11月11日��,中國人民銀行發(fā)布《金融行業(yè)網(wǎng)絡安全等級保護實施指引》(以下簡稱“實施指引”)系列標準,以及《金融行業(yè)網(wǎng)絡安全等級保護測評指南》(以下簡稱“評測指南”)標準�,自發(fā)布之日起實施�。
其中����,《實施指引》系列共包括《基礎和術語》�����、《基本要求》�����、《崗位能力要求和評價指引》�、《培訓指引》、《審計要求》�����、《審計指引》六個部分����,其中基本要求部分為標準主要內(nèi)容。
網(wǎng)絡安全保障框架:兩要求�����、兩體系
網(wǎng)絡安全等級保護是國家網(wǎng)絡安全保障工作的一項基本制度。隨著云計算�����、移動互聯(lián)�、物聯(lián)網(wǎng)、大數(shù)據(jù)等新技術的廣泛應用�,金融機構正根據(jù)自己需要不斷推進IT架構轉型。
據(jù)移動支付網(wǎng)了解����,《實施指引》依據(jù)國家網(wǎng)絡安全等級保護相關要求,為金融行業(yè)的網(wǎng)絡安全建設提供方法論��、具體的建設措施及技術指導����,完善金融行業(yè)網(wǎng)絡安全等級保護體系。
《實施指引》指出����,金融行業(yè)網(wǎng)絡安全保障總體框架包含技術、管理要求以及技術���、管理體系���,遵循交互���、綜合保障的原則。
其中���,技術要求涉及安全物理環(huán)境���、安全通信網(wǎng)絡��、安全區(qū)域邊界����、安全計算環(huán)境、安全管理中心五方面要求;管理要求涉及安全管理制度����、安全管理機構、安全管理人員���、安全建設管理和安全運維管理五方面要求�����。
技術體系以“一個中心�,三重防護”為核心理念,劃分安全計算環(huán)境���、安全區(qū)域邊界���、安全通信網(wǎng)絡與安全管理中心;管理體系遵從生命周期法則,從建立�、實施和執(zhí)行、監(jiān)管和審計��、保持和改進四個過程進行科學化管理�,通過循壞改進形成“生命環(huán)”的管理辦法。
新增“金融行業(yè)增強性安全要求(F類)”
《實施指引》完整的給出了從第二級到第四級的安全要求�,由于業(yè)務目標不同、使用技術不同����、應用場景不同,不同的等級保護對象會以不同的形式出現(xiàn)���。為方便實現(xiàn)對不同等級和不同形態(tài)的等級保護對象的共性化和個性化保護�,等級保護要求分為安全通用要求和安全擴展要求���。
無論等級保護對象以何種形式出現(xiàn)�����,都應根據(jù)相應保護等級實現(xiàn)相應級別的安全通用要求���,另外根據(jù)使用的特定技術或特定場景選擇性實現(xiàn)安全擴展要求����?����!秾嵤┲敢方o出了針對云計算�����、移動互聯(lián)�、物聯(lián)網(wǎng)��、大數(shù)據(jù)系統(tǒng)的安全擴展要求�����。
另外,新增了“金融行業(yè)增強性安全要求(F類)”���,要求在結合金融行業(yè)相關規(guī)定的基礎上對等級保護要求進行補充和完善����,F(xiàn)2����、F3、F4分別對應二級���、三級����、四級增強性要求�。
從第二級安全要求開始,每一級對個人信息保護都做出了要求�����,每一級都包括同樣的7條說明���,只不過在“金融行業(yè)增強性安全要求(F類)”等級中做出了區(qū)分����。
另外,在《實施指引》中對自行軟件開發(fā)�、外包軟件開發(fā)、服務供應商選擇��、環(huán)境管理����、設備維護管理等等方面都提出了細致的要求。
在外包軟件開發(fā)中明確要求����,禁止外包服務商轉包并嚴格控制分包。在開發(fā)時����,應要求開發(fā)人員和測試人員分離�,開發(fā)人員不能兼任系統(tǒng)管理員或業(yè)務操作員,并要求在軟件開發(fā)過程中對代碼規(guī)范�����、代碼質量��、代碼安全性進行審查。
測評指南非常詳細
標準出臺最重要的一部分是什么?所有人都會說是落地�。不落地的標準等于不存在的標準,為幫助《實施指引》落地���,《測評指南》與《實施指引》同時發(fā)布��、實施���。
在《測評指南》中增加了“云計算安全測評擴展要求”、“移動互聯(lián)安全測評擴展要求�����、”“物聯(lián)網(wǎng)安全測評擴展要求”��。增加了“大數(shù)據(jù)可參考安全評估方法”���,對金融行業(yè)大數(shù)據(jù)平臺提出分級要求�。
《測評指南》適用于指導金融機構�、測評機構和金融行業(yè)網(wǎng)絡安全等級保護主管部門對等級保護對象的安全狀況進行安全測評。
據(jù)移動支付網(wǎng)了解����,與金融機構系統(tǒng)特色相結合����,《測評指南》同樣新增“金融行業(yè)增強安全保護類(F類)”要求����,與《實施指引》同樣采用F2、F3�����、F4進行分級表示����。
聲明:本文來自移動支付網(wǎng),版權歸作者所有���。文章內(nèi)容僅代表作者獨立觀點�,不代表本站立場��,轉載目的在于傳遞更多信息�。如有侵權���,請聯(lián)系刪除���。
等保測評咨詢
