您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
央行發(fā)布金融業(yè)等級保護(hù)標(biāo)準(zhǔn) 提出增強性要求
11月11日,中國人民銀行發(fā)布《金融行業(yè)網(wǎng)絡(luò)安全等級保護(hù)實施指引》(以下簡稱“實施指引”)系列標(biāo)準(zhǔn),以及《金融行業(yè)網(wǎng)絡(luò)安全等級保護(hù)測評指南》(以下簡稱“評測指南”)標(biāo)準(zhǔn),自發(fā)布之日起實施。
其中,《實施指引》系列共包括《基礎(chǔ)和術(shù)語》、《基本要求》、《崗位能力要求和評價指引》、《培訓(xùn)指引》、《審計要求》、《審計指引》六個部分,其中基本要求部分為標(biāo)準(zhǔn)主要內(nèi)容。網(wǎng)絡(luò)安全保障框架:兩要求、兩體系網(wǎng)絡(luò)安全等級保護(hù)是國家網(wǎng)絡(luò)安全保障工作的一項基本制度。隨著云計算、移動互聯(lián)、物聯(lián)網(wǎng)、大數(shù)據(jù)等新技術(shù)的廣泛應(yīng)用,金融機構(gòu)正根據(jù)自己需要不斷推進(jìn)IT架構(gòu)轉(zhuǎn)型。據(jù)移動支付網(wǎng)了解,《實施指引》依據(jù)國家網(wǎng)絡(luò)安全等級保護(hù)相關(guān)要求,為金融行業(yè)的網(wǎng)絡(luò)安全建設(shè)提供方法論、具體的建設(shè)措施及技術(shù)指導(dǎo),完善金融行業(yè)網(wǎng)絡(luò)安全等級保護(hù)體系?!秾嵤┲敢分赋?,金融行業(yè)網(wǎng)絡(luò)安全保障總體框架包含技術(shù)、管理要求以及技術(shù)、管理體系,遵循交互、綜合保障的原則。
其中,技術(shù)要求涉及安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心五方面要求;管理要求涉及安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理和安全運維管理五方面要求。技術(shù)體系以“一個中心,三重防護(hù)”為核心理念,劃分安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)與安全管理中心;管理體系遵從生命周期法則,從建立、實施和執(zhí)行、監(jiān)管和審計、保持和改進(jìn)四個過程進(jìn)行科學(xué)化管理,通過循環(huán)改進(jìn)形成“生命環(huán)”的管理辦法。新增“金融行業(yè)增強性安全要求(F類)”《實施指引》完整的給出了從第二級到第四級的安全要求,由于業(yè)務(wù)目標(biāo)不同、使用技術(shù)不同、應(yīng)用場景不同,不同的等級保護(hù)對象會以不同的形式出現(xiàn)。為方便實現(xiàn)對不同等級和不同形態(tài)的等級保護(hù)對象的共性化和個性化保護(hù),等級保護(hù)要求分為安全通用要求和安全擴展要求。無論等級保護(hù)對象以何種形式出現(xiàn),都應(yīng)根據(jù)相應(yīng)保護(hù)等級實現(xiàn)相應(yīng)級別的安全通用要求,另外根據(jù)使用的特定技術(shù)或特定場景選擇性實現(xiàn)安全擴展要求?!秾嵤┲敢方o出了針對云計算、移動互聯(lián)、物聯(lián)網(wǎng)、大數(shù)據(jù)系統(tǒng)的安全擴展要求。另外,新增了“金融行業(yè)增強性安全要求(F類)”,要求在結(jié)合金融行業(yè)相關(guān)規(guī)定的基礎(chǔ)上對等級保護(hù)要求進(jìn)行補充和完善,F(xiàn)2、F3、F4分別對應(yīng)二級、三級、四級增強性要求。從第二級安全要求開始,每一級對個人信息保護(hù)都做出了要求,每一級都包括同樣的7條說明,只不過在“金融行業(yè)增強性安全要求(F類)”等級中做出了區(qū)分。
另外,在《實施指引》中對自行軟件開發(fā)、外包軟件開發(fā)、服務(wù)供應(yīng)商選擇、環(huán)境管理、設(shè)備維護(hù)管理等等方面都提出了細(xì)致的要求。在外包軟件開發(fā)中明確要求,禁止外包服務(wù)商轉(zhuǎn)包并嚴(yán)格控制分包。在開發(fā)時,應(yīng)要求開發(fā)人員和測試人員分離,開發(fā)人員不能兼任系統(tǒng)管理員或業(yè)務(wù)操作員,并要求在軟件開發(fā)過程中對代碼規(guī)范、代碼質(zhì)量、代碼安全性進(jìn)行審查。測評指南非常詳細(xì)標(biāo)準(zhǔn)出臺最重要的一部分是什么?所有人都會說是落地。不落地的標(biāo)準(zhǔn)等于不存在的標(biāo)準(zhǔn),為幫助《實施指引》落地,《測評指南》與《實施指引》同時發(fā)布、實施。
在《測評指南》中增加了“云計算安全測評擴展要求”、“移動互聯(lián)安全測評擴展要求、”“物聯(lián)網(wǎng)安全測評擴展要求”。增加了“大數(shù)據(jù)可參考安全評估方法”,對金融行業(yè)大數(shù)據(jù)平臺提出分級要求?!稖y評指南》適用于指導(dǎo)金融機構(gòu)、測評機構(gòu)和金融行業(yè)網(wǎng)絡(luò)安全等級保護(hù)主管部門對等級保護(hù)對象的安全狀況進(jìn)行安全測評。據(jù)移動支付網(wǎng)了解,與金融機構(gòu)系統(tǒng)特色相結(jié)合,《測評指南》同樣新增“金融行業(yè)增強安全保護(hù)類(F類)”要求,與《實施指引》同樣采用F2、F3、F4進(jìn)行分級表示。(來源:銀行科技研究社)