金融行业信息系统信息安全等级保护测评指南.pdf

ICS 03.060 A 11 JR 中华人民 共和 国金融行 业标准 JR/T 0072 20 12 金融行业信息系统信息安全等级保护测评 指南 Testing and evaluation guide for classified protection of information system of financial industry 2012-07-06 发布 2012-07-06 实施 中国人民银行 发布 JR/T 0072 2012 目 次 言 II 引 言 III 1 范围1 2 规范性引用文件1 3 概述1 4 等级测评过程3 5 测评准备3 6 测评方案4 7 现场测评7 8 分析与报告编制 168 附录A （资料性附录） 现场单元测评检查表 172 参考文献 331 I JR/T 0072 2012 前 言 本标准是“金融行业信息系统等级保护”系列标准中的第二项标准。该系列标准的结构及名称如下： 金融行业信息系统信息安全等级保护实施指引 金融行业信息系统信息安全等级保护测评指南 金融行业信息安全等级保护测评服务安全指引 本标准按照GB/T 1.1-2009给出的规则起草。 本标准由中国人民银行 出。 本标准由全国金融标准化技术委员会归口。 本标准负责起草单位：中国人民银行科技司。 本标准参加起草单位：中国金融电子化公司。 本标准主要起草人：王永红、王小青、张永福、王晓燕、王海涛、杨剑、白智勇、沈力克、徐明、 许自强、仇宁宁、李凡、郑凯一、陈广辉、赵义斌、杨英、周庆斌。 本标准为首次发布。 II JR/T 0072 2012 引 言 金融行业重要的信息系统关系到国计民生，是国家信息安全重点保护对象，国家信息安全监管职能 部门需要对其重要信息和信息系统的信息安全保护工作进行指导监督。 信息安全等级保护是国家在信息安全保障工作的一项基本制度，金融行业作为重要信息系统行业部 门之一，应 照实施该制度。围绕金融信息安全等级保护工作的开展，需要一系列适合金融行业的等级 保护标准体系作为支撑，以规范和指导金融等级保护工作的实施。为此，人民银行科技司组织安全等级 保护领域专家和相关技术人员，根据国家关于信息安全等级保护工作的相关制度和标准，制定符合金融 行业特点的、切实可行的信息安全等级保护行业标准和实施指南。 在本标准文本中，标记为F类的黑体字是根据金融行业业务特点新增的安全要求，没有标记为F类的 黑体字是对 《信息系统安全等级保护基本要求》 （GB/T 22239-2008）要求项进行增强的要求。 III JR/T 0072 2012 金融行业信息系