè)19 日發布《中國人(rén)民(mín)銀行關(guān)于進一(yī)步推進銀行業信息安全等級保護工作(zuò)的通知》，要求各銀行業金(jīn)融機構盡快(kuài)開展等級保護定級、備案工作(zuò)，并按照金(jīn)融行業等保标準以及國家相關(guān)标準開展等級保護測評和整改工作(zuò)。金(jīn)融行業等保标準通過近2年的推廣應用，取得了(le)較好(hǎo)(hǎo)效果。   

（一(yī)）金(jīn)融行業等保标準有效提升信息系統防禦水平   根據銀行業金(jīn)融機構2012 年及2013 年等級保護年度總結報(bào)告顯示，大部分(fēn)銀行業金(jīn)融機構參考金(jīn)融行業等保标準制定或完善了(le)本單位的信息安全檢查制度及相關(guān)操作(zuò)細則，并根據金(jīn)融行業等保标準中的安全域體(tǐ)系化(huà)保護、安全域風(fēng)險識别及分(fēn)析機制和以PDCA 動态完善更新(xīn)的管理(lǐ)機制，強化(huà)了(le)網絡、主機、應用及數據的安全防護，改進并完善了(le)管理(lǐ)體(tǐ)系，從而整體(tǐ)提高了(le)整個(gè)運行生(shēng)産環境的安全防禦水平，不再是針對單個(gè)定級系統的加固和整改，有效降低(dī)了(le)全系統面臨的相關(guān)風(fēng)險，提高了(le)信息系統連續穩定運行水平。 

（二）金(jīn)融行業等保标準初顯成效   根據相關(guān)統計數據顯示，截至2013 年年底，銀行業信息系統的等級保護符合率平均值達到了(le)90% 以上(shàng)，證券和保險行業信息系統的等級保護符合率平均值也(yě)達到了(le)80% 以上(shàng)。金(jīn)融行業信息系統的等級保護符合率均高于全國各行業的等級保護平均符合率。   

上(shàng)述數據表明，金(jīn)融行業等保标準為(wèi)金(jīn)融行業提高重要網絡和信息系統信息安全防護水平起到重要作(zuò)用。 近幾年随着金(jīn)融行業業務(wù)的全面發展，敵對勢力、不法分(fēn)子(zǐ)進行攻擊、破壞和恐怖活動的日益猖獗，金(jīn)融業信息安全工作(zuò)正面臨比以往更嚴峻的形勢，因此如(rú)何将國家等級保護要求和本行業、本單位具體(tǐ)工作(zuò)相結合，如(rú)何将國家等級保護有關(guān)要求深入落實到信息系統的規劃、建設、測試、投産、運維全生(shēng)命周期各個(gè)環節中，并逐步形成信息安全長效工作(zuò)機制和常态化(huà)工作(zuò)，以及建立一(yī)個(gè)跨部門的金(jīn)融行業等級保護工作(zuò)協調和信息安全防護機制還需不斷探索和嘗試。人(rén)民(mín)銀行将繼續貫徹落實國家等級保護制度要求，積極督促并指導銀行業的定級備案與測評整改工作(zuò)，不斷提升銀行業的信息安全保障能(néng)力，全面踐行人(rén)民(mín)銀行在金(jīn)融行業指導協調信息安全工作(zuò)職責，以先進、高效、安全、穩定的信息化(huà)工作(zuò)迎接未來(lái)的挑戰。  

以上(shàng)就(jiù)是微子(zǐ)網絡為(wèi)大家介紹的金(jīn)融行業信息系統信息安全等級保護有什(shén)麽要求的内容，希望看完對大家能(néng)夠有所幫助，微子(zǐ)網絡專注網絡安全等級保護測評服務(wù)，目前已為(wèi)多家企業提供了(le)二級等保、三級等保測評服務(wù)，是江蘇省内專業的網絡安全等級保護測評服務(wù)提供商(shāng)，專業提供二級等保、三級等保測評服務(wù)等業務(wù)，并且還有專業的安全設備為(wèi)您提供一(yī)站(zhàn)式的便捷服務(wù)，讓您的等保測評之路(lù)暢行無阻。如(rú)有需要，可以點擊在線客服聯系微子(zǐ)網絡，微子(zǐ)網絡将竭誠為(wèi)您服務(wù)。

三級等保測評：www.vzidc.com