1、ICS 03.060A 11 JR中 华 人 民 共 和 国 金 融 行 业 标 准JR/T 0071.1 2020金 融 行 业 网 络 安 全 等 级 保 护 实 施 指 引第 1 部 分 : 基 础 和 术 语 Implementation guidelines for classified protection of cybersecurity of financialindustry Part 1: Fundamentals and vocabulary 2020 -11- 11发 布 2020- 11-11实 施中 国 人 民 银 行 发 布 JR/T 0071.1 2020 I
2、目 次前 言 .II引 言 .III1 范 围 .12 规 范 性 引 用 文 件 .13 术 语 和 定 义 .14 金 融 行 业 网 络 安 全 等 级 保 护 基 础 .10 JR/T 0071.1 2020 II 前 言JR/T 0071 金 融 行 业 网 络 安 全 等 级 保 护 实 施 指 引 由 以 下 6 部 分 构 成 : 第 1 部 分 : 基 础 和 术 语 ; 第 2 部 分 : 基 本 要 求 ; 第 3 部 分 : 岗 位 能 力 要 求 和 评 价 指 引 ; 第 4 部 分 : 培 训 指 引 ; 第 5 部 分 : 审 计 要 求 ; 第 6 部 分 :
3、 审 计 指 引 。本 部 分 为 JR/T 0071的 第 1 部 分 。本 部 分 按 照 GB/T 1.1 2009 给 出 的 规 则 起 草 。 本 部 分 由 中 国 人 民 银 行 提 出 。本 部 分 由 全 国 金 融 标 准 化 技 术 委 员 会 ( SAC/TC 180) 归 口 。本 部 分 起 草 单 位 : 中 国 人 民 银 行 科 技 司 、 中 国 银 行 保 险 监 督 管 理 委 员 会 统 计 信 息 与 风 险 监 测 部 、 中国 金 融 电 子 化 公 司 、 北 京 中 金 国 盛 认 证 有 限 公 司 。本 部 分 主 要 起 草 人 :
4、李 伟 、 陈 立 吾 、 沈 筱 彦 、 车 珍 、 昝 新 、 夏 磊 、 方 怡 、 张 海 燕 、 唐 辉 、 李 凡 、 王海 涛 、 张 璐 、 潘 丽 扬 、 邓 昊 、 侯 漫 丽 、 孙 国 栋 、 刘 文 娟 、 赵 方 萌 、 乔 媛 、 崔 莹 、 陈 雪 峰 、 马 成 龙 、 杜 巍 、李 瑞 锋 。 JR/T 0071.1 2020 III 引 言网 络 安 全 等 级 保 护 是 国 家 网 络 安 全 保 障 工 作 的 一 项 基 本 制 度 , 金 融 行 业 重 要 系 统 关 系 到 国 计 民 生 ,是 国 家 网 络 安 全 重 点 保 护 对 象
5、 , 因 此 需 要 一 系 列 适 合 金 融 行 业 的 等 级 保 护 标 准 体 系 作 为 支 撑 , 以 规 范 和指 导 金 融 行 业 等 级 保 护 工 作 的 实 施 。 随 着 云 计 算 、 移 动 互 联 、 物 联 网 、 大 数 据 等 新 技 术 的 广 泛 应 用 , 金融 机 构 正 根 据 自 身 发 展 的 需 要 , 持 续 推 进 IT架 构 的 转 型 。 为 适 应 新 技 术 、 新 应 用 和 新 架 构 情 况 下 金 融 行业 网 络 安 全 等 级 保 护 工 作 的 开 展 , 现 对 JR/T 0071进 行 修 订 。 修 订 后
6、 的 JR/T 0071依 据 国 家 网 络 安 全 等 级保 护 相 关 要 求 , 为 金 融 行 业 的 网 络 安 全 建 设 提 供 方 法 论 、 具 体 的 建 设 措 施 及 技 术 指 导 , 完 善 金 融 行 业 网络 安 全 等 级 保 护 体 系 , 更 好 适 应 新 技 术 在 金 融 行 业 的 应 用 。 JR/T 0071.1 2020 1 金 融 行 业 网 络 安 全 等 级 保 护 实 施 指 引第 1 部 分 : 基 础 和 术 语1 范 围本 部 分 规 定 了 金 融 行 业 网 络 安 全 等 级 保 护 工 作 的 基 础 框 架 和 术
7、语 定 义 。本 部 分 适 用 于 指 导 金 融 机 构 、 测 评 机 构 和 金 融 行 业 主 管 部 门 实 施 网 络 安 全 等 级 保 护 工 作 。2 规 范 性 引 用 文 件下 列 文 件 对 于 本 文 件 的 应 用 是 必 不 可 少 的 。 凡 是 注 日 期 的 引 用 文 件 , 仅 注 日 期 的 版 本 适 用 于 本 文 件 。 凡 是 不 注 日 期 的 引 用 文 件 , 其 最 新 版 本 ( 包 括 所 有 的 修 改 单 ) 适 用 于 本 文 件 。GB 17859 1999 计 算 机 信 息 系 统 安 全 保 护 等 级 划 分 准
8、则GB/T 20269 2006 信 息 安 全 技 术 信 息 系 统 安 全 管 理 要 求GB/T 20271 2006 信 息 安 全 技 术 信 息 系 统 安 全 通 用 技 术 要 求GB/T 20272 2019 信 息 安 全 技 术 操 作 系 统 安 全 技 术 要 求GB/T 20279 2015 信 息 安 全 技 术 网 络 和 终 端 隔 离 产 品 安 全 技 术 要 求GB/T 20282 2006 信 息 安 全 技 术 信 息 系 统 安 全 工 程 管 理 要 求GB/T 20984 2007 信 息 安 全 技 术 信 息 安 全 风 险 评 估 规
9、范GB/T 20988 2007 信 息 安 全 技 术 信 息 系 统 灾 难 恢 复 规 范GB/T 21052 2007 信 息 安 全 技 术 信 息 系 统 物 理 安 全 技 术 要 求GB/T 22239 2019 信 息 安 全 技 术 网 络 安 全 等 级 保 护 基 本 要 求GB/T 22240 2020 信 息 安 全 技 术 网 络 安 全 等 级 保 护 定 级 指 南GB/T 25070 2019 信 息 安 全 技 术 网 络 安 全 等 级 保 护 安 全 设 计 技 术 要 求 GB/T 28448 2019 信 息 安 全 技 术 网 络 安 全 等 级
10、 保 护 测 评 要 求GB/T 31167 2014 信 息 安 全 技 术 云 计 算 服 务 安 全 指 南JR/T 0071.2 2020 金 融 行 业 网 络 安 全 等 级 保 护 实 施 指 引 第 2 部 分 : 基 本 要 求JR/T 0071.3 2020 金 融 行 业 网 络 安 全 等 级 保 护 实 施 指 引 第 3 部 分 : 岗 位 能 力 要 求 和 评 价 指 引JR/T 0071.4 2020 金 融 行 业 网 络 安 全 等 级 保 护 实 施 指 引 第 4 部 分 : 培 训 指 引JR/T 0071.5 2020 金 融 行 业 网 络 安
11、全 等 级 保 护 实 施 指 引 第 5 部 分 : 审 计 要 求JR/T 0071.6 2020 金 融 行 业 网 络 安 全 等 级 保 护 实 施 指 引 第 6 部 分 : 审 计 指 引JR/T 0072 2020 金 融 行 业 网 络 安 全 等 级 保 护 测 评 指 南JR/T 0073 2012 金 融 行 业 信 息 安 全 等 级 保 护 测 评 服 务 安 全 指 引3 术 语 和 定 义下 列 术 语 和 定 义 适 用 于 本 文 件 。 3.1 特 定 等 级 保 护 类 JR/T 0071.1 2020 2 3.1.1等 级 保 护 对 象 target
12、 of classified security网 络 安 全 等 级 保 护 工 作 直 接 作 用 的 对 象 。注 : 主 要 包 括 信 息 系 统 、 通 信 网 络 设 施 和 数 据 资 源 等 。GB/T 22240 2020, 定 义 3.23.1.2等 级 测 评 testing and evaluation for classified cybersecurity protection测 评 机 构 依 据 国 家 网 络 安 全 等 级 保 护 制 度 规 定 , 按 照 有 关 管 理 规 范 和 技 术 标 准 , 对 非 涉 及 国 家 秘 密的 网 络 安 全 等
13、 级 保 护 状 况 进 行 检 测 评 估 的 活 动 。GB/T 28448 2019, 定 义 3.63.1.3 测 评 强 度 testing and evaluation intensity测 评 工 作 实 际 投 入 力 量 的 表 征 , 可 以 由 测 评 广 度 和 深 度 来 描 述 。3.2 通 用 技 术 类3.2.1信 息 系 统 安 全 security of information system信 息 系 统 所 存 储 、 传 输 和 处 理 的 信 息 的 保 密 性 、 完 整 性 和 可 用 性 的 表 征 。3.2.2安 全 保 证 security
14、assurance为 确 保 安 全 要 素 的 安 全 功 能 达 到 要 求 的 安 全 性 目 标 所 采 取 的 方 法 和 措 施 。3.2.3 用 户 鉴 别 user authentication用 特 定 信 息 对 用 户 身 份 的 真 实 性 进 行 确 认 。 用 于 鉴 别 的 信 息 一 般 是 非 公 开 的 、 难 以 仿 造 的 。GB/T 20271 2006, 定 义 3.1.123.2.4客 体 object信 息 的 载 体 。GB 17859 1999, 定 义 3.33.2.5主 体 subject引 起 信 息 在 客 体 之 间 流 动 的 人
15、 、 进 程 或 设 备 等 。GB 17859 1999, 定 义 3.4 3.2.6 JR/T 0071.1 2020 3 敏 感 标 记 sensitivity label表 示 客 体 安 全 级 别 并 描 述 客 体 数 据 敏 感 性 的 一 组 信 息 , 可 信 计 算 基 中 把 敏 感 标 记 作 为 强 制 访 问 控 制决 策 的 依 据 。GB 17859 1999, 定 义 3.53.2.7主 、 客 体 标 记 label of subject and object为 主 、 客 体 指 定 敏 感 标 记 。 这 些 敏 感 标 记 是 等 级 分 类 和 非
16、 等 级 类 别 的 组 合 , 是 实 施 强 制 访 问 控 制 的依 据 。GB/T 20271 2006, 定 义 3.1.143.2.8访 问 控 制 access control 按 确 定 的 规 则 , 对 实 体 之 间 的 访 问 活 动 进 行 控 制 的 安 全 机 制 , 能 防 止 对 资 源 的 未 授 权 使 用 。GB/T 20269 2006, 定 义 3.33.2.9安 全 属 性 security attribute实 施 安 全 策 略 时 , 与 主 体 、 客 体 相 关 的 信 息 。注 1: 对 于 自 主 访 问 控 制 , 安 全 属 性
17、包 括 确 定 主 、 客 体 访 问 关 系 的 相 关 信 息 。注 2: 对 于 采 用 多 级 安 全 策 略 模 型 的 强 制 访 问 控 制 , 安 全 属 性 包 括 主 、 客 体 的 标 识 信 息 和 安 全 标 记 信 息 。3.2.10自 主 访 问 控 制 discretionary access control由 客 体 的 所 有 者 主 体 自 主 地 规 定 其 所 拥 有 客 体 的 访 问 权 限 的 方 法 。 有 访 问 权 限 的 主 体 能 按 授 权 方 式对 指 定 客 体 实 施 访 问 , 并 能 根 据 授 权 , 对 访 问 权 限
18、进 行 转 移 。 GB/T 20271 2006, 定 义 3.1.163.2.11强 制 访 问 控 制 mandatory access control由 系 统 根 据 主 、 客 体 所 包 含 的 敏 感 标 记 , 按 照 确 定 的 规 则 , 决 定 主 体 对 客 体 访 问 权 限 的 方 法 。 有 访问 权 限 的 主 体 能 按 授 权 方 式 对 指 定 客 体 实 施 访 问 。 敏 感 标 记 由 系 统 安 全 员 或 系 统 自 动 地 按 照 确 定 的 规 则进 行 设 置 和 维 护 。GB/T 20271 2006, 定 义 3.1.173.2.1
19、2弱 口 令 weak password过 于 简 单 或 非 常 容 易 被 破 解 的 口 令 或 密 码 。 3.2.13可 信 路 径 trusted path为 实 现 用 户 与 SSF之 间 的 可 信 通 信 , 在 SSF与 用 户 之 间 建 立 和 维 护 的 保 护 通 信 数 据 免 遭 修 改 和 泄 漏 的通 信 路 径 。 JR/T 0071.1 2020 4 GB/T 20271 2006, 定 义 3.1.203.2.14公 开 用 户 数 据 published user data信 息 系 统 中 需 要 向 所 有 用 户 公 开 的 数 据 。 该
20、类 数 据 需 要 进 行 完 整 性 保 护 。GB/T 202712006, 定 义 3.1.213.2.15内 部 用 户 数 据 internal user data信 息 系 统 中 具 有 一 般 使 用 价 值 或 保 密 程 度 , 需 要 进 行 一 定 保 护 的 用 户 数 据 。 该 类 数 据 的 泄 漏 或 破 坏 ,会 带 来 一 定 的 损 失 。GB/T 20271 2006, 定 义 3.1.22 3.2.16重 要 用 户 数 据 important user data信 息 系 统 中 具 有 重 要 使 用 价 值 或 保 密 程 度 , 需 要 进
21、行 重 点 保 护 的 用 户 数 据 , 该 类 数 据 的 泄 露 或 破 坏 ,会 带 来 较 大 的 损 失 。GB/T 20271 2006, 定 义 3.1.233.2.17关 键 用 户 数 据 key user data信 息 系 统 中 具 有 很 高 使 用 价 值 或 保 密 程 度 , 需 要 进 行 特 别 保 护 的 用 户 数 据 , 该 类 数 据 的 泄 漏 或 破 坏 ,会 带 来 重 大 损 失 。GB/T 20271 2006, 定 义 3.1.243.2.18 核 心 用 户 数 据 nuclear user data信 息 系 统 中 具 有 最 高
22、 使 用 价 值 或 保 密 程 度 , 需 要 进 行 绝 对 保 护 的 用 户 数 据 , 该 类 数 据 的 泄 漏 或 破 坏 ,会 带 来 灾 难 性 损 失 。GB/T 20271 2006, 定 义 3.1.253.2.19设 备 物 理 安 全 facility physical security为 保 证 信 息 系 统 的 安 全 可 靠 运 行 , 降 低 或 阻 止 人 为 或 自 然 因 素 对 硬 件 设 备 安 全 可 靠 运 行 带 来 的 安 全风 险 , 对 硬 件 设 备 及 部 件 所 采 取 的 适 当 安 全 措 施 。GB/T 21052 200
23、7, 定 义 3.33.2.20环 境 物 理 安 全 environment physical security 为 保 证 信 息 系 统 的 安 全 可 靠 运 行 所 提 供 的 安 全 运 行 环 境 , 使 信 息 系 统 得 到 物 理 上 的 严 密 保 护 , 从 而降 低 或 避 免 各 种 安 全 风 险 。GB/T 21052 2007, 定 义 3.4 JR/T 0071.1 2020 5 3.2.21系 统 物 理 安 全 system physical security为 保 证 信 息 系 统 的 安 全 可 靠 运 行 , 降 低 或 阻 止 人 为 或 自
24、然 因 素 从 物 理 层 面 对 信 息 系 统 保 密 性 、 完 整性 、 可 用 性 带 来 的 安 全 威 胁 , 从 系 统 的 角 度 采 取 的 适 当 安 全 措 施 。GB/T 21052 2007, 定 义 3.53.2.22容 错 tolerance通 过 一 系 列 内 部 处 理 措 施 , 将 软 、 硬 件 所 出 现 的 错 误 消 除 掉 , 确 保 出 错 情 况 下 信 息 系 统 安 全 子 系 统所 提 供 的 安 全 功 能 的 有 效 性 和 可 用 性 。GB/T 20271 2006, 定 义 3.1.263.2.23 云 计 算 cloud
25、 computing通 过 网 络 访 问 可 扩 展 的 、 灵 活 的 物 理 或 虚 拟 共 享 资 源 池 , 并 按 需 自 助 获 取 和 管 理 资 源 的 模 式 。注 : 资 源 实 例 包 括 服 务 器 、 操 作 系 统 、 网 络 、 软 件 、 应 用 和 存 储 设 备 等 。GB/T 31167 2014, 定 义 3.13.2.24灾 难 备 份 backup for disaster recovery为 了 灾 难 恢 复 而 对 数 据 、 数 据 处 理 系 统 、 网 络 系 统 、 基 础 设 施 、 专 业 技 术 支 持 能 力 和 运 行 管
26、理 能 力进 行 备 份 的 过 程 。GB/T 20988 2007, 定 义 3.23.2.25灾 难 备 份 中 心 backup center for disaster recovery 用 于 灾 难 发 生 后 接 替 主 系 统 进 行 数 据 处 理 和 支 持 关 键 业 务 功 能 运 作 的 场 所 , 可 提 供 灾 难 备 份 系 统 、备 用 的 基 础 设 施 和 专 业 技 术 支 持 及 运 行 维 护 管 理 能 力 , 此 场 所 内 或 周 边 可 提 供 备 用 的 生 活 设 施 。GB/T 20988 2007, 定 义 3.13.2.26业 务
27、影 响 分 析 business impact analysis; BIA分 析 业 务 功 能 及 其 相 关 信 息 系 统 资 源 、 评 估 特 定 灾 难 对 各 种 业 务 功 能 的 影 响 的 过 程 。GB/T 20988 2007, 定 义 3.53.2.27灾 难 恢 复 预 案 disaster recovery plan定 义 信 息 系 统 灾 难 恢 复 过 程 中 所 需 的 任 务 、 行 动 、 数 据 和 资 源 的 文 件 。 用 于 指 导 相 关 人 员 在 预 定 的灾 难 恢 复 目 标 内 恢 复 信 息 系 统 支 持 的 关 键 业 务 功
28、 能 。 GB/T 20988 2007, 定 义 3.103.2.28 JR/T 0071.1 2020 6 灾 难 恢 复 能 力 disaster recovery capability在 灾 难 发 生 后 利 用 灾 难 恢 复 资 源 和 灾 难 恢 复 预 案 及 时 恢 复 和 继 续 运 作 的 能 力 。GB/T 20988 2007, 定 义 3.123.2.29演 练 exercise为 训 练 人 员 和 提 高 灾 难 恢 复 能 力 而 根 据 灾 难 恢 复 预 案 进 行 活 动 的 过 程 。 包 括 桌 面 演 练 、 模 拟 演 练 、重 点 演 练 和
29、 完 整 演 练 等 。GB/T 20988 2007, 定 义 3.133.2.30恢 复 时 间 目 标 recovery time objective; RTO灾 难 发 生 后 , 信 息 系 统 或 业 务 功 能 从 停 顿 到 必 须 恢 复 的 时 间 要 求 。 GB/T 20988 2007, 定 义 3.183.2.31恢 复 点 目 标 recovery point objective; RPO灾 难 发 生 后 , 系 统 和 数 据 必 须 恢 复 到 的 时 间 点 要 求 。GB/T 20988 2007, 定 义 3.193.2.32审 计 audit为 获
30、得 审 计 证 据 并 对 其 进 行 客 观 的 评 价 , 以 确 定 满 足 审 计 准 则 的 程 度 所 进 行 的 系 统 的 、 独 立 的 并 形成 文 件 的 过 程 。3.2.33 审 计 准 则 audit criteria审 计 人 员 进 行 审 计 工 作 时 必 须 遵 循 的 行 为 规 范 , 是 审 计 人 员 执 行 审 计 业 务 、 获 取 审 计 证 据 、 形 成 审计 结 论 、 出 具 审 计 报 告 的 标 准 。3.2.34审 计 证 据 audit evidence审 计 人 员 表 示 审 计 意 见 和 作 出 审 计 结 论 所 必
31、 须 具 备 的 依 据 。3.2.35审 计 发 现 audit finding将 收 集 到 的 审 计 证 据 对 照 审 计 准 则 进 行 评 价 的 结 果 。3.2.36 审 计 结 论 audit conclusion审 计 组 综 合 审 计 目 的 和 所 有 审 计 发 现 后 得 出 的 审 计 结 果 。3.2.37 JR/T 0071.1 2020 7 审 计 人 员 auditor有 能 力 实 施 审 计 的 人 员 。3.2.38审 计 组 audit team实 施 审 计 的 一 名 或 多 名 审 计 人 员 , 需 要 时 , 由 技 术 专 家 提
32、供 支 持 。3.2.39技 术 专 家 technical expert向 审 计 组 提 供 特 定 知 识 或 技 术 的 人 员 。3.2.40审 计 计 划 audit plan 内 部 审 计 机 构 和 人 员 为 完 成 审 计 业 务 , 达 到 预 期 的 审 计 目 的 , 对 一 段 时 期 的 审 计 工 作 任 务 或 具 体 审计 项 目 作 出 的 事 先 规 划 。3.2.41审 计 范 围 audit scope审 计 的 内 容 和 界 限 。3.2.42审 计 机 构 audit part实 施 审 计 的 部 门 或 单 位 。3.3 安 全 管 理
33、类3.3.1 安 全 审 计 security audit按 确 定 规 则 的 要 求 , 对 与 安 全 相 关 的 事 件 进 行 审 计 , 以 日 志 方 式 记 录 必 要 信 息 , 并 作 出 相 应 处 理 的安 全 机 制 。GB/T 20269 2006, 定 义 3.43.3.2鉴 别 信 息 authentication information用 以 确 认 身 份 真 实 性 的 信 息 。GB/T 20269 2006, 定 义 3.53.3.3敏 感 性 sensitivity表 征 资 源 价 值 或 重 要 性 的 特 性 , 也 可 能 包 含 这 一 资
34、 源 的 脆 弱 性 。 GB/T 20269 2006, 定 义 3.63.3.4 JR/T 0071.1 2020 8 安 全 策 略 security policy主 要 指 为 信 息 系 统 安 全 管 理 制 定 的 行 动 方 针 、 路 线 、 工 作 方 式 、 指 导 原 则 或 程 序 。GB/T 20269 2006, 定 义 3.83.3.5资 产 价 值 asset value资 产 的 重 要 程 度 或 敏 感 程 度 的 表 征 。 资 产 价 值 是 资 产 的 属 性 , 也 是 进 行 资 产 识 别 的 主 要 内 容 。GB/T 20984 2007
35、, 定 义 3.23.3.6业 务 战 略 business strategy组 织 为 实 现 其 发 展 目 标 而 制 定 的 一 组 规 则 或 要 求 。GB/T 20984 2007, 定 义 3.4 3.3.7机 密 性 confidentiality数 据 所 具 有 的 特 性 , 即 表 示 数 据 所 达 到 的 未 提 供 或 未 泄 露 给 非 授 权 的 个 人 、 过 程 或 其 他 实 体 的 程 度 。GB/T 20984 2007, 定 义 3.53.3.8完 整 性 integrity保 证 信 息 及 信 息 系 统 不 会 被 非 授 权 更 改 或
36、破 坏 的 特 性 。 包 括 数 据 完 整 性 和 系 统 完 整 性 。GB/T 20984 2007, 定 义 3.103.3.9可 用 性 availability 数 据 或 资 源 的 特 性 , 被 授 权 实 体 按 要 求 能 访 问 和 使 用 数 据 或 资 源 。GB/T 20984 2007, 定 义 3.33.3.10威 胁 threat可 能 导 致 对 系 统 或 组 织 危 害 的 不 希 望 事 故 潜 在 起 因 。GB/T 20984 2007, 定 义 3.173.3.11脆 弱 性 vulnerability可 能 被 威 胁 所 利 用 的 资
37、产 或 若 干 资 产 的 薄 弱 环 节 。GB/T 20984 2007, 定 义 3.18 3.3.12风 险 risk某 种 威 胁 存 在 利 用 一 种 资 产 或 若 干 资 产 的 脆 弱 性 使 这 些 资 产 损 失 或 破 坏 的 可 能 性 。 JR/T 0071.1 2020 9 GB/T 20282 2006, 定 义 3.53.3.13信 息 安 全 风 险 information security risk人 为 或 自 然 的 威 胁 利 用 信 息 系 统 及 其 管 理 体 系 中 存 在 的 脆 弱 性 导 致 安 全 事 件 的 发 生 及 其 对 组
38、 织 造成 的 影 响 。GB/T 20984 2007, 定 义 3.63.3.14风 险 评 估 risk assessment通 过 对 信 息 系 统 的 资 产 价 值 /重 要 性 、 信 息 系 统 所 受 到 的 威 胁 以 及 信 息 系 统 的 脆 弱 性 进 行 综 合 分 析 ,对 信 息 系 统 及 其 处 理 、 传 输 和 存 储 的 信 息 的 保 密 性 、 完 整 性 和 可 用 性 等 进 行 科 学 识 别 和 评 价 , 确 定 信 息系 统 安 全 风 险 的 过 程 。 GB/T 20269 2006, 定 义 3.73.3.15残 余 风 险 r
39、esidual risk采 取 了 安 全 措 施 后 , 信 息 系 统 仍 然 可 能 存 在 的 风 险 。GB/T 20984 2007, 定 义 3.123.3.16检 查 评 估 inspection assessment由 被 评 估 组 织 的 上 级 主 管 机 关 或 业 务 主 管 机 关 发 起 的 , 依 据 国 家 有 关 法 规 与 标 准 , 对 信 息 系 统 及 其管 理 进 行 的 具 有 强 制 性 的 检 查 活 动 。GB/T 20984 2007, 定 义 3.9 3.3.17组 织 organization由 作 用 不 同 的 个 体 为 实
40、施 共 同 的 业 务 目 标 而 建 立 的 结 构 。 一 个 单 位 是 一 个 组 织 , 某 个 业 务 部 门 也 可以 是 一 个 组 织 。GB/T 20984 2007, 定 义 3.113.3.18自 评 估 self-assessment由 组 织 自 身 发 起 , 依 据 国 家 有 关 法 规 与 标 准 , 对 信 息 系 统 及 其 管 理 进 行 的 风 险 评 估 活 动 。GB/T 20984 2007, 定 义 3.133.3.19 安 全 事 件 security incident指 系 统 、 服 务 或 网 络 的 一 种 可 识 别 状 态 的
41、发 生 , 其 可 能 是 对 信 息 安 全 策 略 的 违 反 或 防 护 措 施 的 失 效 ,或 未 预 知 的 不 安 全 状 况 。注 : 改 写 GB/T 20984 2007, 定 义 3.14。 JR/T 0071.1 2020 10 3.3.20安 全 措 施 security measure保 护 资 产 、 抵 御 威 胁 、 减 少 脆 弱 性 、 降 低 安 全 事 件 的 影 响 , 以 及 打 击 信 息 犯 罪 而 实 施 的 各 种 实 践 、规 程 和 机 制 。GB/T 20984 2007, 定 义 3.153.3.21安 全 需 求 security
42、 requirement使 设 备 、 信 息 、 应 用 及 设 施 符 合 安 全 策 略 的 要 求 而 需 要 采 取 的 保 护 类 型 及 保 护 等 级 。3.3.22业 务 连 续 管 理 business continuity management; BCM 为 保 护 组 织 的 利 益 、 声 誉 、 品 牌 和 价 值 创 造 活 动 , 找 出 对 组 织 有 潜 在 影 响 的 威 胁 , 提 供 建 设 组 织 有效 反 应 恢 复 能 力 的 框 架 的 整 体 管 理 过 程 。 包 括 组 织 在 面 临 灾 难 时 对 恢 复 或 连 续 性 的 管 理
43、, 以 及 为 保 证 业务 连 续 计 划 或 灾 难 恢 复 预 案 的 有 效 性 的 培 训 、 演 练 和 检 查 的 全 部 过 程 。GB/T 20988 2007, 定 义 3.44 金 融 行 业 网 络 安 全 等 级 保 护 基 础4.1 金 融 行 业 网 络 安 全 等 级 保 护根 据 网 络 安 全 等 级 保 护 对 象 在 国 家 安 全 、 经 济 建 设 、 社 会 生 活 中 的 重 要 程 度 , 遭 到 破 坏 后 对 国 家 安全 、 社 会 秩 序 、 公 共 利 益 以 及 公 民 、 法 人 和 其 他 组 织 的 合 法 权 益 的 危 害
44、 程 度 , 将 等 级 保 护 对 象 划 分 为 不同 的 安 全 保 护 等 级 并 对 其 实 施 不 同 的 保 护 和 监 管 。4.2 金 融 行 业 网 络 安 全 等 级 保 护 工 作 的 主 要 内 容 根 据 国 家 网 络 安 全 等 级 保 护 管 理 办 法 要 求 , 在 金 融 行 业 开 展 网 络 安 全 等 级 保 护 工 作 , 主 要 内 容 应 该包 括 :a) 金 融 行 业 系 统 分 等 级 进 行 安 全 保 护 和 监 管 。 具 体 包 括 定 级 、 备 案 、 安 全 建 设 整 改 、 测 评 、 监 督检 查 。b) 金 融 行
45、 业 网 络 安 全 产 品 分 等 级 使 用 管 理 。c) 金 融 行 业 网 络 安 全 事 件 分 等 级 响 应 、 处 置 等 。4.3 金 融 行 业 网 络 安 全 等 级 保 护 实 施 基 本 原 则根 据 相 关 政 策 要 求 , 网 络 安 全 等 级 保 护 坚 持 “ 谁 主 管 、 谁 负 责 , 谁 经 营 、 谁 负 责 , 谁 建 设 、 谁 负 责 ,谁 使 用 、 谁 负 责 ” 的 基 本 原 则 。金 融 行 业 网 络 安 全 等 级 保 护 对 象 的 建 设 和 使 用 单 位 应 依 照 网 络 安 全 等 级 保 护 管 理 规 定 和
46、 技 术 标 准 ,根 据 其 单 位 在 国 民 经 济 和 社 会 发 展 中 的 地 位 作 用 、 系 统 依 赖 程 度 和 重 要 程 度 、 信 息 内 容 或 数 据 的 重 要 程度 、 系 统 遭 到 攻 击 破 坏 后 造 成 的 危 害 程 度 等 因 素 , 科 学 、 准 确 地 设 定 其 安 全 保 护 等 级 , 开 展 网 络 安 全 等 级 保 护 工 作 和 制 度 建 设 , 落 实 安 全 管 理 措 施 和 相 关 责 任 。 金 融 领 域 和 金 融 重 点 等 级 保 护 对 象 的 上 级 主 管部 门 要 对 所 属 对 象 的 安 全 负 起 领 导 和 管 理 责 任 , 提 高 自 主 管 理 、 自 我 保 护 能 力 。4.4 金 融 行 业 网 络 安 全 等 级 保 护 监 管 要 求 JR/T 0071.1 2020 11 根 据 国 家 网 络 安 全 等 级 保 护 管 理 办 法 要 求 , 网 络 安 全 等 级 保 护 实 行 “ 国 家 主 导 、 重 点 单 位 强 制 、 一般 单 位 自 愿 , 高 保 护 级 别 强 制 、 低 保 护 级 别 自 愿 ” 的 监 管 原 则 。金 融 行 业 的 重 要 等 级 保 护 对 象 应 按 照 国 家 有 关 法