2020年11月11日,中国人民银行正式批准发布金融行业标准《金融行业网络安全等级保护实施指引》(JR/T 0071-2020)(以下简称“实施指引”)和《金融行业网络安全等级保护测评指南》(JR/T0072-2020)(以下简称“评测指南”)。这是等保2.0国家标准体系发布以来首个更新的行业等级保护标准,为我国金融行业等级保护工作开展提供了重要指导。
风险引入:监管趋严 时刻考验银行网络安全合规建设
近年来,银行信息安全保障不足、内部管理制度存在漏洞等种种问题不断暴露在公众视野之中,银行所承担的“金融机构”“网络运营者”“关键信息基础设施运营者”及“个人信息控制者”等多重角色进一步增加了银行落实网络安全和数据合规相关制度的难度。网络安全等级保护是国家网络安全保障工作的一项基本制度,金融机构应根据自己需要不断推进IT架构转型。
《实施指引》共包括六部分,标准规范了金融行业网络安全保障框架和不同安全等级对应的安全要求、并对大数据安全提出了明确要求。指出金融行业网络安全保障总体框架包含技术、管理要求以及技术、管理体系,遵循交互、综合保障的原则。
其中,技术要求涉及安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五方面要求;管理要求涉及安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理五方面要求。
技术体系以“一个中心,三重防护”为核心理念,划分安全计算环境、安全区域边界、安全通信网络与安全管理中心;管理体系遵从生命周期法则,从建立、实施和执行、监管和审计、保持和改进四个过程进行科学化管理,通过循坏改进形成“生命环”的管理办法。从第二级安全要求开始,每一级对个人信息保护都做出了要求,每一级都包括同样的7条说明,在“金融行业增强性安全要求(F类)”等级中做出了区分。
无论等级保护对象以何种形式出现,都应根据相应保护等级实现相应级别的安全通用要求,另外根据使用的特定技术或特定场景选择性实现安全扩展要求。本标准的发布有助于金融行业网络安全等级保护工作的开展,为金融行业的网络安全建设提供方法论、具体的建设措施及技术指导,完善金融行业网络安全等级保护体系,为金融行业推进IT架构转型的过程中提供安全指导,更好适应新技术在金融行业的应用,全面提升金融行业系统网络安全整体防护水平。
测评指南非常详细
为帮助《实施指引》落地,《测评指南》与《实施指引》同时发布、实施。
《测评指南》规定了金融行业对第二级、第三级和第四级的等级保护对象的安全测评通用要求和安全测评扩展要求。适用于指导金融机构、测评机构和金融行业网络安全等级保护主管部门对等级保护对象的安全状况进行安全测评。《测评指南》中增加了“云计算安全测评扩展要求”、“移动互联安全测评扩展要求、”“物联网安全测评扩展要求”。增加了“大数据可参考安全评估方法”,对金融行业大数据平台提出分级要求。
《测评指南》适用于指导金融机构、测评机构和金融行业网络安全等级保护主管部门对等级保护对象的安全状况进行安全测评。 与金融机构系统特色相结合,《测评指南》同样新增“金融行业增强安全保护类(F类)”要求,与《实施指引》同样采用F2、F3、F4进行分级表示。
本标准的发布有助于金融行业网络安全等级保护测评工作的开展,为金融行业网络安全等级保护测评工作提供指导,可参考本标准对金融行业网络安全等级保护对象的安全状况进行测评、自查和评估,进一步完善了金融行业网络安全等级保护体系。