中国人民银行近日正式批准发布两项金融行业标准:《金融行业网络安全等级保护测评指南》(JR/T 0072—2020)、《金融行业网络安全等级保护实施指引》(JR/T 0071—2020)。这是等保2.0国家标准体系发布以来首个更新的行业等级保护标准,为我国金融行业等级保护工作开展提供了重要指导。
2020年11月11日,中国人民银行正式批准发布金融行业标准《金融行业网络安全等级保护测评指南》(JR/T 0072—2020)。本标准规定了金融行业对第二级、第三级和第四级的等级保护对象的安全测评通用要求和安全测评扩展要求。本标准适用于指导金融机构、测评机构和金融行业网络安全等级保护主管部门对等级保护对象的安全状况进行安全测评。
本标准的发布有助于金融行业网络安全等级保护测评工作的开展,为金融行业网络安全等级保护测评工作提供指导,可参考本标准对金融行业网络安全等级保护对象的安全状况进行测评、自查和评估,进一步完善了金融行业网络安全等级保护体系。
2020年11月11日,中国人民银行正式批准发布金融行业标准《金融行业网络安全等级保护实施指引》(JR/T 0071—2020)。本标准共包括六部分,包括基础和术语、基本要求、岗位能力要求和评价指引、培训指引、审计要求、审计指引。
《实施指引》中指出,金融行业网络安全保障总体框架包含技术、管理要求以及技术、管理体系,遵循交互、综合保障的原则。
新增了“金融行业增强性安全要求(F类)”,从第二级安全要求开始,每一级对个人信息保护都做出了要求,每一级都包括同样的7条说明,只不过在“金融行业增强性安全要求(F类)”等级中做出了区分。
《实施指引》中对自行软件开发、外包软件开发、服务供应商选择、环境管理、设备维护管理等等方面都提出了细致的要求。
在外包软件开发中明确要求,禁止外包服务商转包并严格控制分包。在开发时,应要求开发人员和测试人员分离,开发人员不能兼任系统管理员或业务操作员,并要求在软件开发过程中对代码规范、代码质量、代码安全性进行审查。
本标准规范了金融行业网络安全保障框架和不同安全等级对应的安全要求、金融行业网络安全等级保护工作的基础框架和术语定义、金融机构网络安全岗位设置要求、网络安全岗位能力要求以及网络安全人员能力评价要求、金融机构网络安全培训相关要求、金融机构网络安全等级保护工作实施审计的要求等,标准适用于指导金融机构、测评机构和金融行业网络安全等级保护的主管部门实施网络安全等级保护工作。
本标准的发布有助于金融行业网络安全等级保护工作的开展,为金融行业的网络安全建设提供方法论、具体的建设措施及技术指导,完善金融行业网络安全等级保护体系,为金融行业推进IT架构转型的过程中提供安全指导,更好适应新技术在金融行业的应用,全面提升金融行业系统网络安全整体防护水平。