路径: 主页 > MISC > 第172页 > JR/T 0071.1-2020

[PDF] JR/T 0071.1-2020 - 英文版

标准号码	内文	价格美元	第2步(购买)	交付天数	标准名称	状态
JR/T 0071.1-2020	英文版	479	JR/T 0071.1-2020	[PDF]天数 >=4	金融行业网络安全等级保护实施指引第1部分：基础和术语	有效

基本信息
标准编号	JR/T 0071.1-2020 (JR/T0071.1-2020)
中文名称	金融行业网络安全等级保护实施指引第1部分：基础和术语
英文名称	Implementation guidelines for classified protection of cybersecurity of the financial industry - Part 1: Fundamentals and vocabulary
行业	金融行业标准 (推荐)
中标分类	A11
国际标准分类	03.060
字数估计	20,291
发布日期	2020
实施日期	2020-11-11
发布机构	中国人民银行

JR/T 0071.1-2020: 金融行业网络安全等级保护实施指引第1部分：基础和术语 JR/T 0071.1-2020 英文名称: Implementation guidelines for classified protection of cybersecurity of the financial industry - Part 1: Fundamentals and vocabulary 中华人民共和国金融行业标准金融行业网络安全等级保护实施指引第 1 部分：基础和术语中国人民银行发布 1 范围本部分规定了金融行业网络安全等级保护工作的基础框架和术语定义。本部分适用于指导金融机构、测评机构和金融行业主管部门实施网络安全等级保护工作。 2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 3 术语和定义下列术语和定义适用于本文件。 3.1 特定等级保护类 3.1.1 等级保护对象 target of classified security 网络安全等级保护工作直接作用的对象。 3.1.2 等级测评 testing and evaluation for classified cybersecurity protection 测评机构依据国家网络安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密的网络安全等级保护状况进行检测评估的活动。 3.1.3 测评强度 testing and evaluation intensity 测评工作实际投入力量的表征，可以由测评广度和深度来描述。 3.2 通用技术类 3.2.1 信息系统安全 security of information system 信息系统所存储、传输和处理的信息的保密性、完整性和可用性的表征。 3.2.2 安全保证 security assurance 为确保安全要素的安全功能达到要求的安全性目标所采取的方法和措施。 3.2.3 用户鉴别 user authentication 用特定信息对用户身份的真实性进行确认。用于鉴别的信息一般是非公开的、难以仿造的。 3.2.6 敏感标记 sensitivity label 表示客体安全级别并描述客体数据敏感性的一组信息，可信计算基中把敏感标记作为强制访问控制决策的依据。 3.2.7 主、客体标记 label of subject and object 为主、客体指定敏感标记。这些敏感标记是等级分类和非等级类别的组合，是实施强制访问控制的依据。 3.2.8 访问控制 access control 按确定的规则，对实体之间的访问活动进行控制的安全机制，能防止对资源的未授权使用。 3.2.9 安全属性 security attribute 实施安全策略时，与主体、客体相关的信息。 3.2.10 自主访问控制 discretionary access control 由客体的所有者主体自主地规定其所拥有客体的访问权限的方法。有访问权限的主体能按授权方式对指定客体实施访问，并能根据授权，对访问权限进行转移。 3.2.11 强制访问控制 mandatory access control 由系统根据主、客体所包含的敏感标记，按照确定的规则，决定主体对客体访问权限的方法。有访问权限的主体能按授权方式对指定客体实施访问。敏感标记由系统安全员或系统自动地按照确定的规则进行设置和维护。 3.2.12 弱口令 weak password 过于简单或非常容易被破解的口令或密码。 3.2.13 可信路径 trusted path 为实现用户与SSF之间的可信通信，在SSF与用户之间建立和维护的保护通信数据免遭修改和泄漏的通信路径。 3.2.14 公开用户数据 published user data 信息系统中需要向所有用户公开的数据。该类数据需要进行完整性保护。 3.2.15 内部用户数据 internal user data 信息系统中具有一般使用价值或保密程度，需要进行一定保护的用户数据。该类数据的泄漏或破坏，会带来一定的损失。 3.2.16 重要用户数据 important user data 信息系统中具有重要使用价值或保密程度，需要进行重点保护的用户数据，该类数据的泄露或破坏，会带来较大的损失。 3.2.17 关键用户数据 key user data 信息系统中具有很高使用价值或保密程度，需要进行特别保护的用户数据，该类数据的泄漏或破坏，会带来重大损失。 3.2.18 核心用户数据 nuclear user data 信息系统中具有最高使用价值或保密程度，需要进行绝对保护的用户数据，该类数据的泄漏或破坏，会带来灾难性损失。 3.2.19 设备物理安全 facility physical security 为保证信息系统的安全可靠运行，降低或阻止人为或自然因素对硬件设备安全可靠运行带来的安全风险，对硬件设备及部件所采取的适当安全措施。 [GB/T 21052-2007，定义3.3] 3.3.22 业务连续管理 business continuity management；BCM 为保护组织的利益、声誉、品牌和价值创造活动，找出对组织有潜在影响的威胁，提供建设组织有效反应恢复能力的框架的整体管理过程。包括组织在面临灾难时对恢复或连续性的管理，以及为保证业务连续计划或灾难恢复预案的有效性的培训、演练和检查的全部过程。 [GB/T 20988-2007，定义3.4] 4.4 金融行业网络安全等级保护监管要求根据国家网络安全等级保护管理办法要求，网络安全等级保护实行“国家主导、重点单位强制、一般单位自愿，高保护级别强制、低保护级别自愿”的监管原则。金融行业的重要等级保护对象应按照国家有关法规和技术标准建设安全保护设施和进行安全保护，并由金融行业主管部门予以核准，依法对其进行监督和检查。金融行业的一般等级保护对象应按照国家有关法规和技术标准，由金融行业组织机构自行设定安全等级，建设安全保护设施和进行安全保护，报国家主管部门备案，实施自我保护和共同保护。 4.5 金融行业网络安全等级保护工作中相关部门的责任和义务金融行业网络安全等级保护相关部门职责如下： a) 国家网络安全职能部门职责分工： 1) 公安机关：监督、检查、指导等级保护工作。 2) 国家保密部门：负责等级保护工作中有关保密工作的监督、检查、指导。并负责涉及国家秘密系统的分级保护。 3) 国家密码管理部门：负责等级保护工作中有关密码工作的监督、检查、指导。 4) 工业和信息化部门：负责等级保护工作中部门间的协调。 b) 金融行业主管部门，其主要职责为督促、检查、指导本行业、本部门开展等级保护工作。 c) 运营使用单位，主要包括银行、非银行金融机构等运营机构，其主要职责包括：开展定级、备案、建设整改、等级测评、自查等工作，落实等级保护制度的各项要求。具体包括：等级保护对象运营、使用单位按照等级保护的管理规范和技术标准，确定其等级保护对象的安全保护等级；对新建、改建、扩建的等级保护对象进行安全规划设计、安全建设施工；按照与其安全保护等级相对应的管理规范和技术标准的要求，定期进行安全状况检测评估。 d) 安全服务机构：开展技术支持、服务等工作，并接受监督管理部门的监督管理。 4.6 金融行业网络安全等级保护政策体系自网络安全等级保护制度确立以来，国家主管部门出台一系列文件，构成网络安全等级保护政策体系,金融机构应按照国家法律、政策文件要求，开展网络安全等级保护工作。 4.7 金融行业等级保护技术标准体系 4.7.1 总体概述按照国家网络安全等级保护标准体系的要求，网络安全等级保护各个环节应符合如下标准要求： a) 定级环节应符合 GB 17859-1999、GB/T 22240-2020 的要求。 b) 建设整改环节应符合 GB/T 22239-2019、GB/T 25070-2019 的要求。 c) 等级保护测评环节应符合 GB/T 28448-2019 和 GB/T 28449-2018 的要求。金融行业等级保护测评环节除满足上述要求外，还应符合 JR/T 0072-2020 和 JR/T 0073-2012 的要求。金融行业网络安全等级保护标准体系参照国家等级保护技术标准体系，突出金融行业特点，其框架为三层架构设计，体系的第一层分类将金融行业网络安全等级保护标准按基础标准、要求标准、指南标准划分；第二层分类集中反映金融行业网络安全等级保护的工作需求子类等，第三层描述各子类对应的具体要求。金融行业网络安全等级保护标准体系分类如下： 4.7.2 基础类标准本部分为基础类标准，规定金融行业网络安全等级保护的基础和术语。金融行业实施网络安全等级保护工作涉及多方，例如实施单位、测评单位、主管单位等。具体实施单位内部也涉及多个部门和多种角色，例如部门涉及信息化部门、人力资源部门、行政部门、业务部门等，角色涉及领导层人员、技术人员、管理人员、普通员工等。促使所有人员正确理解并有效实施网络安全等级保护的各项工作，必须具备可一致理解该工作的平台，例如金融行业网络安全等级保护的机制、方法、测评体系以及相关的术语等。因此，金融行业网络安全等级保护标准体系中，首先需要制定说明金融行业网络安全等级保护基础内容、基本原则、相关术语和定义的标准。本部分主要包括两方面的内容：金融行业网络安全等级保护基础、金融行业网络安全等级保护术语和定义。金融行业网络安全等级保护基础主要阐述在金融行业开展网络安全等级保护工作的机制和原则，包括等级保护工作在金融行业实施的重要性、过程、关键要素、组织架构、部门分工、工作职责等，以及金融行业网络安全等级保护标准体系的架构和内容。金融行业网络安全等级保护术语和定义对实施金融行业网络安全等级保护工作所涉及的所有相关术语和定义进行归纳、分类，其他标准或文献有定义且符合金融行业网络安全等级保护工作内容的进行采纳；其他标准或文献没有的，按照实际需求进行描述。 4.7.3 要求类标准要求类标准包括基本要求和审计要求： a) 基本要求。金融行业网络安全等级保护的基本要求见JR/T 0071.2-2020，基本要求规范金融行业网络安全等级保护工作中的安全控制选择、安全控制调整、安全控制实施以及安全运行管理等活动，具体作用如下： 1) 为金融行业等级保护对象建设单位和运营、使用单位规定要求:在等级保护对象的安全保护等级确定后，按照基本要求选择特定等级的安全要求进行建设、运营。 2) 为评估机构提供评估依据:基本要求为金融行业等级保护对象的运营、使用单位和金融行业网络安全等级保护测评机构对等级保护对象的检测评估提供依据。 3) 为金融行业网络安全等级保护主管部门提供审计依据:基本要求为主管部门的审计工作提供依据，用于判断一个特定等级的等级保护对象是否按照金融行业的相关要求进行了基本的保护。基本要求主要借鉴国家相关标准，结合金融行业等级保护对象的特点和需求进行研究编制。各等级的基本安全要求，由安全物理环境、安全区域边界、安全通信网络、安全计算环境、安全管理中心等五个层面的基本安全技术措施和安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的基本安全管理措施来实现和保证。 b) 审计要求。等级保护工作的审计要求见JR/T 0071.5-2020，审计工作独立于目前等级保护工作的实施流程之外，从主管部门的角度，审计各单位在定级、备案、建设整改、测评、检查等各项工作中是否遵循了相关标准和文件的要求，重点在于检查其符合性和有效性。审计要求主要内容包括：审计目标、审计原则、审计内容、审计机制、审计过程以及审计所使用的方法。 4.7.4.1 测评类指南测评类指南包含测评指南、测评服务安全指引： a) 测评指南。金融行业网络安全等级保护测评要求见JR/T 0072-2020，等级保护对象运营、使用单位在进行定级、备案后，应选择测评机构进行等级测评。测评涉及以下内容：在建设、整改阶段，等级保护对象运营、使用单位通过等级测评进行现状分析，确定等级保护对象的安全保护现状和存在的安全问题，并在此基础......

英文网页English: JR/T 0071.1-2020

相关标准: GB/T 19584 | JR/T 0071.3 | JR/T 0071.4 | JR/T 0071.2 |