精選優質文檔-----傾情為你奉上精選優質文檔-----傾情為你奉上專心---專注---專業專心---專注---專業精選優質文檔-----傾情為你奉上專心---專注---專業《金融行業信息系統信息安全等級保護實施指引(送審稿)》編制說明中國人民銀行科技司二○一二年二月

《金融行業信息系統信息安全等級保護實施指引(送審稿)》編制說明一、背景及意義信息系統信息安全等級保護制度（簡稱等級保護）是我國信息安全領域的一項基本國策。金融行業重要的信息系統關系到國計民生，是國家信息安全重點保護對象，因此金融行業是落實和實施信息安全等級保護的重點行業之一。由于金融行業的信息系統多是數據集中、資金密集、大型復雜、網絡化的信息系統，所以圍繞金融行業開展信息系統的信息安全等級保護工作，需要一系列適合金融行業的等級保護標準體系作為支撐，以規范和指導金融等級保護工作的實施。中國人民銀行作為我國中央銀行，對金融行業重要信息和信息系統的信息安全保護工作負有指導監督的重任，需要在金融行業內建立符合金融行業特點的信息安全等級保護體系規范，通過備案、指導、檢查、督促整改等方式來推進金融行業信息安全等級保護工作建設。為此，人民銀行科技司組織安全等級保護領域專家和相關技術人員，根據國家關于信息安全等級保護工作的相關制度和標準，制定符合金融行業特點的、切實可行的信息安全等級保護行業標準和實施指南。人民銀行以落實國家對金融行業信息安全等級保護相關工作要求，加強金融行業信息安全管理和技術風險防范，保障金融行業信息系統信息安全等級保護建設、測評、整改工作順利開展為目標，特制定金融行業信息系統信息安全等級保護系列規范（以下簡稱“規范”），規范包含《金融行業信息系統信息安全等級保護實施指引》（以下簡稱“《實施指引》”）、《金融行業信息系統信息安全等級保護測評指南》（以下簡稱“《測評指南》”）、《金融行業信息安全等級保護測評服務安全指引》（以下簡稱“《安全指引》”）三份文件。《實施指引》編寫的目的是在滿足金融行業信息安全發展需要，同時符合國家等級保護基本要求和設計技術要求，為金融行業的信息安全建設提供方法論、具體的建設措施及技術指導。本實施指引依據國家《信息系統安全等級保護基本要求》和《信息系統等級保護安全設計技術要求》標準，結合金融行業特點以及信息系統安全建設需要，對金融行業的信息安全體系架構采用分區分域設計、對不同等級的應用系統進行具體要求，以保障將國家等級保護要求行業化，具體化，提高我行重要網絡和信息系統信息安全防護水平。二、編制原則本標準的編制遵循以下原則：1、與國家標準保持一致性《實施指引》嚴格按照GB/T22239-2008《信息系統安全等級保護基本要求》(以下簡稱為基本要求)、GB/T25070-2010《信息系統等級保護安全設計技術要求》、GB/T22240-2008《信息系統安全等級保護定級指南》及GB/T1.1-2000《標準化工作導則第1部分：標準的結構和起草規則》等相關標準開展規范的編制工作，確保標準的規范性、易用性與可讀性，保持了與國家標準的高度一致性。2、繼承與發展《實施指引》參考人民銀行等級保護規范等一行三會共計26個制度標準，結合行業實際情況，結合《信息系統安全等級保護基本要求》的內容，對《實施指引》中安全測評要求的測評方法進行明確、細化和調整。3、全面性及實用性《實施指引》的編制總結了金融行業應用系統多年的安全需求和業務特點，并參考國際、國內相關信息安全標準及行業標準，對信息系統建設、部署、管理等多個方面提出了安全要求及應對措施，是具有實際指導意義可操作的規范文檔。《實施指引》的主要特點為通過補充、細化落實國家等級保護標準；提出建立信息安全體系架構體系化保護兩個方面。《實施指引》根據金融行業特點細化補充國家《信息系統安全等級保護基本要求》（GB/T22239-2008）二級、三級、四級要求項（第四章保護要求中加粗要求項），并新增追加金融行業增強安全保護類（F類），F類要求作為金融行業的增強性安全要求分布在S、A、G類的要求中。信息安全體系架構中的技術體系通過結合等級保護安全設計技術要求、國際標準《信息保障技術框架》（IATF），結合金融行業自身特點設計出一套滿足金融行業信息系統安全架構的技術體系。管理體系設計中，通過結合國際標準27001管理生命周期的過程改進，創建一套滿足金融行業信息安全管理和制度所需要的管理體系。三、編制內容《實施指引》的編制總結了金融行業應用系統多年的安全需求和業務特點，并參考國際、國內相關信息安全標準及行業標準，對信息系統建設、部署、管理等多個方面提出了安全要求及應對措施，是具有實際指導意義可操作的規范文檔。以三級系統為例：1、共有64項要求進行了細化和明確。例如國標《基本要求》中的主機安全對身份鑒別有這樣的要求：“操作系統和數據庫系統管理用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換”，在《實施指引》中明確為“操作系統和數據庫系統管理用戶身份標識應具有不易被冒用的特點，系統的口令應在7位以上并由字母、數字、符號等混合組成并每三個月更換口令”。再例如國標《基本要求》中的主機安全對安全審計有這樣的要求：“審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件”，在《實施指引》中細化為“審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用、賬號的分配、創建與變更、審計策略的調整、審計系統功能的關閉與啟動等系統內重要的安全相關事件”。2、根據金融行業業務特點提出的特殊安全要求。F類要求作為金融行業的增強性安全要求分布在S、A、G類的要求中。金融行業技術安全要求按其保護的側重點不同分為S、A、G三類，如果從另外一個角度考慮，根據信息系統安全的整體結構來看，金融行業信息系統安全可從五個層面：物理、網絡、主機、應用和數據對系統進行保護，因此，技術類安全要求也相應的分為五個層面上的安全要求：——物理層面安全要求：主要是從外界環境、基礎設施、運行硬件、介質等方面為信息系統的安全運行提供基本的后臺支持和保證；——網絡層面安全要求：為信息系統能夠在安全的網絡環境中運行提供支持，確保網絡系統安全運行，提供有效的網絡服務；——主機層面安全要求：在物理、網絡層面安全的情況下，提供安全的操作系統和安全的數據庫管理系統，以實現操作系統和數據庫管理系統的安全運行；——應用層面安全要求：在物理、網絡、主機等層面安全的支持下，實現用戶安全需求所確定的安全目標；——數據及備份恢復層面安全要求：全面關注信息系統中存儲、傳輸、處理等過程的數據的安全性。《實施指引》三級要求新增了117項F類要求。例如在應用安全的安全審計中新增了該項：“應在每次用戶登錄時提供用戶上一次成功登錄的日期、時間、方法、位置、錯誤登錄等信息，以便用戶及時發現可能的問題。（F3）”，在國標《基本要求》中沒有此項要求。四、主要工作過程第一階段：研究階段中國人民銀行作為我國中央銀行，對金融行業重要信息和信息系統的信息安全保護工作負有指導監督的重任，需要在金融行業內建立符合金融行業特點的信息安全等級保護體系規范，通過備案、指導、檢查、督促整改等方式來推進金融行業信息安全等級保護工作建設。為此，2010年9月到2011年9月，人民銀行科技司組織安全等級保護領域專家和相關技術人員，根據國家關于信息安全等級保護工作的相關制度和標準，研究制定符合金融行業特點的、切實可行的信息安全等級保護行業標準和實施指南。第二階段：申請立項階段2011年11月，中國人民銀行科技司正式向全國金融標準技術化委員會提交了《實施指引》的立項建議書，申請《實施指引》立項。第三階段：編寫階段2010年9月，中國人民銀行科技司組織多名專家成立了起草小組，集中工作，形成了《實施指引》（征求意見稿第一稿）。第四階段：第一次征求意見階段2011年9月，中國人民銀行科技司向各主要商業銀行、銀監會、保監會、證監會以及人民銀行內部司局征求意見，三項標準共收集了82條意見，其中《實施指引》43條反饋意見，對各單位反饋的意見進行了認真研究，共采納了61條意見，其中《實施指引》采納了35條意見，并對未采納的意見進行了充分討論。第五階段：第一次論證會2011年10月25日，中國人民銀行科技司邀請了公安部信息安全部、中國工商銀行、中國農業銀行、中國銀行、中國建設銀行、中國交通銀行、國家開發銀行，招商銀行、中信銀行、中國光大銀行、中國民生銀行、華夏銀行、北京銀行、銀監會、保監會、證監會的領導和專家，共同對《實施指引》（征求意見稿第一稿）進行討論，會后，編寫小組根據論證會的意見進行了修訂，形成了《實施指引》（征求意見稿第二稿）。第六階段：第二次征求意見階段2011年11月17日至11月25日，中國人民銀行科技司再次向各主要商業銀行征求意見，三項標準共收集了47條意見，其中《實施指引》40條反饋意見，對各單位反饋的意見進行了認真研究，共采納了31條意見，其中《實施指引》采納了28條意見第七階段：第三次征求意見階段(面向各金標委委員)2011年11月25日至12月20日，金融標準化技術委員會就《實施指引》(征求意見稿)向各金標委委員征求意見，共收集了80條意見，對各單位反饋的意見進行了認真研究，共采納了57條意見五、適用范圍《實施指引》適用于指導金融行業按照等級保護要求進行