精選優(yōu)質(zhì)文檔-----傾情為你奉上精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)專心---專注---專業(yè)精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)《金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引(送審稿)》編制說明中國人民銀行科技司二○一二年二月

《金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引(送審稿)》編制說明一、背景及意義信息系統(tǒng)信息安全等級保護制度（簡稱等級保護）是我國信息安全領(lǐng)域的一項基本國策。金融行業(yè)重要的信息系統(tǒng)關(guān)系到國計民生，是國家信息安全重點保護對象，因此金融行業(yè)是落實和實施信息安全等級保護的重點行業(yè)之一。由于金融行業(yè)的信息系統(tǒng)多是數(shù)據(jù)集中、資金密集、大型復(fù)雜、網(wǎng)絡(luò)化的信息系統(tǒng)，所以圍繞金融行業(yè)開展信息系統(tǒng)的信息安全等級保護工作，需要一系列適合金融行業(yè)的等級保護標(biāo)準(zhǔn)體系作為支撐，以規(guī)范和指導(dǎo)金融等級保護工作的實施。中國人民銀行作為我國中央銀行，對金融行業(yè)重要信息和信息系統(tǒng)的信息安全保護工作負有指導(dǎo)監(jiān)督的重任，需要在金融行業(yè)內(nèi)建立符合金融行業(yè)特點的信息安全等級保護體系規(guī)范，通過備案、指導(dǎo)、檢查、督促整改等方式來推進金融行業(yè)信息安全等級保護工作建設(shè)。為此，人民銀行科技司組織安全等級保護領(lǐng)域?qū)＜液拖嚓P(guān)技術(shù)人員，根據(jù)國家關(guān)于信息安全等級保護工作的相關(guān)制度和標(biāo)準(zhǔn)，制定符合金融行業(yè)特點的、切實可行的信息安全等級保護行業(yè)標(biāo)準(zhǔn)和實施指南。人民銀行以落實國家對金融行業(yè)信息安全等級保護相關(guān)工作要求，加強金融行業(yè)信息安全管理和技術(shù)風(fēng)險防范，保障金融行業(yè)信息系統(tǒng)信息安全等級保護建設(shè)、測評、整改工作順利開展為目標(biāo)，特制定金融行業(yè)信息系統(tǒng)信息安全等級保護系列規(guī)范（以下簡稱“規(guī)范”），規(guī)范包含《金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引》（以下簡稱“《實施指引》”）、《金融行業(yè)信息系統(tǒng)信息安全等級保護測評指南》（以下簡稱“《測評指南》”）、《金融行業(yè)信息安全等級保護測評服務(wù)安全指引》（以下簡稱“《安全指引》”）三份文件?！秾嵤┲敢肪帉懙哪康氖窃跐M足金融行業(yè)信息安全發(fā)展需要，同時符合國家等級保護基本要求和設(shè)計技術(shù)要求，為金融行業(yè)的信息安全建設(shè)提供方法論、具體的建設(shè)措施及技術(shù)指導(dǎo)。本實施指引依據(jù)國家《信息系統(tǒng)安全等級保護基本要求》和《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》標(biāo)準(zhǔn)，結(jié)合金融行業(yè)特點以及信息系統(tǒng)安全建設(shè)需要，對金融行業(yè)的信息安全體系架構(gòu)采用分區(qū)分域設(shè)計、對不同等級的應(yīng)用系統(tǒng)進行具體要求，以保障將國家等級保護要求行業(yè)化，具體化，提高我行重要網(wǎng)絡(luò)和信息系統(tǒng)信息安全防護水平。二、編制原則本標(biāo)準(zhǔn)的編制遵循以下原則：1、與國家標(biāo)準(zhǔn)保持一致性《實施指引》嚴(yán)格按照GB/T22239-2008《信息系統(tǒng)安全等級保護基本要求》(以下簡稱為基本要求)、GB/T25070-2010《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》、GB/T22240-2008《信息系統(tǒng)安全等級保護定級指南》及GB/T1.1-2000《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)的結(jié)構(gòu)和起草規(guī)則》等相關(guān)標(biāo)準(zhǔn)開展規(guī)范的編制工作，確保標(biāo)準(zhǔn)的規(guī)范性、易用性與可讀性，保持了與國家標(biāo)準(zhǔn)的高度一致性。2、繼承與發(fā)展《實施指引》參考人民銀行等級保護規(guī)范等一行三會共計26個制度標(biāo)準(zhǔn)，結(jié)合行業(yè)實際情況，結(jié)合《信息系統(tǒng)安全等級保護基本要求》的內(nèi)容，對《實施指引》中安全測評要求的測評方法進行明確、細化和調(diào)整。3、全面性及實用性《實施指引》的編制總結(jié)了金融行業(yè)應(yīng)用系統(tǒng)多年的安全需求和業(yè)務(wù)特點，并參考國際、國內(nèi)相關(guān)信息安全標(biāo)準(zhǔn)及行業(yè)標(biāo)準(zhǔn)，對信息系統(tǒng)建設(shè)、部署、管理等多個方面提出了安全要求及應(yīng)對措施，是具有實際指導(dǎo)意義可操作的規(guī)范文檔。《實施指引》的主要特點為通過補充、細化落實國家等級保護標(biāo)準(zhǔn)；提出建立信息安全體系架構(gòu)體系化保護兩個方面?！秾嵤┲敢犯鶕?jù)金融行業(yè)特點細化補充國家《信息系統(tǒng)安全等級保護基本要求》（GB/T22239-2008）二級、三級、四級要求項（第四章保護要求中加粗要求項），并新增追加金融行業(yè)增強安全保護類（F類），F(xiàn)類要求作為金融行業(yè)的增強性安全要求分布在S、A、G類的要求中。信息安全體系架構(gòu)中的技術(shù)體系通過結(jié)合等級保護安全設(shè)計技術(shù)要求、國際標(biāo)準(zhǔn)《信息保障技術(shù)框架》（IATF），結(jié)合金融行業(yè)自身特點設(shè)計出一套滿足金融行業(yè)信息系統(tǒng)安全架構(gòu)的技術(shù)體系。管理體系設(shè)計中，通過結(jié)合國際標(biāo)準(zhǔn)27001管理生命周期的過程改進，創(chuàng)建一套滿足金融行業(yè)信息安全管理和制度所需要的管理體系。三、編制內(nèi)容《實施指引》的編制總結(jié)了金融行業(yè)應(yīng)用系統(tǒng)多年的安全需求和業(yè)務(wù)特點，并參考國際、國內(nèi)相關(guān)信息安全標(biāo)準(zhǔn)及行業(yè)標(biāo)準(zhǔn)，對信息系統(tǒng)建設(shè)、部署、管理等多個方面提出了安全要求及應(yīng)對措施，是具有實際指導(dǎo)意義可操作的規(guī)范文檔。以三級系統(tǒng)為例：1、共有64項要求進行了細化和明確。例如國標(biāo)《基本要求》中的主機安全對身份鑒別有這樣的要求：“操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換”，在《實施指引》中明確為“操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識應(yīng)具有不易被冒用的特點，系統(tǒng)的口令應(yīng)在7位以上并由字母、數(shù)字、符號等混合組成并每三個月更換口令”。再例如國標(biāo)《基本要求》中的主機安全對安全審計有這樣的要求：“審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件”，在《實施指引》中細化為“審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用、賬號的分配、創(chuàng)建與變更、審計策略的調(diào)整、審計系統(tǒng)功能的關(guān)閉與啟動等系統(tǒng)內(nèi)重要的安全相關(guān)事件”。2、根據(jù)金融行業(yè)業(yè)務(wù)特點提出的特殊安全要求。F類要求作為金融行業(yè)的增強性安全要求分布在S、A、G類的要求中。金融行業(yè)技術(shù)安全要求按其保護的側(cè)重點不同分為S、A、G三類，如果從另外一個角度考慮，根據(jù)信息系統(tǒng)安全的整體結(jié)構(gòu)來看，金融行業(yè)信息系統(tǒng)安全可從五個層面：物理、網(wǎng)絡(luò)、主機、應(yīng)用和數(shù)據(jù)對系統(tǒng)進行保護，因此，技術(shù)類安全要求也相應(yīng)的分為五個層面上的安全要求：——物理層面安全要求：主要是從外界環(huán)境、基礎(chǔ)設(shè)施、運行硬件、介質(zhì)等方面為信息系統(tǒng)的安全運行提供基本的后臺支持和保證；——網(wǎng)絡(luò)層面安全要求：為信息系統(tǒng)能夠在安全的網(wǎng)絡(luò)環(huán)境中運行提供支持，確保網(wǎng)絡(luò)系統(tǒng)安全運行，提供有效的網(wǎng)絡(luò)服務(wù)；——主機層面安全要求：在物理、網(wǎng)絡(luò)層面安全的情況下，提供安全的操作系統(tǒng)和安全的數(shù)據(jù)庫管理系統(tǒng)，以實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的安全運行；——應(yīng)用層面安全要求：在物理、網(wǎng)絡(luò)、主機等層面安全的支持下，實現(xiàn)用戶安全需求所確定的安全目標(biāo)；——數(shù)據(jù)及備份恢復(fù)層面安全要求：全面關(guān)注信息系統(tǒng)中存儲、傳輸、處理等過程的數(shù)據(jù)的安全性。《實施指引》三級要求新增了117項F類要求。例如在應(yīng)用安全的安全審計中新增了該項：“應(yīng)在每次用戶登錄時提供用戶上一次成功登錄的日期、時間、方法、位置、錯誤登錄等信息，以便用戶及時發(fā)現(xiàn)可能的問題。（F3）”，在國標(biāo)《基本要求》中沒有此項要求。四、主要工作過程第一階段：研究階段中國人民銀行作為我國中央銀行，對金融行業(yè)重要信息和信息系統(tǒng)的信息安全保護工作負有指導(dǎo)監(jiān)督的重任，需要在金融行業(yè)內(nèi)建立符合金融行業(yè)特點的信息安全等級保護體系規(guī)范，通過備案、指導(dǎo)、檢查、督促整改等方式來推進金融行業(yè)信息安全等級保護工作建設(shè)。為此，2010年9月到2011年9月，人民銀行科技司組織安全等級保護領(lǐng)域?qū)＜液拖嚓P(guān)技術(shù)人員，根據(jù)國家關(guān)于信息安全等級保護工作的相關(guān)制度和標(biāo)準(zhǔn)，研究制定符合金融行業(yè)特點的、切實可行的信息安全等級保護行業(yè)標(biāo)準(zhǔn)和實施指南。第二階段：申請立項階段2011年11月，中國人民銀行科技司正式向全國金融標(biāo)準(zhǔn)技術(shù)化委員會提交了《實施指引》的立項建議書，申請《實施指引》立項。第三階段：編寫階段2010年9月，中國人民銀行科技司組織多名專家成立了起草小組，集中工作，形成了《實施指引》（征求意見稿第一稿）。第四階段：第一次征求意見階段2011年9月，中國人民銀行科技司向各主要商業(yè)銀行、銀監(jiān)會、保監(jiān)會、證監(jiān)會以及人民銀行內(nèi)部司局征求意見，三項標(biāo)準(zhǔn)共收集了82條意見，其中《實施指引》43條反饋意見，對各單位反饋的意見進行了認真研究，共采納了61條意見，其中《實施指引》采納了35條意見，并對未采納的意見進行了充分討論。第五階段：第一次論證會2011年10月25日，中國人民銀行科技司邀請了公安部信息安全部、中國工商銀行、中國農(nóng)業(yè)銀行、中國銀行、中國建設(shè)銀行、中國交通銀行、國家開發(fā)銀行，招商銀行、中信銀行、中國光大銀行、中國民生銀行、華夏銀行、北京銀行、銀監(jiān)會、保監(jiān)會、證監(jiān)會的領(lǐng)導(dǎo)和專家，共同對《實施指引》（征求意見稿第一稿）進行討論，會后，編寫小組根據(jù)論證會的意見進行了修訂，形成了《實施指引》（征求意見稿第二稿）。第六階段：第二次征求意見階段2011年11月17日至11月25日，中國人民銀行科技司再次向各主要商業(yè)銀行征求意見，三項標(biāo)準(zhǔn)共收集了47條意見，其中《實施指引》40條反饋意見，對各單位反饋的意見進行了認真研究，共采納了31條意見，其中《實施指引》采納了28條意見第七階段：第三次征求意見階段(面向各金標(biāo)委委員)2011年11月25日至12月20日，金融標(biāo)準(zhǔn)化技術(shù)委員會就《實施指引》(征求意見稿)向各金標(biāo)委委員征求意見，共收集了80條意見，對各單位反饋的意見進行了認真研究，共采納了57條意見五、適用范圍《實施指引》適用于指導(dǎo)金融行業(yè)按照等級保護要求進行