JR_T 0073-2012金融行业信息安全等级保护测评服务安全指引.pdf

ICS 03.060A 11JR中华人民共和国金融行业标准JR/T 0073—2012金融行业信息安全等级保护测评服务安全指引Testing and evaluation service security guide for classified protection ofinformation security of financial industry2012-07-06发布2012-07-06实施中国人民银行发布 JR/T 0073—2012参考文献[]全国人民代表大会常务委员会《中华人民共和国标准化法》（1988年月中华人民共和国主席令第11号）[2] GB/T 1.1-2000标准化工作导则第1部分：标准的结构和起草规则[3] GB/T 10112-1999术语工作原则与方法[4]】GB/T20001.1-2001标准编写规则第1部分：术语[5] GB/T 16785-1997术语工作概念与术语的协调[6] GB/T 22239-2008信息系统安全等级保护基本要求[7] GB/T 25070-2010信息系统等级保护安全设计技术要求[8] GB/T 22240-2008信息系统安全等级保护定级指南 JR/T 0073—2012目次前II引言.1范图2规范性引用文件3资质能力要求4别评过程要求参考文献 JR/T 0073—2012前言本标准是“金融行业信息系统等级保护”系列标准中的第三项标准，该系列标准的结构及名称如下：金融行业信息系统信息安全等级保护实施指引金融行业信息系统信息安全等级保护测评指南金融行业信息安全等级保护测评服务安全指引本标准按照GB/T1.1-2009给出的规则起草。本标准由中国人民银行提出。本标准由全国全融标准化技术委员会妇口。本标准负责起草单位：中国人民银行科技司。本标准参加起草单位：中国金胜电子化公司，本标准主要起草人：王永红、王小青、张永福、王晓燕、王海涛、杨剑、白智勇、沈力克、徐明本标准为首次发布，II JR/T言金融行业重要的信息系统关系到国计民生，是国家信息安全重点保护对象，因此金融行业是落实和实施信息安全等级保护的重点行业之一，由于金融行业的信息系统多是技术密集、资金密集、大型复杂、网络化的人机系统，所以针对金融行业开展信息系统的信息安全等级保护测评，需要一批对金融行业业务系统有一定了解，并具有较强技术能力的测评机构来进行对评；金融行业定级为三级或四级的信息系续部是关系到国计民生的重要系统，有效规避等级保护测评工作中存在的风险，对保障金题行业重要信息系统的安全稳定运行，以及国计民生的稳定都具有重要意义。因此，对测评机构的约束与规范化，是在金融行业实施等级保护的重要一环。为此，中国人民银行特制定《金融行业信息安全等级保护测评服务安全指引》（以下简称《安全指引》），以明确金融行业等级保护测评服务机构安全、人员安全、过程安全、测评对象安全、工具安全等方面的基本要求，指导等级保护测评机构在金融机构开展的信息系统安全等级保护测评工作。 JR/T 0073—2012金融行业信息安全等级保护测评服务安全指引1范围本标准总结了金融行业应用系统多年的安全需求和业务特点，并参考国际、国内相关信息安全标准及行业标准，明确等级保护测评服务机构安全、人员安全、过程安全、测评对象安全、工具安全等方面的基本要求。本标准适用于信息安全职能部门对从事金融行业信息系统开展信息安全等级保护测评的第三方机构（以下简称测评机构）和人员及其测评活动的监暂管理。2规范性引用文件下列文件对于本文件的应用是比不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件，凡是不注日期的文件，其最新版本(包括所有的修改单)适用于本文件。公通字（2007）43号信息安全等级保护管理办法3资质能力要求3.1测评机构资质要求从事金融行业信息系绕信息安全等级保护测评的第三方机构其机构资质应具备并符合以下要求：a)具有公安部认可的信息安全等级保护测评资质，并在公安部等级保护测评机构推荐目录中；b)产权关系明晰，注册资金不低于500万元人民币：c)具有中国合格评定国家认可委员会（CNAS）实验室或检查机构认可证书：(p具有2年以上信息系统安全测评工作经验，且最近1年内至少从事过1次金融机构的信息系统安全测评工作；e)最近5年内在测评工作中无法律纠纷，违规记录，无重大信息安全滑露事件及其他重大安全事件等不良记录：f)测评机构人员学历比重应为本科（含）以上学历所占比例不低于60%：g)测评机构人员规模应不少于30人，且具有满足等级测评工作的专业技术人员和管理人员不少于20人，测评技术人员不少于15人，3.2测评机构管理要求测评机构及其测评人员应当严格执行有关国家信息安全等级保护相关标准和金融行业有关