金融行业网络安全等级保护测评指南
11月11日,中国人民银行发布《金融行业网络安全等级保护实施指引》(以下简称“实施指引”)系列标准,以及《金融行业网络安全等级保护测评指南》(以下简称“评测指南”)标准,自发布之日起实施。
其中,《实施指引》系列共包括《基础和术语》、《基本要求》、《岗位能力要求和评价指引》、《培训指引》、《审计要求》、《审计指引》六个部分,其中基本要求部分为标准主要内容。
1
网络安全保障框架:两要求、两体系
网络安全等级保护是国家网络安全保障工作的一项基本制度。随着云计算、移动互联、物联网、大数据等新技术的广泛应用,金融机构正根据自己需要不断推进IT架构转型。
据移动支付网了解,《实施指引》依据国家网络安全等级保护相关要求,为金融行业的网络安全建设提供方法论、具体的建设措施及技术指导,完善金融行业网络安全等级保护体系。
《实施指引》指出,金融行业网络安全保障总体框架包含技术、管理要求以及技术、管理体系,遵循交互、综合保障的原则。
其中,技术要求涉及安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五方面要求;管理要求涉及安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理五方面要求。
技术体系以“一个中心,三重防护”为核心理念,划分安全计算环境、安全区域边界、安全通信网络与安全管理中心;管理体系遵从生命周期法则,从建立、实施和执行、监管和审计、保持和改进四个过程进行科学化管理,通过循坏改进形成“生命环 ”的管理办法。
2
新增“金融行业增强性安全要求(F类)”
《实施指引》完整的给出了从第二级到第四级的安全要求,由于业务目标不同、使用技术不同、应用场景不同,不同的等级保护对象会以不同的形式出现。为方便实现对不同等级和不同形态的等级保护对象的共性化和个性化保护,等级保护要求分为安全通用要求和安全扩展要求。
无论等级保护对象以何种形式出现,都应根据相应保护等级实现相应级别的安全通用要求,另外根据使用的特定技术或特定场景选择性实现安全扩展要求。《实施指引》给出了针对云计算、移动互联、物联网、大数据系统的安全扩展要求。
另外,新增了“金融行业增强性安全要求(F类)”,要求在结合金融行业相关规定的基础上对等级保护要求进行补充和完善,F2、F3、F4分别对应二级、三级、四级增强性要求。
从第二级安全要求开始,每一级对个人信息保护都做出了要求,每一级都包括同样的7条说明,只不过在“金融行业增强性安全要求(F类)”等级中做出了区分。
另外,在《实施指引》中对自行软件开发、外包软件开发、服务供应商选择、环境管理、设备维护管理等等方面都提出了细致的要求。
在外包软件开发中明确要求,禁止外包服务商转包并严格控制分包。在开发时,应要求开发人员和测试人员分离,开发人员不能兼任系统管理员或业务操作员,并要求在软件开发过程中对代码规范、代码质量、代码安全性进行审查。
3
测评指南非常详细
标准出台最重要的一部分是什么?所有人都会说是落地。不落地的标准等于不存在的标准,为帮助《实施指引》落地,《测评指南》与《实施指引》同时发布、实施。
在《测评指南》中增加了“云计算安全测评扩展要求”、“移动互联安全测评扩展要求、”“物联网安全测评扩展要求”。增加了“大数据可参考安全评估方法”,对金融行业大数据平台提出分级要求。
《测评指南》适用于指导金融机构、测评机构和金融行业网络安全等级保护主管部门对等级保护对象的安全状况进行安全测评。
据移动支付网了解,与金融机构系统特色相结合,《测评指南》同样新增“金融行业增强安全保护类(F类)”要求,与《实施指引》同样采用F2、F3、F4进行分级表示。
金融行业网络安全等级保护测评指南相关推荐
- 金融行业信息系统信息安全等级保护实施指引_中国人民银行发布金融行业网络安全等级保护实施指引...
2020年11月11日,中国人民银行发布<金融行业网络安全等级保护实施指引>(以下简称"实施指引")系列标准,以及<金融行业网络安全等级保护测评指南>(以下 ...
- 网络安全等级保护指南|网络安全等级保护测评周期需要多久
网民问:什么是等级保护? 回答:网络安全等级保护是指对国家安全.法人和其他组织及公民的专有信息以及公开信息和存储.传输.处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等 ...
- 等保测评--网络安全等级保护测评过程指南
GB/T 28449-2018 信息安全技术网络安全等级保护测评过程指南 范围 适用于测评机构.定级对象的主管部门及运营使用单位开展网络安全等级保护测试评价工作 规范等保测评工作过程,规定测评活动及工 ...
- 网络安全等级保护定级指南 范围
声明 本文是学习github5.com 网站的报告而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们 网络安全等级保护 为了配合<中华人民共和国网络安全法>的实施,适应云 ...
- 网络安全等保定级_信息安全技术网络安全等级保护定级指南发布,2020年11月1日正式实施!...
原标题:信息安全技术网络安全等级保护定级指南发布,2020年11月1日正式实施! 2019年5月13日,网络安全等级保护系列标准(基本要求.设计要求.测评要求)正式发布,并于2019年12月1日正式实 ...
- 网络安全等级保护测评机构简介
加强公安等级保护测评工作,推动等级等级保护2.0学习全国测评机构联系名单. 全国等级保护测评机构推荐目录下载地址 链接:https://pan.baidu.com/s/10_WPRLXn13052TO ...
- GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》之安全物理环境测评解读
文章目录 引言 一.物理位置选择 二.物理访问控制 三.防盗窃和破坏 四.防雷击 五.防火 六.防水和防潮 七.防静电 八.温湿度控制 九.电力供应 十.电磁防护 总结 引言 2019年12月1日,我 ...
- 网络安全等保定级_网络安全等级保护定级指南
原标题:网络安全等级保护定级指南 (1)主要用途 网络定级是等级保护工作的首要环节,是开展网络安全建设整改.等级测评.监督检查等后续工作的重要基础.<网络安全等级保护定级指南>从网络对国家 ...
- 网络安全等级保护测评高风险判定指引_等保知识|测评高风险项详解:安全管理中心...
"安全管理中心"是等级保护2.0标准新增的层面,其要求侧重在对设备运行状况.审计数据.安全策略.恶意代码.补丁升级.安全事件等集中式的分析与管控.<网络安全法>第二十一 ...
- 信息安全技术 网络安全等级保护测评要求_【诚资讯】等保2.0版本出炉!信息安全技术 网络安全等级保护基本要求正式发布...
2019年5月10日,<信息安全技术 网络安全等级保护基本要求>.<信息安全技术 网络安全等级保护测评要求>.<信息安全技术 网络安全等级保护安全设计技术要求>(以 ...
最新文章
- 马斯克:今年占全球发射质量65%,星舰5月或首次轨道试飞
- JS正则表达式元字符
- AI算法连载15:统计之数据降维
- 打击侵犯公民个人信息罪的司法困境
- Redis解读持久化RDB和AOF原理
- crout分解计算例题_专题:化学方程式计算
- XNA 3.1 转换到 XNA4.0 的备忘录
- [第2节]数组,链表,跳表及其实际应用
- win7安装python3.6失败_win7下python3.6安装配置方法图文教程
- unity的NGUI
- 德保罗大学计算机专业,2020年德保罗大学排名TFE Times美国最佳计算机科学硕士专业排名第75...
- 小米笔记本android,全球唯一 独家定制:「安卓中国版」小米笔记本电脑Air图赏...
- ElasticSearch(待改)
- 阳台这样装洗衣柜更漂亮
- ENVI App Store
- 计算机访问记录怎么查,电脑上微信有访客记录吗?我们要怎么查看访客?
- 论文阅读:《AliMe Assist: An Intelligent Assistant for Creating an Innovative E-commerce Experience》
- jsp文字上下居中显示_怎么把jsp的文字居中
- android收藏功能demo,Android使用Realm数据库实现App中的收藏功能(代码详解)
- 往日不忆,来日可追-你好,2019!