全国金融标准化技术委员会
金融行业信息系统信息安全等级保护系列标准应用
更新时间:2015-06-30 14:09:03 点击量:

    信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。中国人民银行按照国家有关要求,制定金融行业等级保护标准主要从两方面考虑:一是落实国家有关信息安全等级保护工作的要求。《国家信息化领导小组关于加强信息安全保障工作的意见》文件要求:“行业主管部门要督促、检查、指导本行业、本部门开展等级保护工作”;《关于开展信息安全等级保护安全建设整改工作的指导意见》文件要求:“重点行业信息系统主管部门可制定行业标准规范,指导本行业信息系统安全建设整改工作”。因此,制定金融行业信息安全等级保护系列标准,是落实国家信息安全有关要求的重要举措。二是加强金融业信息安全管理和技术防护的内在要求。金融业重要信息系统关系到国计民生,是国家信息安全重点保护对象。由于金融业信息系统大多具有数据集中、网络结构复杂,涉及大量资金交易等特点,所以金融业开展信息系统的信息安全等级保护建设、测评和整改工作,需要适合金融行业信息系统特点的等级保护标准体系作为支撑和依据,以规范和指导金融业等级保护工作的开展。
    为此,人民银行组织信息安全等级保护领域专家和相关技术人员,根据国家关于信息安全等级保护工作的相关制度和标准,编制了符合金融行业特点的、切实可行的金融行业信息系统信息安全等级保护系列标准(以下简称金融行业等保标准)。金融行业等保标准包含JR/T 0071—2012 《金融行业信息系统信息安全等级保护实施指引》(以下简称《实施指引》)、JR/T 0072—2012 《金融行业信息系统信息安全等级保护测评指南》(以下简称《测评指南》)和JR/T 0073—2012 《金融行业信息安全等级保护测评服务安全指引》(以下简称《安全指引》)三项标准。
    一、标准概述
    金融行业等保标准编制遵循以下三方面原则:(1)与国家标准保持一致性。金融行业等保标准严格按照《信息系统安全等级保护基本要求》(以下简称《基本要求》)、《信息系统等级保护安全设计技术要求》等相关标准开展规范的编制工作,确保标准的规范性、易用性与可读性,保持了与国家标准的高度一致性。(2)继承与发展。金融行业等保标准参考人民银行等级保护规范等“一行三会”共计26 个制度标准,结合行业实际情况,依据《基本要求》的内容,对其中体系架构、安全测评要求和检查表单等多项内容进行细化、补充和调整。一是补充体系架构设计、纵深防御、信息系统生命周期管理等内容。二是结合金融行业实际安全需求与信息安全防护经验,细化补充金融行业增强安全保护类。三是补充近年来金融行业落实等级保护要求的最佳实践以及可直接使用的等级保护测评检查表单等内容。(3)全面性及实用性。金融行业等保标准的编制总结了金融行业应用系统多年的安全需求和业务特点,并参考国际、国内相关信息安全标准及行业标准,对信息系统建设、部署、管理等多个方面提出了安全要求及应对措施,是具有实际指导意义可操作的规范文档。

《实施指引》主要用于指导系统所有者建设整改,《测评指南》主要用于指导系统所有者开展等级保护自测评或者测评机构对信息系统开展外测评,《安全指引》用于系统所有者对开展金融行业等保测评的机构进行服务水平能力的确认。三个标准的主要内容及特点概述如下。
    (一)《实施指引》结合金融行业特点以及信息系统安全建设需要,对金融行业的信息安全体系架构采用分区分域设计,并从安全技术、安全管理两个方面详细阐述了对不同等级信息系统的具体要求。安全技术从物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复几个方面提出要求;安全管理从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出要求。
《实施指引》用于补充、细化落实国家等级保护标准,并提出建立信息安全体系架构、体系化保护两方面的要求。《实施指引》根据金融行业特点细化补充国家《基本要求》二级要求、三级要求、四级要求,并新增金融行业增强安全保护类(F类),F类要求作为金融行业的增强性安全要求分布在S、A、G类的要求中。
信息安全体系架构中的技术体系通过结合等级保护安全设计技术要求、国际标准《信息保障技术框架》(IATF ),结合金融行业自身特点设计出一套满足金融行业信息系统安全架构的技术体系。在管理体系设计中,通过结合国际标准27001 管理生命周期的过程改进,创建一套满足金融行业信息安全管理和制度所需要的管理体系。

    (二)《测评指南》是对《实施指引》中的测评要求提出了具体可操作的测评方法。包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制点在信息系统中的实施配置情况。二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。
    (三)《安全指引》总结了金融行业应用系统多年的安全需求和业务特点,并参考国际、国内相关信息安全标准及行业标准,明确等级保护测评服务机构安全、人员安全、过程安全、测评对象安全、工具安全等方面的基本要求。
    二、标准应用推广
    金融行业等保标准于2012 年7月10 日正式发布。为更好地推动并指导银行业金融机构使用金融行业等保标准,落实国家等级保护政策要求,人民银行于2012 年7月19 日发布《中国人民银行关于进一步推进银行业信息安全等级保护工作的通知》,要求各银行业金融机构尽快开展等级保护定级、备案工作,并按照金融行业等保标准以及国家相关标准开展等级保护测评和整改工作。金融行业等保标准通过近2年的推广应用,取得了较好效果。
    (一)金融行业等保标准有效提升信息系统防御水平
    根据银行业金融机构2012 年及2013 年等级保护年度总结报告显示,大部分银行业金融机构参考金融行业等保标准制定或完善了本单位的信息安全检查制度及相关操作细则,并根据金融行业等保标准中的安全域体系化保护、安全域风险识别及分析机制和以PDCA 动态完善更新的管理机制,强化了网络、主机、应用及数据的安全防护,改进并完善了管理体系,从而整体提高了整个运行生产环境的安全防御水平,不再是针对单个定级系统的加固和整改,有效降低了全系统面临的相关风险,提高了信息系统连续稳定运行水平。
    (二)金融行业等保标准初显成效
    根据相关统计数据显示,截至2013 年年底,银行业信息系统的等级保护符合率平均值达到了90% 以上,证券和保险行业信息系统的等级保护符合率平均值也达到了80% 以上。金融行业信息系统的等级保护符合率均高于全国各行业的等级保护平均符合率。
    上述数据表明,金融行业等保标准为金融行业提高重要网络和信息系统信息安全防护水平起到重要作用。

    近几年随着金融行业业务的全面发展,敌对势力、不法分子进行攻击、破坏和恐怖活动的日益猖獗,金融业信息安全工作正面临比以往更严峻的形势,因此如何将国家等级保护要求和本行业、本单位具体工作相结合,如何将国家等级保护有关要求深入落实到信息系统的规划、建设、测试、投产、运维全生命周期各个环节中,并逐步形成信息安全长效工作机制和常态化工作,以及建立一个跨部门的金融行业等级保护工作协调和信息安全防护机制还需不断探索和尝试。人民银行将继续贯彻落实国家等级保护制度要求,积极督促并指导银行业的定级备案与测评整改工作,不断提升银行业的信息安全保障能力,全面践行人民银行在金融行业指导协调信息安全工作职责,以先进、高效、安全、稳定的信息化工作迎接未来的挑战。