就金融行业而言,金融行业目前可依据的等保标准有:
1、《中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见》(银发〔2012〕163 号)
2、《金融行业信息系统信息安全等级保护实施指引 (JR T 0071-2012)》
3、《金融行业信息系统信息安全等级保护测评指南 (JR T 0072-2012)》
4、《金融行业信息安全等级保护测评服务安全指引 (JR T 0073-2012)》
其中,《实施指引》依据国家《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》标准,结合金融行业特点以及信息系统安全建设需要,对金融行业的信息安全体系架构采用分区分域设计, 并从安全技术、安全管理两个方面详细阐述了对不同等级信息系统的具体要求。安全技术从物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复几个方面提出要求;安全管理从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出要求。
《测评指南》是对《实施指引》中的测评要求提出了具体可操作的测评方法。包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。
《安全指引》总结了金融行业应用系统多年的安全需求和业务特点,并参考国际、国内相关信息安全标准及行业标准,明确等级保护测评服务机构安全、人员安全、过程安全、测评对象安全、工具安全等方面的基本要求。
还需要特别注意的是:
1、根据2016年4月发布的《互联网金融风险专项整治工作实施方案》,由公安部负责“指导、监督、检查互联网金融从业机构落实等级保护工作,监督指导互联网金融网站依法落实网络和信息安全管理制度、措施,严厉打击侵犯用户个人信息安全的违法犯罪活动”。简而言之,所有互联网金融平台都必须通过等保测评。
2、根据《网络借贷信息中介业务管理暂行办法》,“三级等保”是互金平台合规运营的标配。P2P网络借贷平台也必须通过三级等保测评,才能顺利备案。
那么,根据金融行业的等保标准,金融行业如何过等保呢?
1、等级保护办理流程:
2、定级流程:
3、备案资料提交:
填写公安部监制的《信息系统安全等级保护备案表》,第三级及以上信息系统应当同时提供以下材料:
①系统拓扑结构及说明;
②系统安全组织机构和管理制度;
③系统安全保护设施设计实施方案或者改建实施方案;
④系统使用的信息安全产品清单及其认证、销售许可证明;
⑤测评后符合系统安全保护等级的技术检测评估报告;
⑥信息系统安全保护等级专家评审意见;
⑦主管单位核准信息系统安全保护等级的意见。
在备案过程中,电力信息系统运营、使用单位应当按照公安机关的审核意见,对不符合等级保护要求的备案材料进行纠正后重新备案。
4、等级测评:
选择具备专业资质的等级保护测评机构进行测评,等保测评机构结束测评以后,要出具相应的测评报告。测评报告模板由公安机关提供。
5、接受监督、检查并按要求进行整改:
电力信息系统运营、使用单位应当接受主管单位及公安机关不定期的安全监督、检查、指导,如实提供下列有关信息安全保护的信息资料及数据文件:
①信息系统备案事项变更情况;
②安全组织、人员、岗位职责的变动情况;
③信息安全管理制度、措施变更情况;
④信息系统运行状况记录;
⑤运营、使用单位及上级部门定期对信息系统安全状况的检查记录;
⑥对信息系统开展等级测评的技术测评报告;
⑦信息安全产品使用的变更情况;
⑧信息安全事件应急预案,信息安全事件应急处置结果报告;
⑨信息系统数据容灾备份情况。
⑩信息系统安全建设、整改结果报告。
金融行业如何过等保?整合云安全产品的技术优势,联合优质等保咨询、等保测评合作资源,等保测评网竭诚为您提供等保项目的一站式服务,全面覆盖等保定级、备案、建设整改以及测评阶段,能帮助您快速定级备案,成功通过等保测评。
