央行發(fā)布金融行業(yè)等級保護(hù)標(biāo)準(zhǔn)
11月11日,中國人民銀行發(fā)布《金融行業(yè)網(wǎng)絡(luò)安全等級保護(hù)實(shí)施指引》(以下簡稱“實(shí)施指引”)系列標(biāo)準(zhǔn),以及《金融行業(yè)網(wǎng)絡(luò)安全等級保護(hù)測評指南》(以下簡稱“評測指南”)標(biāo)準(zhǔn),自發(fā)布之日起實(shí)施。
其中,《實(shí)施指引》系列共包括《基礎(chǔ)和術(shù)語》、《基本要求》、《崗位能力要求和評價(jià)指引》、《培訓(xùn)指引》、《審計(jì)要求》、《審計(jì)指引》六個(gè)部分,其中基本要求部分為標(biāo)準(zhǔn)主要內(nèi)容。
網(wǎng)絡(luò)安全保障框架:兩要求、兩體系
網(wǎng)絡(luò)安全等級保護(hù)是國家網(wǎng)絡(luò)安全保障工作的一項(xiàng)基本制度。隨著云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、大數(shù)據(jù)等新技術(shù)的廣泛應(yīng)用,金融機(jī)構(gòu)正根據(jù)自己需要不斷推進(jìn)IT架構(gòu)轉(zhuǎn)型。
據(jù)移動(dòng)支付網(wǎng)了解,《實(shí)施指引》依據(jù)國家網(wǎng)絡(luò)安全等級保護(hù)相關(guān)要求,為金融行業(yè)的網(wǎng)絡(luò)安全建設(shè)提供方法論、具體的建設(shè)措施及技術(shù)指導(dǎo),完善金融行業(yè)網(wǎng)絡(luò)安全等級保護(hù)體系。
《實(shí)施指引》指出,金融行業(yè)網(wǎng)絡(luò)安全保障總體框架包含技術(shù)、管理要求以及技術(shù)、管理體系,遵循交互、綜合保障的原則。
其中,技術(shù)要求涉及安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心五方面要求;管理要求涉及安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理五方面要求。
技術(shù)體系以“一個(gè)中心,三重防護(hù)”為核心理念,劃分安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)與安全管理中心;管理體系遵從生命周期法則,從建立、實(shí)施和執(zhí)行、監(jiān)管和審計(jì)、保持和改進(jìn)四個(gè)過程進(jìn)行科學(xué)化管理,通過循壞改進(jìn)形成“生命環(huán)”的管理辦法。
新增“金融行業(yè)增強(qiáng)性安全要求(F類)”
《實(shí)施指引》完整的給出了從第二級到第四級的安全要求,由于業(yè)務(wù)目標(biāo)不同、使用技術(shù)不同、應(yīng)用場景不同,不同的等級保護(hù)對象會(huì)以不同的形式出現(xiàn)。為方便實(shí)現(xiàn)對不同等級和不同形態(tài)的等級保護(hù)對象的共性化和個(gè)性化保護(hù),等級保護(hù)要求分為安全通用要求和安全擴(kuò)展要求。
無論等級保護(hù)對象以何種形式出現(xiàn),都應(yīng)根據(jù)相應(yīng)保護(hù)等級實(shí)現(xiàn)相應(yīng)級別的安全通用要求,另外根據(jù)使用的特定技術(shù)或特定場景選擇性實(shí)現(xiàn)安全擴(kuò)展要求?!秾?shí)施指引》給出了針對云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、大數(shù)據(jù)系統(tǒng)的安全擴(kuò)展要求。
另外,新增了“金融行業(yè)增強(qiáng)性安全要求(F類)”,要求在結(jié)合金融行業(yè)相關(guān)規(guī)定的基礎(chǔ)上對等級保護(hù)要求進(jìn)行補(bǔ)充和完善,F(xiàn)2、F3、F4分別對應(yīng)二級、三級、四級增強(qiáng)性要求。
從第二級安全要求開始,每一級對個(gè)人信息保護(hù)都做出了要求,每一級都包括同樣的7條說明,只不過在“金融行業(yè)增強(qiáng)性安全要求(F類)”等級中做出了區(qū)分。
另外,在《實(shí)施指引》中對自行軟件開發(fā)、外包軟件開發(fā)、服務(wù)供應(yīng)商選擇、環(huán)境管理、設(shè)備維護(hù)管理等等方面都提出了細(xì)致的要求。
在外包軟件開發(fā)中明確要求,禁止外包服務(wù)商轉(zhuǎn)包并嚴(yán)格控制分包。在開發(fā)時(shí),應(yīng)要求開發(fā)人員和測試人員分離,開發(fā)人員不能兼任系統(tǒng)管理員或業(yè)務(wù)操作員,并要求在軟件開發(fā)過程中對代碼規(guī)范、代碼質(zhì)量、代碼安全性進(jìn)行審查。
測評指南非常詳細(xì)
標(biāo)準(zhǔn)出臺最重要的一部分是什么?所有人都會(huì)說是落地。不落地的標(biāo)準(zhǔn)等于不存在的標(biāo)準(zhǔn),為幫助《實(shí)施指引》落地,《測評指南》與《實(shí)施指引》同時(shí)發(fā)布、實(shí)施。
在《測評指南》中增加了“云計(jì)算安全測評擴(kuò)展要求”、“移動(dòng)互聯(lián)安全測評擴(kuò)展要求、”“物聯(lián)網(wǎng)安全測評擴(kuò)展要求”。增加了“大數(shù)據(jù)可參考安全評估方法”,對金融行業(yè)大數(shù)據(jù)平臺提出分級要求。
《測評指南》適用于指導(dǎo)金融機(jī)構(gòu)、測評機(jī)構(gòu)和金融行業(yè)網(wǎng)絡(luò)安全等級保護(hù)主管部門對等級保護(hù)對象的安全狀況進(jìn)行安全測評。
據(jù)移動(dòng)支付網(wǎng)了解,與金融機(jī)構(gòu)系統(tǒng)特色相結(jié)合,《測評指南》同樣新增“金融行業(yè)增強(qiáng)安全保護(hù)類(F類)”要求,與《實(shí)施指引》同樣采用F2、F3、F4進(jìn)行分級表示。