JRT 0071-2012 金融行业信息系统信息安全等级保护实施指引

JRT 0071-2012 金融行业信息系统信息安全等级保护实施指引 金融行业重要的信息系统关系到国计民生，是国家信息安全重点保护对象，国家信息安全监管职能部门需要对其重要信息和信息系统的信息安全保护工作进行指导监督。 信息安全等级保护是国家在信息安全保障工作的一项基本制度，金融行业作为重要信息系统行业部门之一，应遵照实施该制度。围绕金融信息安全等级保护工作的开展，需要一系列适合金融行业的等级保护标准体系作为支撑，以规范和指导金融等级保护工作的实施，为此，人民银行科技司组织安全等级保护领域专家和相关技术人员，根据国家关于信息安全等级保护工作的相关制度和标准，制定符合金融行业特点的、切实可行的信息安全等级保护行业标准和实施指南，根据金融行业信息系统的定级情况.不存在五级系统，而一级系统不需去公安机关备案，不作为测评重点.本标准略去对第一级信息系统和第五级信息系统进行单元测评的具体内容要求。 在本标准文本中，标记为F类的黑体字是根据金融行业业务特点新增的安全要求，没有标记为F类的黑体字是对《信息系统安全等级保护基本要求》（GB/T 22239-2008）要求项进行增强的要求。 1范围 本标准依据国家《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》标准，结合金融行业特点以及信息系统安全建设需要，对金融行业的信息安全体系果构采用分区分域设计，对不同等级的应用系统进行具体要求，以保障将国家等级保护要求行业化，具体化，提高我行重要网络和信息系统信息安全防护水平，本标准适用于金融机构《包括其分支机构）的系统规划建设部门（业务与技术）、应用开发部门、系统运行部门、安全管理部门、系统使用部门、内部监察、审计等部门。也可作为信息安全职能部门进行监督、检查和指导的依据，随着内容的补充和丰富，为等级保护工作的开展提供指导。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的，凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的文件，其最新版本（包括所有的修改单）适用于本文件。 GBIT 22239-2008 信息系统安全等级保护基本要求GB/T 25069 信息安全技术 术语 JR/T 0003-2001 银行卡联网联合安全规范JRIT 0013-2004金融业星型网间互联安全规范JRT 0011-2004 JRIT 0023-2004银行集中式数据中心规范 证券公司信息技术管理规范 JRIT 0026-2006银行业计算机信息系统雷电防护技术规藏 JRIT 0044-2008银行业信息系统灾难恢复管理规范 JR/T 0055.4-2009银行联网联合技术规范第4部分：数据安全传输控制 眼发（2002）260号 中国人民银行关于加强银行数据集中安全工作的指导意见眼科技（2005）73号 中国人民银行信息系统安全配置指引 振办发（2006）154号 中国人民銀行I应急预案指引 眼办发（2006）号 中国人民银行计算机机房规范化工作指引 假发（2010）276号 中国人民银行计算机系统信息安全管理规定 银发（2010〕276号 中国人民银行计算机系统信息安全管理规定 银监发（2008）50号 银行业金融机构重要信息系统授产及变更管理办法 眼监会（2009）19号 商业银行信息科技风险管理指引 银蓝办发（2009）437号 银行、证券跨行业信息系统突发事件应急处置工作指引银监办发（2010）112号 商业银行数据中心监管指引中证协发（2006）证券公司集中交易安全管理技术指引 中期协发（2009）期货公司网上期货信息系统技术指引 中证协发（2009）154号 证券营业部信息技术指引保监会令（2003）3号 保险业重大突发事件应急处理规定 GB/T 25069确立的以及下列术语和定义适用于本文件。 3.1 敏感数据 semsitive data敏感数据是指一旦滑露可能会对用户或金融机构造成损失的数据，包括但不限于a）用户敏感数据，如用户口令、密钥等：b）系统敏感数据，如系统的密切、关键的系统管理数据；c）其他需要保密的敏感业务数据 d）关键性的操作指令；e）系统主要配置文件： 其他需要保密的数据。 3.2 风险 risk某种威胁存在利用一种资产或若干资产的脆弱性使这些资产损失或破坏的可能性。 3.3安全策略security policy主要指为信息系统安全管理制定的行动方针、路线、工作方式、指导原则或程序。 3.4安全需求security requirement为使设备、信息、应用及设施符合安全策略的要求而需要采取的保护类型及保护等级。 3.5 完整性 integrity包括数据完整性和系统完整性。数据完整性表征数据所具有的特征，即无论数据形式作列变化，数据的准确性和一致性均保持不变的程度：系统完整性表征系统在防止掌授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下，系统能履行其操作目的的品质。 3.6可用性availability表征数据或系统根据授权实体的请求可被访问与使用程度的安全属性 3.7弱口令 weak password指在计算机使用过程中，设置的过于简单或非常容易被破解的口令或密码。 4指引编制策略 4.1 国家等级保护要求 国家针对等级保护制定了一系列的法规和标准，这些法规和标准是建设等级保护系统的依据，目前我国共制定了和发布了约50余个相关国标，行标以及已报批标准，初步形成了信息安全等级保护标准体系，这些标准分别从基础、设计、实施、管理、制度等各个方面对信息安全等级保护提出了要求和建议，基为信息系统的使用者、设计者、建设者提供了管理规范和技术标准，如图1所示。