ICS 03.060 A 11 JR 中 华 人 民 共 和 国 金 融 行 业 标 准 JR/T 0071—2012 c . 5 m o 金融行业信息系统信息安全等级保护实施 指引 b u Implementation guide for classified protection of information system of financial industry h t i g 2012-07-06 发布 2012-07-06 实施 中国人民银行 发布 h t i g b u c . 5 m o JR/T 0071—2012 目 次 前 言.............................................................................. II 引 言............................................................................. III 1 范围 ................................................................................. 1 2 规范性引用文件 ....................................................................... 1 3 术语和定义 ........................................................................... 1 4 指引编制策略 ......................................................................... 2 5 信息安全保障框架 ..................................................................... 6 6 保护要求 ............................................................................ 11 附录 A （资料性附录） 等级保护实施措施 ................................................ 57 附录 B （资料性附录） 金融行业安全要求的选择和使用说明 ............................... 113 参考文献............................................................................. 115 h t i g c . 5 m o b u I JR/T 0071—2012 前 言 本标准是“金融行业信息系统等级保护”系列标准中的第一项标准。该系列标准的结构及名称如下： 金融行业信息系统信息安全等级保护实施指引 金融行业信息系统信息安全等级保护测评指南 金融行业信息安全等级保护测评服务安全指引 本标准按照GB/T 1.1-2009给出的规则起草。 本标准由中国人民银行提出。 本标准由全国金融标准化技术委员会归口。 本标准负责起草单位：中国人民银行科技司。 本标准参加起草单位：中国金融电子化公司。 本标准主要起草人： 王永红、王小青、张永福、王晓燕、王海涛、杨剑、白智勇、沈力克、徐明、 许自强、仇宁宁、李凡、郑凯一、陈广辉、赵义斌、杨英、周庆斌。 本标准为首次发布。 h t i g II b u c . 5 m o JR/T 0071—2012 引 言 金融行业重要的信息系统关系到国计民生，是国家信息安全重点保护对象，国家信息安全监管职能 部门需要对其重要信息和信息系统的信息安全保护工作进行指导监督。 信息安全等级保护是国家在信息安全保障工作的一项基本制度，金融行业作为重要信息系统行业部 门之一，应遵照实施该制度。围绕金融信息安全等级保护工作的开展，需要一系列适合金融行业的等级 保护标准体系作为支撑，以规范和指导金融等级保护工作的实施。为此，人民银行科技司组织安全等级 保护领域专家和相关技术人员，根据国家关于信息安全等级保护工作的相关制度和标准，制定符合金融 行业特点的、切实可行的信息安全等级保护行业标准和实施指南。根据金融行业信息系统的定级情况， 不存在五级系统，而一级系统不需去公安机关备案，不作为测评重点。本标准略去对第一级信息系统和 第五级信息系统进行单元测评的具体内容要求。 在本标准文本中，标记为F类的黑体字是根据金融行业业务特点新增的安全要求，没有标记为F类的 黑体字是对《信息系统安全等级保护基本要求》（GB/T 22239-2008）要求项进行增强的要求。 h t i g c . 5 m o b u III h t i g b u c . 5 m o JR/T 0071—2012 金融行业信息系统信息安全等级保护实施指引 1 范围 本标准依据国家《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》标 准，结合金融行业特点以及信息系统安全建设需要，对金融行业的信息安全体系架构采用分区分域设计、 对不同等级的应用系统进行具体要求，以保障将国家等级保护要求行业化，具体化，提高我行重要网络 和信息系统信息安全防护水平。 本标准适用于金融机构（包括其分支机构）的系统规划建设部门（业务与技术） 、应用开发部门、 系统运行部门、安全管理部门、系统使用部门、内部监察、审计等部门。也可作为信息安全职能部门进 行监督、检查和指导的依据。随着内容的补充和丰富，为等级保护工作的开展提供指导。 c . 5 2 规范性引用文件 m o 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的文件，其最新版本(包括所有的修改单)适用于本文件。 GB/T 22239-2008 信息系统安全等级保护基本要求 GB/T 25069 信息安全技术 术语 JR/T 0003-2001 银行卡联网联合安全规范 JR/T 0013-2004 金融业星型网间互联安全规范 JR/T 0011-2004 银行集中式数据中心规范 JR/T 0023-2004 证券公司信息技术管理规范 JR/T 0026-2006 银行业计算机信息系统雷电防护技术规范 JR/T 0044-2008 银行业信息系统灾难恢复管理规范 JR/T 0055.4-2009 银行联网联合技术规范第4部分：数据安全传输控制 银发〔2002〕260号 中国人民银行关于加强银行数据集中安全工作的指导意见 银科技〔2006〕73号 中国人民银行信息系统安全配置指引 银办发〔2006〕154号 中国人民银行IT应急预案指引 银办发〔2006〕9号 中国人民银行计算机机房规范化工作指引 银发〔2010〕276号 中国人民银行计算机系统信息安全管理规定 银发〔2010〕276号 中国人民银行计算机系统信息安全管理规定 银监发〔2008〕50号 银行业金融机构重要信息系统投产及变更管理办法 银监会〔2009〕19号 商业银行信息科技风险管理指引 银监办发〔2009〕437号 银行、证券跨行业信息系统突发事件应急处置工作指引 银监办发〔2010〕112号 商业银行数据中心监管指引 中证协发〔2006〕 证券公司集中交易安全管理技术指引 中期协发〔2009〕 期货公司网上期货信息系统技术指引 中证协发〔2009〕154号 证券营业部信息技术指引 保监会令〔2003〕3号 保险业重大突发事件应急处理规定 h t i g b u 3 术语和定义 1 JR/T 0071—2012 GB/T 25069 确立的以及下列术语和定义适用于本文件。 3.1 敏感数据 sensitive data 敏感数据是指一旦泄露可能会对用户或金融机构造成损失的数据，包括但不限于： a) 用户敏感数据，如用户口令、密钥等； b) 系统敏感数据，如系统的密钥、关键的系统管理数据； c) 其他需要保密的敏感业务数据； d) 关键性的操作指令； e) 系统主要配置文件； f) 其他需要保密的数据。 3.2 风险 risk 某种威胁存在利用一种资产或若干资产的脆弱性使这些资产损失或破坏的可能性。 3.3 安全策略 security policy 主要指为信息系统安全管理制定的行动方针、路线、工作方式、指导原则或程序。 3.4 安全需求 security requirement 为使设备、信息、应用及设施符合安全策略的要求而需要采取的保护类型及保护等级。 3.5 完整性 integrity 包括数据完整性和系统完整性。数据完整性表征数据所具有的特征，即无论数据形式作何变化，数 据的准确性和一致性均保持不变的程度；系统完整性表征系统在防止非授权用户修改或使用资源和防止 授权用户不正确地修改或使用资源的情况下，系统能履行其操作目的的品质。 3.6 可用性 availability 表征数据或系统根据授权实体的请求可被访问与使用程度的安全属性。 3.7 弱口令 weak password 指在计算机使用过程中，设置的过于简单或非常容易被破解的口令或密码。 4 指引编制策略 h t i g c . 5 m o b u 4.1 国家等级保护要求 国家针对等级保护制定了一系列的法规和标准，这些法规和标准是建设等级保护系统的依据。目前， 我国共制定了和发布了约50余个相关国标、行标以及已报批标准，初步形成了信息安全等级保护标准体 系。这些标准分别从基础、设计、实施、管理、制度等各个方面对信息安全等级保护提出了要求和建议， 为信息系统的使用者、设计者、建设者提供了管理规范和技术标准，如图1所示。 2 JR/T 0071—2012 h t i g c . 5 m o b u 图 1 信息系统安全等级保护整体要求 4.1.1 基本要求 信息系统应依据信息系统的安全保护等级情况，保证它们具有相应等级的基本安全保护能力，不同 安全保护等级的信息系统应具有不同的安全保护能力。 《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)(以下简称《基本要求》) 是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求。根据实现方式的不 同，基本安全要求分为基本技术要求和基本管理要求两大类，用于指导不同安全保护等级信息系统的安 全建设和监督管理，如图2所示。技术类安全要求与信息系统提供的技术安全机制有