| 标准编号 | JR/T 0072-2020 (JR/T0072-2020) | | 中文名称 | 金融行业网络安全等级保护测评指南 | | 英文名称 | Testing and evaluation guidelines for classified protection of cybersecurity of financial industry | | 行业 | 金融行业标准 (推荐) | | 中标分类 | A11 | | 字数估计 | 335,356 | | 发布日期 | 2020-11-11 | | 实施日期 | 2020-11-11 | | 旧标准 (被替代) | JR/T 0072-2012 | | 标准依据 | 银发(2020)275号 | | 发布机构 | 中国人民银行 | JR/T 0072-2020: 金融行业网络安全等级保护测评指南
JR/T 0072-2020 英文名称: Testing and evaluation guidelines for classified protection of cybersecurity of financial industry
中 华 人 民 共 和 国 金 融 行 业 标 准
代替 JR/T 0072-2012
金融行业网络安全等级保护测评指南
中国人民银行 发 布
1 范围
本标准规定了金融行业对第二级、第三级和第四级的等级保护对象的安全测评通用要求和安全测评扩
展要求。
本标准适用于指导金融机构、测评机构和金融行业网络安全等级保护主管部门对等级保护对象的安全
状况进行安全测评。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的文件,其最新版本(包括所有的修改版)适用于本文件。
5.1 等级测评方法
等级测评实施的基本方法是针对特定的测评对象,采用相关的测评手段,遵从一定的测评规程,获取
需要的证据数据,给出是否达到特定级别安全保护能力的评判。等级测评实施的详细流程和方法见GB/T
28449-2018。
本标准中针对每一个要求项的测评就构成一个单项测评,针对某个要求项的所有具体测评内容构成测
评实施。单项测评中的每一个具体测评实施要求项(以下简称“测评要求项”)是与安全控制点下面所包
括的要求项(测评指标)相对应的。在对每一要求项进行测评时,可能用到访谈、核查和测试三种测评方
法,也可能用到其中一种或两种。测评实施的内容完全覆盖了JR/T 0071.2-2020中所有要求项的测评要求,
使用时应当从单项测评的测评实施中抽取出对于JR/T 0071.2-2020中每一个要求项的测评要求,并按照这
些测评要求开发测评指导书,以规范和指导等级测评活动。
根据调研结果,分析等级保护对象的业务流程和数据流,确定测评工作的范围。结合等级保护对象的
安全级别,综合分析系统中各个设备和组件的功能和特性,从等级保护对象构成组件的重要性、安全性、
共享性、全面性和恰当性等几方面属性确定技术层面的测评对象,并将与其相关的人员及管理文档确定为
管理层面的测评对象。测评对象可以根据类别加以描述,包括机房、业务应用软件、主机操作系统、数据
库管理系统、网络互联设备、安全设备、访谈人员及安全管理文档等。
等级测评活动中涉及测评力度,包括测评广度(覆盖面)和测评深度(强弱度)。安全保护等级较高
的测评实施应选择覆盖面更广的测评对象和更强的测评手段,可以获得可信度更高的测评证据,测评力度
的具体描述参见附录A。
每个级别测评要求都包括安全测评通用要求、云计算安全测评扩展要求、移动互联安全测评扩展要求
和物联网安全测评扩展要求4个部分,大数据可参考安全评估方法参见附录B。与金融机构系统特色相结合,
新增金融行业增强安全保护类(F类)要求,F2表示第二级增强安全保护要求,F3表示第三级增强安全保护
要求,F4表示第四级增强安全保护要求。
5.2 单项测评和整体测评
等级测评包括单项测评和整体测评。
单项测评是针对各安全要求项的测评,支持测评结果的可重复性和可再现性。本标准中单项测评由测
评指标、测评对象、测评实施和单元判定结果构成。为方便使用,针对每个测评单元进行编号,具体描述
见附录C。
整体测评是在单项测评基础上,对等级保护对象整体安全保护能力的判断。整体安全保护能力从纵深
防护和措施互补两个角度评判。
6 第二级测评要求
6.1 安全测评通用要求
6.1.1 安全物理环境
6.1.1.1 物理位置选择
测评单元(L2-PES1-01)
该测评单元包括以下要求:
a) 测评指标:机房场地应选择在具有防震、防风和防雨等能力的建筑内。
b) 测评对象:记录表单类文档和机房。
c) 测评实施包括以下内容:
1) 应核查所在建筑物是否具有建筑物抗震设防审批文档。
2) 应核查机房是否不存在雨水渗漏。
3) 应核查机房门窗是否不存在因风导致尘土严重的情况。
4) 应核查屋顶、墙体、门窗和地面等是否没有破损开裂。
d) 单元判定:如果 1)~4)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评
单元指标要求。
测评单元(L2-PES1-02)
该测评单元包括以下要求:
a) 测评指标:机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。
b) 测评对象:机房。
c) 测评实施:应核查机房是否不位于所在建筑物的顶层或地下室,如果否,则核查机房是否采取了
防水和防潮措施。
d) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元
指标要求。
6.1.1.2 物理访问控制
测评单元(L2-PES1-03)
该测评单元包括以下要求:
a) 测评指标:机房出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录进入的人员。
b) 测评对象:机房电子门禁系统和值守记录。
c) 测评实施包括以下内容:
1) 应核查是否安排专人值守或配置电子门禁系统。
2) 应核查相关记录是否能够控制、鉴别和记录进入的人员。
d) 单元判定:如果 1)和 2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评
单元指标要求。
测评单元(L2-PES1-04)
该测评单元包括以下要求:
a) 测评指标:可对机房划分区域进行管理,并根据各区域特点提出相应的访问控制要求。(F2)
b) 测评对象:机房。
c) 测评实施包括以下内容:
1) 应核查机房区域划分是否合理,是否根据各区域特点提出相应的访问控制要求。
2) 应核查相关记录是否能够控制、鉴别和记录进入的人员。
d) 单元判定:如果 1)和 2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评
单元指标要求。
6.1.1.3 防盗窃和防破坏
测评单元(L2-PES1-05)
该测评单元包括以下要求:
a) 测评指标:应将设备或主要部件进行固定,并设置明显的不易除去的标识。
b) 测评对象:机房设备或主要部件。
c) 测评实施包括以下内容:
1) 应核查机房内设备或主要部件是否固定。
2) 应核查机房内设备或主要部件上是否设置了明显且不易除去的标识。
d) 单元判定:如果 1)和 2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评
单元指标要求。
测评单元(L2-PES1-06)
该测评单元包括以下要求:
a) 测评指标:应将通信线缆铺设在隐蔽安全处。
b) 测评对象:机房通信线缆。
c) 测评实施:应核查机房内通信线缆是否铺设在隐蔽安全处,如桥架中等。
d) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元
指标要求。
测评单元(L2-PES1-07)
该测评单元包括以下要求:
a) 测评指标:应建立机房视频监控系统和动环监控系统,对机房风冷水电设备、消防设施、门禁系
统等重要设施实行全面监控,视频监控记录和门禁系统出入记录至少保存 3 个月。(F2)
b) 测评对象:机房视频监控系统和动环监控系统。
c) 测评实施包括以下内容:
1) 应核查机房是否配置视频监控系统和动环监控系统。
2) 应核查视频监控系统和动环监控系统是否启用。
3) 应核查视频监控系统和动环监控系统是否对机房风冷水电设备、消防设施、门禁系统等重要
设施实行全面监控,并核查视频监控记录和门禁系统出入记录是否至少保存 3 个月。
d) 单元判定:如果 1)~3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评
单元指标要求。
6.1.1.4 防雷击
测评单元(L2-PES1-08)
该测评单元包括以下要求:
a) 测评指标:应将各类机柜、设施和设备等通过接地系统安全接地。
b) 测评对象:机房。
c) 测评实施:应核查机房内机柜、设施和设备等是否进行接地处理。
d) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元
指标要求。
6.1.1.5 防火
测评单元(L2-PES1-09)
该测评单元包括以下要求:
a) 测评指标:机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。
b) 测评对象:机房防火设施。
c) 测评实施包括以下内容:
1) 应核查机房内是否设置火灾自动消防系统。
2) 应核查火灾自动消防系统是否可以自动检测火情、自动报警,并自动灭火。
d) 单元判定:如果 1)和 2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评
单元指标要求。
测评单元(L2-PES1-10)
该测评单元包括以下要求:
a) 测评指标:机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。
b) 测评对象:机房验收类文档。
c) 测评实施:应核查机房验收文档是否明确相关建筑材料的耐火等级。
d) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元
指标要求。
测评单元(L2-PES1-11)
该测评单元包括以下要求:
a) 测评指标:机房内部通道设置、装修装饰材料、设备线缆等应满足消防要求,并对机房进行消防
验收。(F2)
b) 测评对象:机房验收类文档。
c) 测评实施:应核查机房验收类文档,是否明确内部通道设置、装修装饰材料、设备线缆等满足消
防验收要求。
d) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元
指标要求。
6.1.1.6 防水和防潮
测评单元(L2-PES1-12)
该测评单元包括以下要求:
a) 测评指标:应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。
b) 测评对象:机房。
c) 测评实施:应核查窗户、屋顶和墙壁是否采取了防雨水渗透的措施。
d) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元
指标要求。
测评单元(L2-PES1-13)
该测评单元包括以下要求:
a) 测评指标:应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
b) 测评对象:机房。
c) 测评实施包括以下内容:
1) 应核查机房内是否采取了防止水蒸气结露的措施。
2) 应核查机房内是否采取了排泄地下积水,防止地下积水渗透的措施。
d) 单元判定:如果 1)和 2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测
评单元指标要求。
6.1.1.7 防静电
测评单元(L2-PES1-14)
该测评单元包括以下要求:
a) 测评指标:应采用防静电地板或地面并采用必要的接地防静电措施。
b) 测评对象:机房。
c) 测评实施包括以下内容:
1) 应核查机房内是否安装了防静电地板或地面。
2) 应核查机房内是否采用了接地防静电措施。
d) 单元判定:如果 1)和 2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评
单元指标要求。
6.1.1.8 温湿度控制
测评单元(L2-PES1-15)......
|