1.2 金融行业信息系统信息安全等级保护实施指引-编制说明.docVIP

《金融行业信息系统信息安全等级保护实施指引(送审稿)》 编制说明 中国人民银行科技司 二○一二年二月 《金融行业信息系统信息安全等级保护实施指引(送审稿)》编制说明 一、背景及意义 信息系统信息安全等级保护制度（简称等级保护）是我国信息安全领域的一项基本国策。金融行业重要的信息系统关系到国计民生，是国家信息安全重点保护对象，因此金融行业是落实和实施信息安全等级保护的重点行业之一。由于金融行业的信息系统多是数据集中、资金密集、大型复杂、网络化的信息系统，所以围绕金融行业开展信息系统的信息安全等级保护工作，需要一系列适合金融行业的等级保护标准体系作为支撑，以规范和指导金融等级保护工作的实施。 中国人民银行作为我国中央银行，对金融行业重要信息和信息系统的信息安全保护工作负有指导监督的重任，需要在金融行业内建立符合金融行业特点的信息安全等级保护体系规范，通过备案、指导、检查、督促整改等方式来推进金融行业信息安全等级保护工作建设。为此，人民银行科技司组织安全等级保护领域专家和相关技术人员，根据国家关于信息安全等级保护工作的相关制度和标准，制定符合金融行业特点的、切实可行的信息安全等级保护行业标准和实施指南。 人民银行以落实国家对金融行业信息安全等级保护相关工作要求，加强金融行业信息安全管理和技术风险防范，保障金融行业信息系统信息安全等级保护建设、测评、整改工作顺利开展为目标，特制定金融行业信息系统信息安全等级保护系列规范（以下简称“规范”），规范包含《金融行业信息系统信息安全等级保护实施指引》（以下简称“《实施指引》”）、《金融行业信息系统信息安全等级保护测评指南》（以下简称“《测评指南》”）、《金融行业信息安全等级保护测评服务安全指引》（以下简称“《安全指引》”）三份文件。 《实施指引》编写的目的是在满足金融行业信息安全发展需要，同时符合国家等级保护基本要求和设计技术要求，为金融行业的信息安全建设提供方法论、具体的建设措施及技术指导。本实施指引依据国家《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》标准，结合金融行业特点以及信息系统安全建设需要，对金融行业的信息安全体系架构采用分区分域设计、对不同等级的应用系统进行具体要求，以保障将国家等级保护要求行业化，具体化，提高我行重要网络和信息系统信息安全防护水平。 二、编制原则 本标准的编制遵循以下原则： 1、与国家标准保持一致性 《实施指引》严格按照GB/T 22239-2008《信息系统安全等级保护基本要求》(以下简称为基本要求)、GB/T 25070-2010《信息系统等级保护安全设计技术要求》、GB/T 22240-2008《信息系统安全等级保护定级指南》及GB/T 1.1-2000 《标准化工作导则 第1部分：标准的结构和起草规则》等相关标准开展规范的编制工作，确保标准的规范性、易用性与可读性，保持了与国家标准的高度一致性。 2、继承与发展 《实施指引》参考人民银行等级保护规范等一行三会共计26个制度标准，结合行业实际情况，结合《信息系统安全等级保护基本要求》的内容，对《实施指引》中安全测评要求的测评方法进行明确、细化和调整。 3、全面性及实用性 《实施指引》的编制总结了金融行业应用系统多年的安全需求和业务特点，并参考国际、国内相关信息安全标准及行业标准，对信息系统建设、部署、管理等多个方面提出了安全要求及应对措施，是具有实际指导意义可操作的规范文档。 《实施指引》的主要特点为通过补充、细化落实国家等级保护标准；提出建立信息安全体系架构体系化保护两个方面。《实施指引》根据金融行业特点细化补充国家《信息系统安全等级保护基本要求》（GB/T 22239-2008）二级、三级、四级要求项（第四章保护要求中加粗要求项），并新增追加金融行业增强安全保护类（F类），F类要求作为金融行业的增强性安全要求分布在S、A、G类的要求中。信息安全体系架构中的技术体系通过结合等级保护安全设计技术要求、国际标准《信息保障技术框架》（IATF），结合金融行业自身特点设计出一套满足金融行业信息系统安全架构的技术体系。管理体系设计中，通过结合国际标准27001管理生命周期的过程改进，创建一套满足金融行业信息安全管理和制度所需要的管理体系。 三、编制内容 《实施指引》的编制总结了金融行业应用系统多年的安全需求和业务特点，并参考国际、国内相关信息安全标准及行业标准，对信息系统建设、部署、管理等多个方面提出了安全要求及应对措施，是具有实际指导意义可操作的规范文档。以三级系统为例： 1、共有64项要求进行了细化和明确。例如国标《基本要求》中的主机安全对身份鉴别有这样的要求：“操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点操作系统和数据库系统管理用