JR T 0071.1—2020 金融行业网络安全等级保护实施指引第1部分：基础和术语.pdf

资源描述

1、ICS 03.060A 11 JR中华人民共和国金融行业标准JR/T 0071.1 2020金融行业网络安全等级保护实施指引第 1 部分：基础和术语 Implementation guidelines for classified protection of cybersecurity of financialindustry Part 1： Fundamentals and vocabulary 2020 -11- 11发布 2020- 11-11实施中国人民银行发布 JR/T 0071.1 2020 I

2、目次前言 .II引言 .III1 范围 .12 规范性引用文件 .13 术语和定义 .14 金融行业网络安全等级保护基础 .10 JR/T 0071.1 2020 II 前言JR/T 0071 金融行业网络安全等级保护实施指引由以下 6 部分构成：第 1 部分：基础和术语；第 2 部分：基本要求；第 3 部分：岗位能力要求和评价指引；第 4 部分：培训指引；第 5 部分：审计要求；第 6 部分：

3、审计指引。本部分为 JR/T 0071的第 1 部分。本部分按照 GB/T 1.1 2009 给出的规则起草。本部分由中国人民银行提出。本部分由全国金融标准化技术委员会（ SAC/TC 180）归口。本部分起草单位：中国人民银行科技司、中国银行保险监督管理委员会统计信息与风险监测部、中国金融电子化公司、北京中金国盛认证有限公司。本部分主要起草人：

4、李伟、陈立吾、沈筱彦、车珍、昝新、夏磊、方怡、张海燕、唐辉、李凡、王海涛、张璐、潘丽扬、邓昊、侯漫丽、孙国栋、刘文娟、赵方萌、乔媛、崔莹、陈雪峰、马成龙、杜巍、李瑞锋。 JR/T 0071.1 2020 III 引言网络安全等级保护是国家网络安全保障工作的一项基本制度，金融行业重要系统关系到国计民生，是国家网络安全重点保护对象

5、，因此需要一系列适合金融行业的等级保护标准体系作为支撑，以规范和指导金融行业等级保护工作的实施。随着云计算、移动互联、物联网、大数据等新技术的广泛应用，金融机构正根据自身发展的需要，持续推进 IT架构的转型。为适应新技术、新应用和新架构情况下金融行业网络安全等级保护工作的开展，现对 JR/T 0071进行修订。修订后

6、的 JR/T 0071依据国家网络安全等级保护相关要求，为金融行业的网络安全建设提供方法论、具体的建设措施及技术指导，完善金融行业网络安全等级保护体系，更好适应新技术在金融行业的应用。 JR/T 0071.1 2020 1 金融行业网络安全等级保护实施指引第 1 部分：基础和术语1 范围本部分规定了金融行业网络安全等级保护工作的基础框架和术

7、语定义。本部分适用于指导金融机构、测评机构和金融行业主管部门实施网络安全等级保护工作。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB 17859 1999 计算机信息系统安全保护等级划分准

8、则GB/T 20269 2006 信息安全技术信息系统安全管理要求GB/T 20271 2006 信息安全技术信息系统安全通用技术要求GB/T 20272 2019 信息安全技术操作系统安全技术要求GB/T 20279 2015 信息安全技术网络和终端隔离产品安全技术要求GB/T 20282 2006 信息安全技术信息系统安全工程管理要求GB/T 20984 2007 信息安全技术信息安全风险评估规

9、范GB/T 20988 2007 信息安全技术信息系统灾难恢复规范GB/T 21052 2007 信息安全技术信息系统物理安全技术要求GB/T 22239 2019 信息安全技术网络安全等级保护基本要求GB/T 22240 2020 信息安全技术网络安全等级保护定级指南GB/T 25070 2019 信息安全技术网络安全等级保护安全设计技术要求 GB/T 28448 2019 信息安全技术网络安全等级

10、保护测评要求GB/T 31167 2014 信息安全技术云计算服务安全指南JR/T 0071.2 2020 金融行业网络安全等级保护实施指引第 2 部分：基本要求JR/T 0071.3 2020 金融行业网络安全等级保护实施指引第 3 部分：岗位能力要求和评价指引JR/T 0071.4 2020 金融行业网络安全等级保护实施指引第 4 部分：培训指引JR/T 0071.5 2020 金融行业网络安

11、全等级保护实施指引第 5 部分：审计要求JR/T 0071.6 2020 金融行业网络安全等级保护实施指引第 6 部分：审计指引JR/T 0072 2020 金融行业网络安全等级保护测评指南JR/T 0073 2012 金融行业信息安全等级保护测评服务安全指引3 术语和定义下列术语和定义适用于本文件。 3.1 特定等级保护类 JR/T 0071.1 2020 2 3.1.1等级保护对象 target

12、 of classified security网络安全等级保护工作直接作用的对象。注：主要包括信息系统、通信网络设施和数据资源等。GB/T 22240 2020，定义 3.23.1.2等级测评 testing and evaluation for classified cybersecurity protection测评机构依据国家网络安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密的网络安全等

13、级保护状况进行检测评估的活动。GB/T 28448 2019，定义 3.63.1.3 测评强度 testing and evaluation intensity测评工作实际投入力量的表征，可以由测评广度和深度来描述。3.2 通用技术类3.2.1信息系统安全 security of information system信息系统所存储、传输和处理的信息的保密性、完整性和可用性的表征。3.2.2安全保证 security

14、assurance为确保安全要素的安全功能达到要求的安全性目标所采取的方法和措施。3.2.3 用户鉴别 user authentication用特定信息对用户身份的真实性进行确认。用于鉴别的信息一般是非公开的、难以仿造的。GB/T 20271 2006，定义 3.1.123.2.4客体 object信息的载体。GB 17859 1999，定义 3.33.2.5主体 subject引起信息在客体之间流动的人

15、、进程或设备等。GB 17859 1999，定义 3.4 3.2.6 JR/T 0071.1 2020 3 敏感标记 sensitivity label表示客体安全级别并描述客体数据敏感性的一组信息，可信计算基中把敏感标记作为强制访问控制决策的依据。GB 17859 1999，定义 3.53.2.7主、客体标记 label of subject and object为主、客体指定敏感标记。这些敏感标记是等级分类和非

16、等级类别的组合，是实施强制访问控制的依据。GB/T 20271 2006，定义 3.1.143.2.8访问控制 access control 按确定的规则，对实体之间的访问活动进行控制的安全机制，能防止对资源的未授权使用。GB/T 20269 2006，定义 3.33.2.9安全属性 security attribute实施安全策略时，与主体、客体相关的信息。注 1：对于自主访问控制，安全属性

17、包括确定主、客体访问关系的相关信息。注 2：对于采用多级安全策略模型的强制访问控制，安全属性包括主、客体的标识信息和安全标记信息。3.2.10自主访问控制 discretionary access control由客体的所有者主体自主地规定其所拥有客体的访问权限的方法。有访问权限的主体能按授权方式对指定客体实施访问，并能根据授权，对访问权限

18、进行转移。 GB/T 20271 2006，定义 3.1.163.2.11强制访问控制 mandatory access control由系统根据主、客体所包含的敏感标记，按照确定的规则，决定主体对客体访问权限的方法。有访问权限的主体能按授权方式对指定客体实施访问。敏感标记由系统安全员或系统自动地按照确定的规则进行设置和维护。GB/T 20271 2006，定义 3.1.173.2.1

19、2弱口令 weak password过于简单或非常容易被破解的口令或密码。 3.2.13可信路径 trusted path为实现用户与 SSF之间的可信通信，在 SSF与用户之间建立和维护的保护通信数据免遭修改和泄漏的通信路径。 JR/T 0071.1 2020 4 GB/T 20271 2006，定义 3.1.203.2.14公开用户数据 published user data信息系统中需要向所有用户公开的数据。该

20、类数据需要进行完整性保护。GB/T 202712006，定义 3.1.213.2.15内部用户数据 internal user data信息系统中具有一般使用价值或保密程度，需要进行一定保护的用户数据。该类数据的泄漏或破坏，会带来一定的损失。GB/T 20271 2006，定义 3.1.22 3.2.16重要用户数据 important user data信息系统中具有重要使用价值或保密程度，需要进

21、行重点保护的用户数据，该类数据的泄露或破坏，会带来较大的损失。GB/T 20271 2006，定义 3.1.233.2.17关键用户数据 key user data信息系统中具有很高使用价值或保密程度，需要进行特别保护的用户数据，该类数据的泄漏或破坏，会带来重大损失。GB/T 20271 2006，定义 3.1.243.2.18 核心用户数据 nuclear user data信息系统中具有最高

22、使用价值或保密程度，需要进行绝对保护的用户数据，该类数据的泄漏或破坏，会带来灾难性损失。GB/T 20271 2006，定义 3.1.253.2.19设备物理安全 facility physical security为保证信息系统的安全可靠运行，降低或阻止人为或自然因素对硬件设备安全可靠运行带来的安全风险，对硬件设备及部件所采取的适当安全措施。GB/T 21052 200

23、7，定义 3.33.2.20环境物理安全 environment physical security 为保证信息系统的安全可靠运行所提供的安全运行环境，使信息系统得到物理上的严密保护，从而降低或避免各种安全风险。GB/T 21052 2007，定义 3.4 JR/T 0071.1 2020 5 3.2.21系统物理安全 system physical security为保证信息系统的安全可靠运行，降低或阻止人为或自

24、然因素从物理层面对信息系统保密性、完整性、可用性带来的安全威胁，从系统的角度采取的适当安全措施。GB/T 21052 2007，定义 3.53.2.22容错 tolerance通过一系列内部处理措施，将软、硬件所出现的错误消除掉，确保出错情况下信息系统安全子系统所提供的安全功能的有效性和可用性。GB/T 20271 2006，定义 3.1.263.2.23 云计算 cloud

25、 computing通过网络访问可扩展的、灵活的物理或虚拟共享资源池，并按需自助获取和管理资源的模式。注：资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。GB/T 31167 2014，定义 3.13.2.24灾难备份 backup for disaster recovery为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管

26、理能力进行备份的过程。GB/T 20988 2007，定义 3.23.2.25灾难备份中心 backup center for disaster recovery 用于灾难发生后接替主系统进行数据处理和支持关键业务功能运作的场所，可提供灾难备份系统、备用的基础设施和专业技术支持及运行维护管理能力，此场所内或周边可提供备用的生活设施。GB/T 20988 2007，定义 3.13.2.26业务

27、影响分析 business impact analysis； BIA分析业务功能及其相关信息系统资源、评估特定灾难对各种业务功能的影响的过程。GB/T 20988 2007，定义 3.53.2.27灾难恢复预案 disaster recovery plan定义信息系统灾难恢复过程中所需的任务、行动、数据和资源的文件。用于指导相关人员在预定的灾难恢复目标内恢复信息系统支持的关键业务功

28、能。 GB/T 20988 2007，定义 3.103.2.28 JR/T 0071.1 2020 6 灾难恢复能力 disaster recovery capability在灾难发生后利用灾难恢复资源和灾难恢复预案及时恢复和继续运作的能力。GB/T 20988 2007，定义 3.123.2.29演练 exercise为训练人员和提高灾难恢复能力而根据灾难恢复预案进行活动的过程。包括桌面演练、模拟演练、重点演练和

29、完整演练等。GB/T 20988 2007，定义 3.133.2.30恢复时间目标 recovery time objective； RTO灾难发生后，信息系统或业务功能从停顿到必须恢复的时间要求。 GB/T 20988 2007，定义 3.183.2.31恢复点目标 recovery point objective； RPO灾难发生后，系统和数据必须恢复到的时间点要求。GB/T 20988 2007，定义 3.193.2.32审计 audit为获

30、得审计证据并对其进行客观的评价，以确定满足审计准则的程度所进行的系统的、独立的并形成文件的过程。3.2.33 审计准则 audit criteria审计人员进行审计工作时必须遵循的行为规范，是审计人员执行审计业务、获取审计证据、形成审计结论、出具审计报告的标准。3.2.34审计证据 audit evidence审计人员表示审计意见和作出审计结论所必

31、须具备的依据。3.2.35审计发现 audit finding将收集到的审计证据对照审计准则进行评价的结果。3.2.36 审计结论 audit conclusion审计组综合审计目的和所有审计发现后得出的审计结果。3.2.37 JR/T 0071.1 2020 7 审计人员 auditor有能力实施审计的人员。3.2.38审计组 audit team实施审计的一名或多名审计人员，需要时，由技术专家提

32、供支持。3.2.39技术专家 technical expert向审计组提供特定知识或技术的人员。3.2.40审计计划 audit plan 内部审计机构和人员为完成审计业务，达到预期的审计目的，对一段时期的审计工作任务或具体审计项目作出的事先规划。3.2.41审计范围 audit scope审计的内容和界限。3.2.42审计机构 audit part实施审计的部门或单位。3.3 安全管理

33、类3.3.1 安全审计 security audit按确定规则的要求，对与安全相关的事件进行审计，以日志方式记录必要信息，并作出相应处理的安全机制。GB/T 20269 2006，定义 3.43.3.2鉴别信息 authentication information用以确认身份真实性的信息。GB/T 20269 2006，定义 3.53.3.3敏感性 sensitivity表征资源价值或重要性的特性，也可能包含这一资

34、源的脆弱性。 GB/T 20269 2006，定义 3.63.3.4 JR/T 0071.1 2020 8 安全策略 security policy主要指为信息系统安全管理制定的行动方针、路线、工作方式、指导原则或程序。GB/T 20269 2006，定义 3.83.3.5资产价值 asset value资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进行资产识别的主要内容。GB/T 20984 2007

35、，定义 3.23.3.6业务战略 business strategy组织为实现其发展目标而制定的一组规则或要求。GB/T 20984 2007，定义 3.4 3.3.7机密性 confidentiality数据所具有的特性，即表示数据所达到的未提供或未泄露给非授权的个人、过程或其他实体的程度。GB/T 20984 2007，定义 3.53.3.8完整性 integrity保证信息及信息系统不会被非授权更改或

36、破坏的特性。包括数据完整性和系统完整性。GB/T 20984 2007，定义 3.103.3.9可用性 availability 数据或资源的特性，被授权实体按要求能访问和使用数据或资源。GB/T 20984 2007，定义 3.33.3.10威胁 threat可能导致对系统或组织危害的不希望事故潜在起因。GB/T 20984 2007，定义 3.173.3.11脆弱性 vulnerability可能被威胁所利用的资

37、产或若干资产的薄弱环节。GB/T 20984 2007，定义 3.18 3.3.12风险 risk某种威胁存在利用一种资产或若干资产的脆弱性使这些资产损失或破坏的可能性。 JR/T 0071.1 2020 9 GB/T 20282 2006，定义 3.53.3.13信息安全风险 information security risk人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组

38、织造成的影响。GB/T 20984 2007，定义 3.63.3.14风险评估 risk assessment通过对信息系统的资产价值 /重要性、信息系统所受到的威胁以及信息系统的脆弱性进行综合分析，对信息系统及其处理、传输和存储的信息的保密性、完整性和可用性等进行科学识别和评价，确定信息系统安全风险的过程。 GB/T 20269 2006，定义 3.73.3.15残余风险 r

39、esidual risk采取了安全措施后，信息系统仍然可能存在的风险。GB/T 20984 2007，定义 3.123.3.16检查评估 inspection assessment由被评估组织的上级主管机关或业务主管机关发起的，依据国家有关法规与标准，对信息系统及其管理进行的具有强制性的检查活动。GB/T 20984 2007，定义 3.9 3.3.17组织 organization由作用不同的个体为实

40、施共同的业务目标而建立的结构。一个单位是一个组织，某个业务部门也可以是一个组织。GB/T 20984 2007，定义 3.113.3.18自评估 self-assessment由组织自身发起，依据国家有关法规与标准，对信息系统及其管理进行的风险评估活动。GB/T 20984 2007，定义 3.133.3.19 安全事件 security incident指系统、服务或网络的一种可识别状态的

41、发生，其可能是对信息安全策略的违反或防护措施的失效，或未预知的不安全状况。注：改写 GB/T 20984 2007，定义 3.14。 JR/T 0071.1 2020 10 3.3.20安全措施 security measure保护资产、抵御威胁、减少脆弱性、降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制。GB/T 20984 2007，定义 3.153.3.21安全需求 security

42、 requirement使设备、信息、应用及设施符合安全策略的要求而需要采取的保护类型及保护等级。3.3.22业务连续管理 business continuity management； BCM 为保护组织的利益、声誉、品牌和价值创造活动，找出对组织有潜在影响的威胁，提供建设组织有效反应恢复能力的框架的整体管理过程。包括组织在面临灾难时对恢复或连续性的管理

43、，以及为保证业务连续计划或灾难恢复预案的有效性的培训、演练和检查的全部过程。GB/T 20988 2007，定义 3.44 金融行业网络安全等级保护基础4.1 金融行业网络安全等级保护根据网络安全等级保护对象在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害

44、程度，将等级保护对象划分为不同的安全保护等级并对其实施不同的保护和监管。4.2 金融行业网络安全等级保护工作的主要内容根据国家网络安全等级保护管理办法要求，在金融行业开展网络安全等级保护工作，主要内容应该包括：a) 金融行业系统分等级进行安全保护和监管。具体包括定级、备案、安全建设整改、测评、监督检查。b) 金融行

45、业网络安全产品分等级使用管理。c) 金融行业网络安全事件分等级响应、处置等。4.3 金融行业网络安全等级保护实施基本原则根据相关政策要求，网络安全等级保护坚持 “ 谁主管、谁负责，谁经营、谁负责，谁建设、谁负责，谁使用、谁负责 ” 的基本原则。金融行业网络安全等级保护对象的建设和使用单位应依照网络安全等级保护管理规定和

46、技术标准，根据其单位在国民经济和社会发展中的地位作用、系统依赖程度和重要程度、信息内容或数据的重要程度、系统遭到攻击破坏后造成的危害程度等因素，科学、准确地设定其安全保护等级，开展网络安全等级保护工作和制度建设，落实安全管理措施和相关责任。金融领域和金融重点等级保护对象的上级主管部门要对所属对象的安全负起领导和管理责任，提高自主管理、自我保护能力。4.4 金融行业网络安全等级保护监管要求 JR/T 0071.1 2020 11 根据国家网络安全等级保护管理办法要求，网络安全等级保护实行 “ 国家主导、重点单位强制、一般单位自愿，高保护级别强制、低保护级别自愿 ” 的监管原则。金融行业的重要等级保护对象应按照国家有关法

展开阅读全文

JR T 0071.1—2020 金融行业网络安全等级保护实施指引 第1部分：基础和术语.pdf

JR T 0071.1—2020 金融行业网络安全等级保护实施指引第1部分：基础和术语.pdf