信息安全等级保护测评认证金融行业等保实施指引
来源:本站
作者:中联信科
日期:2021-10-09 16:17:24
浏览:
865
金融行业一直都是落实和实施信息安全等级保护的重点行业之一。金融行业定级为三级或四级的信息系统都是关系到国计民生的重要系统,有效规避等级保护测评工作中存在的风险,对保障金融行业重要信息系统的安全稳定运行,以及国计民生的稳定都具有重要意义。
金融行业信息安全等级保护工作如何做?这篇文章让你一分钟读懂 《金融行业信息系统信息安全等级保护实施指引》(JR/T 0071-2012)。
1、适用范围
金融机构(包括其分支机构)的系统规划建设部门(业务与技术)。
应用开发部门 系统使用部门
系统运行部门 内部监察部门
安全管理部门 审计等部门
注:也可作为信息安全职能部门进行监督、检查和指导的依据。
2、指导思想
结合金融机构特点落实等级保护相关要求。
3、信息安全保障框架
该框架通过对保障要求和保障方法的综合考虑,通过技术要求与管理要求交融,技术体系与管理体系有效结合,在遵循国家等级保护要求的前提下,满足金融行业的业务特殊性要求。
4、金融行业安全要求的选择和使用
金融行业技术类安全要求按其保护的侧重点不同,基础控制点分为四类:
①信息安全类(S类)
关注的是保护数据在存储、传输、处理过程中不被泄露、破坏和免受未授权的修改。
如,自主访问控制,该控制点主要关注的是防止未授权的访问系统,进而造成数据的修改或泄露。至于对保证业务的正常连续运行并没有直接的影响。
②服务保证类(A类)
关注的是保护系统连续正常的运行,避免因对系统的未授权修改、破坏而导致系统不可用。
如,数据的备份和恢复,该控制点很好的体现了对业务正常运行的保护。通过对数据进行备份,在发生安全事件后能够及时的进行恢复,从而保证了业务的正常运行。
③通用安全保护类(G类)
既关注保护业务信息的安全性,同时也关注保护系统的连续可用性。
大多数技术类安全要求都属于此类,保护的重点既是为了保护业务的正常运行,同时数据要安全。如,物理访问控制,该控制点主要是防止非授权人员物理访问系统主要工作环境,由于进入工作环境可能导致的后果既可能包括系统无法正常运行(如,损坏某台重要服务器),也可能窃取某些重要数据。因此,它保护的重点二者兼而有之。
④金融行业增强安全保护类(F类)
根据金融行业业务特点提出的特殊安全要求。F类要求作为金融行业的增强性安全要求分布在S、A、G类的安全要求中。