《金融行业信息系统信息安全等级 保护实施指引》介绍.PDF

金融标准化 宣贯材料之十一 《金融行业信息系统信息安全等级 保护实施指引》介绍 实施指引与其他标准的关联性分析 人行已发布的信息 行业内通用建设\实 安全标准规范 施措施调研   金融行业已发布的 金融行业信息系统等 金融行业等保 信息安全标准规范 保基本要求细则 实施指引   《信息系统安全等 《信息系统等级保护 级保护基本要求》 安全设计技术要求》 GB/T 22239—2008 GB/T 25070—2010 实施指引知识要点 一、实施指引整体介绍 二、实施指引体系方法及架构设计 三、实施指引详细内容介绍 一、实施指引整体介绍  《金融行业信息系统信息安全等级保护实施指引》（简称“实施指引”） 规范制定的目的是在满足金融行业信息安全发展需要，同时符合国家等级 保护基本要求和设计技术要求，为金融行业的信息安全建设提供方法论、 具体的建设措施及技术指导。  本实施指引依据国家《信息系统安全等级保护基本要求》和《信息系统等 级保护安全设计技术要求》标准，结合金融行业特点，对不同等级的应用 系统进行具体要求，以保障将国家等级保护要求行业化，具体化，提高金 融行业重要网络和信息系统信息安全防护水平。  根据金融行业特点本实施指引补充细化国家《信息系统安全等级保护基本 要求》（GB/T 22239-2008 ）二级、三级、四级要求项（第四章保护要求 中加粗要求项），并新增追加金融行业增强安全保护类（F类），F类要求 作为金融行业的增强性安全要求分布在S、A 、G类的要求中。 一、实施指引整体介绍 等级保护要求按应用系统保护的侧重点不同，将其基础控制点分为三类： 信息安全类 关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修 （S类） 改。如，自主访问控制，该控制点主要关注的是防止未授权的访问系统，进而造 成数据的修改或泄漏。至于对保证业务的正常连续运行并没有直接的影响。 服务保证类 关注的是保护系统连续正常的运行，避免因对系统的未授权修改、破坏而导致系 （A类） 统不可用。如，数据的备份和恢复，该控制点很好的体现了对业务正常运行的保 护。通过对数据进行备份，在发生安全事件后能够及时的进行恢复，从而保证了 业务的正常运行。 通用安全保 既关注保护业务信息的安全性，同时也关注保护系统的连续可用性。大多数技术 护类（G 类） 类安全要求都属于此类，保护的重点既是为了保证业务能够正常运行，同时数据 要安全。如，物理访问控制，该控制点主要是防止非授权人员物理访问系统主要 工作环境，由于进入工作环境可能导致的后果既可能包括系统无法正常运行（如， 损坏某台重要服务器），也可能窃取某些重要数据。因此，它保护的重点二者兼 而有之。 一、实施指引整体介绍  根据金融行业特点和要求加入增强安全要求： 金融行业增强安全保护类（F类）——根据金融行业业务特点提出的特殊安全要求 。F类要求作为金融行业的增强性安全要求分布在S、A、G 类的要求中。  根据定级系统服务保证性等级选择相应等级的系统服务保证类（A类）基本安全 要求；根据业务信息安全性等级选择相应等级的业务信息安全类（S类）基本安全 要求。  金融行业重要的非涉密信息系统是由二级系统、三级系统、四级系统组成。网络 一般由办公网、业务网和互联网组成，办公网为涉密网，三网均为单独的网络系