金融行业信息安全等级保护工作如何做?这篇文章让你一分钟读懂 《金融行业信息系统信息安全等级保护实施指引》(JR/T 0071-2012)。
1、适用范围
金融机构(包括其分支机构)的系统规划建设部门(业务与技术)。
应用开发部门 | 系统使用部门 |
系统运行部门 | 内部监察部门 |
安全管理部门 | 审计等部门 |
注:也可作为信息安全职能部门进行监督、检查和指导的依据。 |
2、指导思想
结合金融机构特点落实等级保护相关要求。
3、信息安全保障框架
该框架通过对保障要求和保障方法的综合考虑,通过技术要求与管理要求交融,技术体系与管理体系有效结合,在遵循国家等级保护要求的前提下,满足金融行业的业务特殊性要求。
4、金融行业安全要求的选择和使用
金融行业技术类安全要求按其保护的侧重点不同,基础控制点分为四类:
①信息安全类(S类)
关注的是保护数据在存储、传输、处理过程中不被泄露、破坏和免受未授权的修改。
如,自主访问控制,该控制点主要关注的是防止未授权的访问系统,进而造成数据的修改或泄露。至于对保证业务的正常连续运行并没有直接的影响。
②服务保证类(A类)
关注的是保护系统连续正常的运行,避免因对系统的未授权修改、破坏而导致系统不可用。
如,数据的备份和恢复,该控制点很好的体现了对业务正常运行的保护。通过对数据进行备份,在发生安全事件后能够及时的进行恢复,从而保证了业务的正常运行。
③通用安全保护类(G类)
既关注保护业务信息的安全性,同时也关注保护系统的连续可用性。
大多数技术类安全要求都属于此类,保护的重点既是为了保护业务的正常运行,同时数据要安全。如,物理访问控制,该控制点主要是防止非授权人员物理访问系统主要工作环境,由于进入工作环境可能导致的后果既可能包括系统无法正常运行(如,损坏某台重要服务器),也可能窃取某些重要数据。因此,它保护的重点二者兼而有之。
④金融行业增强安全保护类(F类)
根据金融行业业务特点提出的特殊安全要求。F类要求作为金融行业的增强性安全要求分布在S、A、G类的安全要求中。