金融行业等保标准于2012年7月10日正式发布。为更好地推动并指导银行业金融机构使用金融行业等保标准,落实国家等级保护政策要求,人民银行于2012年7月19日发布《中国人民银行关于进一步推进银行业信息安全等级保护工作的通知》,要求各银行业金融机构尽快开展等级保护定级、备案工作,并按照金融行业等保标准以及国家相关标准开展等级保护测评和整改工作。
2020年11月,中国人民银行正式发布并实施《金融行业网络安全等级保护测评指南》(JRT 0072-2020)和《金融行业网络安全等级保护实施指引》(JRT 0071-2020),规定了金融行业对第二级、第三级和第四级的等级保护对象的安全测评通用要求和安全测评扩展要求,适用于指导金融机构、测评机构和金融行业网络安全等级保护主管部门对等级保护对象的安全状况进行安全测评。除了以上中国人民银行发布的通知、法规,保险、征信、网络借贷等行业也出台相应的法律法规。
金融行业其他法律法规
2012年《金融行业信息系统信息安全等级保护实施指引》(JR/T 0071-2012)
2012年《金融行业信息系统信息安全等级保护测评指南》(JR/T 0072-2012)
2012年《金融行业信息安全等级保护测评服务安全指引》(JR/T 0073-2012)
2012年《中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见》(银发〔2012〕163号)
2011年《证券期货业信息系统安全等级保护基本要求(试行)》(JR/T 0060-2010)
2007年《关于做好证券业重要信息系统安全等级保护定级工作的通知》(中证协发字[2007]117号)
保险、征信、网络借贷行业法律法规
2019年《互联网保险业务监管办法(征求意见稿)》
2018年中国银保监会印发《中国银保监会关于继续加强互联网保险监管有关事项的通知》
2015年中国保监会关于印发《互联网保险业务监管暂行办法》的通知保监发〔2015〕69号
2007年《关于开展保险业信息系统安全等级保护定级工作的通知》(保监厅发〔2007〕45号)
2014年《征信机构信息安全规范》(JR/T 0117-2014)
2013年《征信机构管理办法》
2016年《网络借贷信息中介机构业务活动管理暂行办法》
2020年11月,中国人民银行正式发布并实施《金融行业网络安全等级保护测评指南》(JRT 0072-2020)和《金融行业网络安全等级保护实施指引》(JRT 0071-2020):规定了金融行业对第二级、第三级和第四级的等级保护对象的安全测评通用要求和安全测评扩展要求,适用于指导金融机构、测评机构和金融行业网络安全等级保护主管部门对等级保护对象的安全状况进行安全测评。
2020年11月1日,中国人民银行发布《金融行业网络安全等级保护实施指引》和《金融行业网络安全等级保护测评指南》系列标准,为金融行业数字化转型提供了网络安全建设的方法论、具体的建设措施及技术指导,完善了金融行业网络安全等级保护体系,帮助金融机构更好地适应新技术的应用,全面提升金融行业网络安全整体防护水平,金融等级保护正式进入2.0建设阶段。
JR/T 0071.2—2020
金融行业网络安全等级保护实施指引
第2 部分:基本要求
要点梳理
1、 适用范围
本部分规范了金融行业网络安全保障框架和不同安全等级对应的安全要求。
本部分适用于指导金融机构、测评机构和金融行业网络安全等级保护的主管部门实施网络安全等级保护工作。
2、网络安全保障框架
金融行业网络安全保障总体框架包含技术要求、管理要求、技术体系、管理体系四个部分,遵循技管交互、综合保障的原则。
技术要求涉及安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五方面要求;
管理要求涉及安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理五方面要求;
技术体系以“一个中心,三重防护”为核心理念,划分安全计算环境、安全区域边界、安全通信网络与安全管理中心,并且结合金融行业的系统与业务现状,进行分区分域保护;
管理体系遵从生命周期法则,从建立、实施和执行、监控和审计、保持和改进四个过程进行科学化的管理,通过循环改进的思路形成“生命环”的管理方法;
3、 安全要求
本部分对第二、三、四级安全要求的具体内容进行了描述。第二、三、四级安全要求均包含安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求四部分。
注:安全通用要求包含技术要求和管理要求两部分,具体内容见上文“网络安全保障框架”。
云计算安全扩展要求
安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心(第二级安全要求不包含此项)、安全建设管理、安全运维管理;
云计算应用场景说明:本部分中将采用了云计算技术的信息系统,称为云计算平台/系统。金融行业云计算平台的特征是云服务客户所提供的金融服务种类众多,数据体量大,受到破坏、泄露或篡改会对国家安全、社会秩序或公共利益造成较大影响,所以金融行业云计算平台所定安全保护等级应不低于第三级,部署在金融行业云计算平台上的云服务客户应用服务自主定级。
移动互联安全扩展要求
安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全建设管理、安全运维管理(第二级安全要求不包含此项);
移动互联应用场景说明:采用移动互联技术的等级保护对象其移动互联部分由移动应用、移动终端、无线网络和后台系统四部分组成,移动应用是安装移动终端上,包括个人金融客户端、金融业务专用应用和移动办公应用程序;移动终端包括个人移动终端、金融业务专用终端和移动办公设备,其中金融业务专用终端包括智能POS、业务处理Pad等;移动终端通过无线通道连接无线接入设备接入,无线通道包括无线设备和移动网络;无线接入网关通过访问控制策略限制移动终端的访问行为,后台的移动终端管理系统负责对移动终端的管理。移动互联安全扩展要求主要针对移动应用、移动终端和无线网络部分提出安全要求。
物联网安全扩展要求
安全物理环境、安全区域边界、安全计算环境、安全运维管理;
物联网应用场景说明:对物联网的安全防护应包括感知层、网络传输层和处理应用层,由于网络传输层和处理应用层通常是由计算机设备构成,因此这两部分按照安全通用要求提出的要求进行保护,本部分的物联网安全扩展要求针对感知层提出特殊安全要求,与安全通用要求一起构成对物联网的完整安全要求。具有感知层、网络传输层、处理应用层的物联网应符合物联网扩展要求。
等保2.0金融行业标准
与国家标准的差异
《实施指引》在国标的基础上进行了增强。它整体延续了国标的安全通用要求分类,在“安全管理人员”中增加了“人员考核”,并主要对12个控制点要求进行了加强。
(黄色为有变化的控制点,橙色为新增的控制点)
1、 恶意代码和垃圾邮件防范、入侵检测
金标第二级里面增加了国标第三级才会涉及到的安全产品;金标第三级增加了很多近几年金融行业重点采购的安全检测分析类产品和高级安全服务等;金标第四级要求分级管理、逐级分布部署,形成联动防护机制并快速处置。
从三级能力要求来看,对比国标,金标强化了应对网络攻击的检测、溯源分析和威胁狩猎的安全能力,提出了针对高级可持续威胁的监测和发现要求,与滑动标尺对照整体能力要求提升至威胁情报甚至反制的能力。
2、 安全审计
金标二级里面增加了统一时钟要求;金标第三级里面增加了互联网客户历史登录信息回显;金标四级要求能够及时发现异常登录行为。对比国标,金标的安全审计要求更具体,明确了审计记录保存时间,同时针对金融互联网业务的风险,细化并强化了互联网应用的审计要求,安全要求与金融业务进一步进行融合。
3、 数据备份恢复
金标第三级里面增加了全量/增量要求、两地三中心要求、异地灾备要求;金标四级要求完全备份至少保存1个月为期的数据冗余。对比国标,金标的业务连续性要求更具体,同时结合金融业务要求对容灾备份中心的建设、运行、配置和管理要求更加明确。
4、个人信息保护
金标第三级里面增加了个人信息收集、传输、存储、使用、删除、销毁等生命周期要求;金标四级与金标三级相同。对比国标,金标在个人信息保护方面明确了金融用户信息的范围以及更具体的要求,同样是在业务融合方面进行具体明确的要求,并关联了金融JR/T 0171—2020相关标准。
5、 系统管理
金标第三级里面增加了配置文件每月/及时备份要求,新增网络设备软件季度检查测试验证升级要求;金标四级要求每月检验网络设备软件版本信息。对比国标,金标明确要求采用自动化技术手段对设备进行实时监测,并具体指出了每天、每月、每季度需要进行的系统安全运维操作内容。
6、 审核和检查
金标第三级里面增加了门户网站内容审核、管理、监控机制;新增安全管理处罚细则要求;金标四级与金标三级要求相同。对比国标,金标明确了检查通报和处罚要求,加强了网络安全的红线管理。
7、 人员考核
金标第三级里面增加了人员安全技能和安全认知考核要求。金标四级增加保密制度建立、执行检查或考核要求。
8、 自行开发软件
金标第三级里面增加了开发环境,测试环境,实际运行环境分离和敏感数据使用要求;对代码检查提出细致要求。金标四级与三级要求相似。
9、外包软件开发
金标第三级里面增加了外包服务的日志,控制分包,对外包机构进行安全审计,提交审计报告要求。金标四级增加对外包服务商的细节要求,包括安全审计、监督检查、控制分包和定期开展风险评估等内容。
10、 测试验收
金标第三级里面增加了上线系统试运行时间及测试报告方案等要求;细化安全测试具体内容;对试运行时间、风险分析等作出要求,同时增加测试工作的审批流程。金标四级与三级要求相同。
11、 网络和系统安全管理
金标第三级里面要求每半年一次漏扫;严禁跨境远程连接,控制国内远程访问范围;控制内网占带宽多媒体应用;不得擅自网间互联。金标四级要求每季度一次漏扫。
12、 备份与恢复管理
金标第三级里面要求每年应急演练,每三年全面灾备演练;每季度备份数据检查;每年内部灾难恢复工作审计。金标四级要求每年灾难恢复演练。
附:
金融行业定级标准:中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见银发【2012】163号
6.1信息系统安全等级保护主要定级对象分类
6.1.1应用系统
①核心业务信息系统或综合业务信息系统(分类代码为Y-Ⅰ类,下同)
②网上银行系统、重要支撑系统、重要交易系统、重要管理系统及其他运行关键业务或涉及客户身份、资产、交易记录等敏感信息的重要信息系统(Y-Ⅱ类)
③部署有应用服务器或者数据服务器的前置系统(Y-Ⅲ类)
6.1.2生产网络系统
区别于通常意义的计算机网络,作为定级对象的生产网络系统包括网络设备(如交换机、路由器、负载均衡等)、前置中间件设备(如消息队列服务器等)和接入网络的计算机终端,各机构可从以下两种方案中选用一种对生产网络系统进行定级:
①方案一:
广域网骨干网络(W1-Ⅰ类)
机构总部局域网骨干网络(W1-Ⅱ类)
分支机构局域网骨干网络(W1-Ⅲ类)
②方案二:
机构总部骨干网络(W2-Ⅰ类):含机构总部局域网骨干网络及下联一级分支机构(若有)的广域网骨干网络
分支机构骨干网络(W2-Ⅱ类):含本分支机构局域网骨干网络及下联一级分支机构(若有)的广域网骨干网络
6.2信息系统安全等级保护定级建议
6.2.1机构总部
机构类别 |
Y-Ⅰ类 |
Y-Ⅱ类 |
W1 |
W2 |
||
W1-Ⅰ类 |
W1-Ⅱ类 |
W2-Ⅰ类 |
||||
国家开发银行和政策性银行 |
第三级 |
第三级 |
第三级 |
第三级 |
第三级 |
|
国有商业银行、全国性股份制商业银行和中国邮政储蓄银行 |
第四级 |
第三级 |
第三级 |
第三级 |
第三级 |
|
城市商业银行、农村商业银行、农村合作银行和农村信用社 |
营业网点跨省(自治区、直辖市) |
第三级 |
第三级 |
第三级 |
第三级 |
第三级 |
营业网点限于省(自治区、直辖市)内 |
第三级 |
第二级 |
第二级 |
第二级 |
第二级 |
6.2.2分支机构
机构类别 |
分支机构类别 |
Y-Ⅲ类 |
W1 |
W2 |
W1-Ⅲ类 |
W2-Ⅱ类 |
|||
国家开放性银行和政策性银行 |
一级及以下分支机构 |
第二级 |
第二级 |
第二级 |
国有商业银行、全国性股份制商业银行和中国邮政储蓄银行 |
一级分支机构 |
第三级 |
第三级 |
第三级 |
二级及以下分支机构 |
第二级 |
第二级 |
第二级 |
|
城市商业银行、农村商业银行、农村合作银行和农村信用社 |
一级及以下分支机构 |
第二级 |
第二级 |
第二级 |
注:1.国有商业银行、全国性股份制商业银行和中国邮政储蓄银行的一级分支机构如采取多个接入渠道开展业务从而降低对单个Y-Ⅲ类信息系统依赖,其Y-Ⅲ类信息系统可在分支机构信息系统安全等级保护建议表的基础上降低一级
2.仅在辖区内部署接入终端的分支机构,可不为其Y-Ⅲ类、W1-Ⅲ类或W2-Ⅱ类系统定级
原文始发于微信公众号(网络安全备忘录):等保2.0金融行业标准与国家标准的差异介绍
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论