JRT 0073-2012 金融行业信息安全等级保护测评服务安全指引

更新时间：2023-12-17 14:59:21 大小：788K 上传用户：sun2152 查看TA发布的资源 标签：信息安全 下载积分：1分评价赚积分（如何评价?）打赏收藏评论(0) 举报

资料介绍

JRT 0073-2012 金融行业信息安全等级保护测评服务安全指引金融行业重要的信息系统关系到国计民生，是国家信息安全重点保护对象，因此金融行业是落实和实施信息安全等级保护的重点行业之一，由于金融行业的信息系统多是技术密集、资金密集、大型复杂、网络化的人机系统，所以针对金融行业开展信息系统的信息安全等级保护测评，需要一批对金融行业业务系统有一定了解，并具有较强技术能力的测评机构来进行测评：金融行业定级为三级或四级的信息系统都是关系到国计民生的重要系统，有效规避等级保护测评工作中存在的风险，对保障金融行业重要信息系统的安全稳定运行，以及国计民生的稳定都具有重要意义。因此，对测评机构的约束与规范化，是在金融行业实施等级保护的重要一环。为此，中国人民银行特制定《金融行业信息安全等级保护测评服务安全指引》（以下简称《安全指引》），以明确金融行业等级保护渊评服务机构安全、人员安全、过程安全、测评对象安全、工具安全等方面的基本要求，指导等级保护测评机构在金融机构开展的信息系统安全等级保护测评工作。 1范围本标准总结了金融行业应用系统多年的安全需求和业务特点，并参考国际，国内相关信息安全标准及行业标准，明确等级保护测评服务机构安全，人员安全，过程安全，测评对象安全，工具安全等方面的基本要求。本标准适用于信息安全职能部门对从事金融行业信息系统开展信息安全等级保护测评的第三方机构（以下简称测评机构）和人员及其测评活动的监督管理。 2 规范性引用文件下列文件对于本文件的应用是比不可少的，凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的文件，其最新版本（包括所有的修改单）适用于本文件。公通字（2007）43 号信息安全等级保护管理办法3 资质能力要求 3.1 测评机构资质要求从事金融行业信息系统信息安全等级保护测评的第三方机构其机构资质应具备并符合以下要求： a）具有公安部认可的信息安全等级保护测评资质，并在公安部等级保护测评机构推荐日录中b）产权关系明晰，注册资金不低于500万元人民币c）具有中国合格评定国家认可委员会（CNAS）实验室或检查机构认可证书：d）具有2年以上信息系统安全测评工作经验，且最近1年内至少从事过1次金融机构的信息系统安全测评工作： e）最近5年内在测评工作中无法律纠纷，违援记录，无重大信息安全泄露事件及其他重大安全事件等不良记录：测评机构人员学历比重应为本科（含）以上学历所占比例不低于60%：g）测评机构人员规模应不少于 30 人，且具有满足等级测评工作的专业技术人员和管理人员不少于20人，测评技术人员不少于15人。 f 3.2 测评机构管理要求从事金融行业信息系统信息安全等级保护测评的第三方机构其机构管理应具备并符合以下要求： a）测评机构及其测评人员应当严格执行有关国家信息安全等级保护相关标准和金融行业有关缓定，提供客观、公平、公正、有效的等级保护测评服务，并承担相应的法律责任： b）应具各能够保证其公正性、独立性的质量体系，确保渊评活动不受任何可能影响测评结果的商业、财务等方面的压力： c）d）测评机构的岗位配置要至少配置测评技术员、项目经理、技术主管、质量主管、保密安全员和档案管理员，其中项目经理、技术主管、质量主管、保密安全员和档案管理员应独立配置，不能有兼任的情况测评机构在对被测评单位开展等级保护测评服务之前需与被测评单位签订保密协议，测评过程中向被测评单位借阅的文档资料应在测评工作结束后全部归还被测评单位，未经被测评单位允许，不得擅白复制、保留。