ICS03.060 A11JR 中华人民共和国金融行业标准 JR/T0071.3—2020 金融行业网络安全等级保护实施指引 第3部分：岗位能力要求和评价指引 Implementationguidelinesforclassifiedprotectionofcybersecurityoffinancial industry—Part3：Postcompetencyrequirementsandguidelinesforevaluation 2020-11-11发布 2020-11-11实施 中国人民银行 发布JR/T0071.3—2020 I目  次 前言.......................................................................................................................................................................II 引言.....................................................................................................................................................................III 1范围.....................................................................................................................................................................1 2规范性引用文件.................................................................................................................................................1 3网络安全管理组织架构.....................................................................................................................................1 4网络安全岗位和职责.........................................................................................................................................2 5网络安全岗位的能力要求.................................................................................................................................5 6网络安全人员能力评价.....................................................................................................................................6 参考文献.................................................................................................................................................................8JR/T0071.3—2020 II前  言 JR/T0071《金融行业网络安全等级保护实施指引》由以下6部分构成： ——第1部分：基础和术语； ——第2部分：基本要求； ——第3部分：岗位能力要求和评价指引； ——第4部分：培训指引； ——第5部分：审计要求； ——第6部分：审计指引。 本部分为JR/T0071的第3部分。 本部分按照GB/T1.1—2009给出的规则起草。 本部分由中国人民银行提出。 本部分由全国金融标准化技术委员会（SAC/TC180）归口。 本部分起草单位：中国人民银行科技司、中国银行保险监督管理委员会统计信息与风险监测部、中 国金融电子化公司、北京中金国盛认证有限公司。 本部分主要起草人：李伟、陈立吾、沈筱彦、车珍、昝新、夏磊、方怡、张海燕、唐辉、李凡、王 海涛、张璐、潘丽扬、邓昊、侯漫丽、孙国栋、刘文娟、乔媛、崔莹、陈雪峰、马成龙、杜巍、李瑞锋、 赵方萌。JR/T0071.3—2020 III引  言 网络安全等级保护是国家网络安全保障工作的一项基本制度，金融行业重要系统关系到国计民生， 是国家网络安全重点保护对象，因此需要一系列适合金融行业的等级保护标准体系作为支撑，以规范和 指导金融行业等级保护工作的实施。随着云计算、移动互联、物联网、大数据等新技术的广泛应用，金 融机构正根据自身发展的需要，持续推进IT架构的转型。为适应新技术、新应用和新架构情况下金融行 业网络安全等级保护工作的开展，现对JR/T0071进行修订。修订后的JR/T0071依据国家网络安全等级 保护相关要求，为金融行业的网络安全建设提供方法论、具体的建设措施及技术指导，完善金融行业网 络安全等级保护体系，更好适应新技术在金融行业的应用。JR/T0071.3—2020 1金融行业网络安全等级保护实施指引 第3部分：岗位能力要求和评价指引 1范围 本部分规定了金融机构网络安全岗位设置要求、网络安全岗位能力要求以及网络安全人员能力评价 要求。 本部分适用于指导金融机构按照网络安全等级保护要求设置网络安全岗位、制定网络安全岗位能力 要求以及实施网络安全人员能力评价。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T20269信息安全技术信息系统安全管理要求 GB/T22239信息安全技术网络安全等级保护基本要求 GB/T25058信息安全技术网络安全等级保护实施指南 GB/T28448信息安全技术网络安全等级保护测评要求 3网络安全管理组织架构 按照GB/T20269、GB/T22239、GB/T25058、GB/T28448的要求，网络安全管理组织架构如图1所 示。JR/T0071.3—2020 2 图1网络安全管理组织架构图 4网络安全岗位和职责 4.1岗位和职责 金融机构网络安全等级保护工作应遵循国家相关标准和要求，建设网络安全保障体系，确保金融机 构信息资产的保密性、完整性和可用性；应划分职责并分配给相应岗位，确保所有重要的工作以有效方 式执行并完成。 网络安全岗位涉及两类人员： a)承担网络安全职责的原有信息化工作人员。 b)为网络安全工作单独设置的特定网络安全岗位人员。 4.2网络安全管理委员会（领导小组） 金融机构应设立一个由高级管理层、信息科技部门和主要业务部门代表组成的网络安全管理委员会 （或称信息安全领导小组）。 网络安全管理委员会应负责监督各项网络安全职责的落实，定期向董事会和高级管理层汇报网络安 全战略规划的执行、网络安全预算和实际支出、网络安全的整体情况等，具体职责包括但不限于下列内 容： a)审核并批准金融机构网络安全战略规划。 b)作出与网络安全有关的重大事项的决策，包括网络安全组织架构调整、网络安全重大战略变更 等。 c)负责指挥、协调金融机构重大网络安全事件的处理。JR/T0071.3—2020 3d)负责沟通协调网络安全工作中的重大事项。 e)负责保障网络安全工作开展所需的资金、人员和设施等资源。 4.3安全主管（网络安全办公室） 金融机构应设立安全主管（或建立网络安全办公室，可设在信息科技部门）。 安全主管应具备基本的网络安全意识，认识到网络安全工作的重要性，并提供足够的资源来支持金 融机构网络安全工作的顺利开展，具体职责包括但不限于下列内容： a)组织落实网络安全管理委员会在网络安全管理方面的决策。 b)负责组织网络安全保障体系的建立、实施和日常运行。 c)负责与网络安全工作有关事项的具体协调和沟通。 d)负责网络安全工作的执行与落实，监督、指导各部门网络安全工作的开展，并定期向网络安全 管理委员会汇报。 4.4安全管理员 金融机构信息科技部门应设立安全管理员，负责金融机构各项网络安全管理策略的制定和落实，具 体职责包括但不限于下列内容： a)组织制定各项网络安全管理策略，并监督执行。 b)负责防病毒和入侵检测等安全系统的选用、部署和维护。 c)负责网络安全事件的响应和处置。 d)组织制定网络安全应急预案，并定期组织演练。 e)定期组织人员安全意识培训。 4.5机房管理员 金融机构信息科技部门应设立机房管理员，负责金融机构机房安全管理策略的制定和落实，具体职 责包括但不限于下列内容： a)负责机房的全面管理，其他人员未经允许不得入内。 b)负责机房设备管理，其他人员未经允许不得自行使用、移动和调换设备，应确保机房各设备正 常工作，出现故障及时处理。 c)建