2024银行网络安全等级保护建设规范.pdf

银行网络安全等级保护建设规范

目次

前言III

引言IV

1范围1

2规范性引用文件1

3术语和定义1

4项目概述1

5项目立项2

立项流程概述2

等级保护要求2

6项目规划4

规划设计流程4

等级保护要求4

密码应用要求6

7项目采购7

项目招投标流程7

等级保护要求7

8项目建设8

项目建设流程8

等级保护要求9

密码应用要求13

个人金融信息保护要求13

9项目验收14

项目验收流程14

等级保护要求14

10项目交付15

交付过程15

等级保护要求15

11项目运维15

运维实施15

等级保护要求18

等级测评实施21

12项目废弃22

附录A（资料性）金融信息系统各生命周期输出文件及风险判定对应关系23

附录B（资料性）金融信息系统等级保护第三级安全要求及风险等级判定28

I

B.1安全物理环境28

B.2安全通信网络32

B.3安全区域边界34

B.4安全计算环境36

B.5安全管理中心43

B.6安全管理制度45

B.7安全管理机构46

B.8安全管理人员49

B.9安全建设管理51

B.10安全运维管理56

II

网络安全等级保护建设规范

1范围

本标准对应信息系统全生命周期的八个阶段，从等级保护的角度说明每个阶段应当达到的要求以

及需要输出的资料。

本标准适用于等级保护第二级和第三级系统建设要求。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T22239-2019信息安全技术网络安全等级保护基本要求

GB/T28448-2019信息安全技术网络安全等级保护测评要求

GB/T28449-2018信息安全技术网络安全等级保护测评过程指南

GB/T25058-2019信息安全技术网络安全等级保护实施指南

GB/T35273-2020信息安全技术个人信息安全规范

JR/T0071.2-2020金融行业网络安全等级保护实施指引第2部分：基本要求

JR/T0072-2020金融行业网络安全等级保护测评指南

JR/T0171-2020个人金融信息保护技术规范

JR/T0255-2022金融行业信息系统商用密码应用基本要求

JR/T0257-2022金融行业信息系统商用密码应用测评过程指南

T/ISEAA001-2020网络安全等级保护测评高风险判定指引

3术语和定义

GB/T22239-2019、GB/T28448-2019、GB/T28449-2018、GB/T25058-2019、GB/T35273-2020、

JR/T0071.2-2020、JR/T0072-2020、JR/T0171-2020、JR/T0255-2022、JR/T0257-2022、T／ISEAA

001-2020界定的以及下列术语和定义适用于本文件。

等级保护classifiedprotection

将系统按照从低到高划分为五个等级，并采取相应等级的措施开展网络安全保护的相关工作活动。

个人金融信息personalfina