近期,中国人民银行发布《金融行业网络安全等级保护实施指引》(以下简称“实施指引”)系列标准,以及《金融行业网络安全等级保护测评指南》(以下简称“评测指南”)标准,自发布之日起实施。
其中,《实施指引》系列共包括《基础和术语》、《基本要求》、《岗位能力要求和评价指引》、《培训指引》、《审计要求》、《审计指引》六个部分,其中基本要求部分为标准主要内容。
网络安全保障框架:两要求、两体系
网络安全等级保护是国家网络安全保障工作的一项基本制度。随着云计算、移动互联、物联网、大数据等新技术的广泛应用,金融机构正根据自己需要不断推进IT架构转型。
据了解,《实施指引》依据国家网络安全等级保护相关要求,为金融行业的网络安全建设提供方法论、具体的建设措施及技术指导,完善金融行业网络安全等级保护体系。
《实施指引》指出,金融行业网络安全保障总体框架包含技术、管理要求以及技术、管理体系,遵循交互、综合保障的原则。
其中,技术要求涉及安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五方面要求;管理要求涉及安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理五方面要求。
技术体系以“一个中心,三重防护”为核心理念,划分安全计算环境、安全区域边界、安全通信网络与安全管理中心;管理体系遵从生命周期法则,从建立、实施和执行、监管和审计、保持和改进四个过程进行科学化管理,通过循坏改进形成“生命环”的管理办法。
新增“金融行业增强性安全要求(F类)”
《实施指引》完整的给出了从第二级到第四级的安全要求,由于业务目标不同、使用技术不同、应用场景不同,不同的等级保护对象会以不同的形式出现。为方便实现对不同等级和不同形态的等级保护对象的共性化和个性化保护,等级保护要求分为安全通用要求和安全扩展要求。
无论等级保护对象以何种形式出现,都应根据相应保护等级实现相应级别的安全通用要求,另外根据使用的特定技术或特定场景选择性实现安全扩展要求。《实施指引》给出了针对云计算、移动互联、物联网、大数据系统的安全扩展要求。
另外,新增了“金融行业增强性安全要求(F类)”,要求在结合金融行业相关规定的基础上对等级保护要求进行补充和完善,F2、F3、F4分别对应二级、三级、四级增强性要求。
从第二级安全要求开始,每一级对个人信息保护都做出了要求,每一级都包括同样的7条说明,只不过在“金融行业增强性安全要求(F类)”等级中做出了区分。
另外,在《实施指引》中对自行软件开发、外包软件开发、服务供应商选择、环境管理、设备维护管理等等方面都提出了细致的要求。
在外包软件开发中明确要求,禁止外包服务商转包并严格控制分包。在开发时,应要求开发人员和测试人员分离,开发人员不能兼任系统管理员或业务操作员,并要求在软件开发过程中对代码规范、代码质量、代码安全性进行审查。
测评指南非常详细
标准出台最重要的一部分是什么?所有人都会说是落地。不落地的标准等于不存在的标准,为帮助《实施指引》落地,《测评指南》与《实施指引》同时发布、实施。
在《测评指南》中增加了“云计算安全测评扩展要求”、“移动互联安全测评扩展要求、”“物联网安全测评扩展要求”。增加了“大数据可参考安全评估方法”,对金融行业大数据平台提出分级要求。
《测评指南》适用于指导金融机构、测评机构和金融行业网络安全等级保护主管部门对等级保护对象的安全状况进行安全测评。
据了解,与金融机构系统特色相结合,《测评指南》同样新增“金融行业增强安全保护类(F类)”要求,与《实施指引》同样采用F2、F3、F4进行分级表示。
来源:移动支付网