ICS 03.060 A 11 JR 中 华 人 民 共 和 国 金 融 行 业 标 准 JR/T 0072—2012 c . 5 m o 金融行业信息系统信息安全等级保护测评 指南 b u Testing and evaluation guide for classified protection of information system of financial industry h t i g 2012-07-06 发布 2012-07-06 实施 中国人民银行 发布 h t i g b u c . 5 m o JR/T 0072—2012 目 次 前 言.............................................................................. II 引 言............................................................................. III 1 范围 ................................................................................. 1 2 规范性引用文件 ....................................................................... 1 3 概述 ................................................................................. 1 4 等级测评过程 ......................................................................... 3 5 测评准备 ............................................................................. 3 6 测评方案 ............................................................................. 4 7 现场测评 ............................................................................. 7 8 分析与报告编制 ..................................................................... 168 附录 A （资料性附录） 现场单元测评检查表 ............................................ 172 参考文献............................................................................. 331 h t i g c . 5 m o b u I JR/T 0072—2012 前 言 本标准是“金融行业信息系统等级保护”系列标准中的第二项标准。该系列标准的结构及名称如下： 金融行业信息系统信息安全等级保护实施指引 金融行业信息系统信息安全等级保护测评指南 金融行业信息安全等级保护测评服务安全指引 本标准按照GB/T 1.1-2009给出的规则起草。 本标准由中国人民银行提出。 本标准由全国金融标准化技术委员会归口。 本标准负责起草单位：中国人民银行科技司。 本标准参加起草单位：中国金融电子化公司。 本标准主要起草人：王永红、王小青、张永福、王晓燕、王海涛、杨剑、白智勇、沈力克、徐明、 许自强、仇宁宁、李凡、郑凯一、陈广辉、赵义斌、杨英、周庆斌。 本标准为首次发布。 h t i g II b u c . 5 m o JR/T 0072—2012 引 言 金融行业重要的信息系统关系到国计民生，是国家信息安全重点保护对象，国家信息安全监管职能 部门需要对其重要信息和信息系统的信息安全保护工作进行指导监督。 信息安全等级保护是国家在信息安全保障工作的一项基本制度，金融行业作为重要信息系统行业部 门之一，应遵照实施该制度。围绕金融信息安全等级保护工作的开展，需要一系列适合金融行业的等级 保护标准体系作为支撑，以规范和指导金融等级保护工作的实施。为此，人民银行科技司组织安全等级 保护领域专家和相关技术人员，根据国家关于信息安全等级保护工作的相关制度和标准，制定符合金融 行业特点的、切实可行的信息安全等级保护行业标准和实施指南。 在本标准文本中，标记为F类的黑体字是根据金融行业业务特点新增的安全要求，没有标记为F类的 黑体字是对《信息系统安全等级保护基本要求》（GB/T 22239-2008）要求项进行增强的要求。 h t i g c . 5 m o b u III h t i g b u c . 5 m o JR/T 0072—2012 金融行业信息系统信息安全等级保护测评指南 1 范围 本标准规定了金融行业对信息系统安全等级保护测评评估的要求，包括对第二级信息系统、第三级 信息系统和第四级信息系统进行安全测评评估的单元测评要求和信息系统整体测评要求等。根据金融行 业信息系统的定级情况，不存在五级系统，而一级系统不需去公安机关备案，不作为测评重点。本标准 略去对第一级信息系统和第五级信息系统进行单元测评的具体内容要求。 本标准适用于行业进行自测评（如第二级信息系统） 、信息安全测评服务机构（如第三和第四级信 息系统）对信息系统安全等级保护状况进行的安全测评评估。 2 规范性引用文件 c . 5 m o 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的文件，其最新版本(包括所有的修改单)适用于本文件。 GB/T 22239-2008 信息系统安全等级保护基本要求 JR/T 0003-2001 银行卡联网联合安全规范 JR/T 0013-2004 金融业星型网间互联安全规范 JR/T 0011-2004 银行集中式数据中心规范 JR/T 0023-2004 证券公司信息技术管理规范 JR/T 0026-2006 银行业计算机信息系统雷电防护技术规范 JR/T 0044-2008 银行业信息系统灾难恢复管理规范 JR/T 0055.4-2009 银行联网联合技术规范第4部分：数据安全传输控制 银发〔2002〕260号 中国人民银行关于加强银行数据集中安全工作的指导意见 银科技〔2006〕73号 中国人民银行信息系统安全配置指引 银办发〔2006〕154号 中国人民银行IT应急预案指引 银办发〔2006〕9号 中国人民银行计算机机房规范化工作指引 银发〔2010〕276号 中国人民银行计算机系统信息安全管理规定 银发〔2010〕276号 中国人民银行计算机系统信息安全管理规定 银监发〔2008〕50号 银行业金融机构重要信息系统投产及变更管理办法 银监会〔2009〕19号 商业银行信息科技风险管理指引 银监办发〔2009〕437号 银行、证券跨行业信息系统突发事件应急处置工作指引 银监办发〔2010〕112号 商业银行数据中心监管指引 中证协发〔2006〕 证券公司集中交易安全管理技术指引 中期协发〔2009〕 期货公司网上期货信息系统技术指引 中证协发〔2009〕154号 证券营业部信息技术指引 保监会令〔2003〕3号 保险业重大突发事件应急处理规定 h t i g b u 3 概述 3.1 测评内容 1 JR/T 0072—2012 信息系统安全等级保护状况测评评估，应包括两个方面的内容：一是安全控制测评，主要测评信息 安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信 息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。 对安全控制测评的描述，使用工作单元方式组织。工作单元分为安全技术测评和安全管理测评两大 类。安全技术测评包括：物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面上的安 全控制测评；安全管理测评包括：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统 运维管理五个方面的安全控制测评。 系统整体测评涉及到信息系统的整体拓扑、局部结构，也关系到信息系统的具体安全功能实现和安 全控制配置，与特定信息系统的实际情况紧密相关，内容复杂且充满系统个性。因此，全面地给出系统 整体测评要求的完整内容、具体实施方法和明确的结果判定方法是很困难的。测评人员应根据特定信息 系统的具体情况，结合本标准要求，确定系统整体测评的具体内容，在安全控制测评的基础上，重点考 虑安全控制间、层面间以及区域间的相互关联关系，测评安全控制间、层面间和区域间是否存在安全功 能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。 3.2 测评对象 测评对象是测评实施过程中涉及到的信息系统的构成成分，是客观存在的人员、文档、机制或者设 备等。测评对象是根据该工作单元中的测评项要求提出的，与测评项的要求相适应。一般来说，实施测 评时，面临的具体测评对象可以是单个人员、文档、机制或者设备等，也可能是由多个人员、文档、机 制或者设备等构成的集合，它们分别需要使用到某个特定安全控制的功能。 3.3 测评指标 GB/T 22239-2008 中对不同等级信息系统的安全功能和措施提出了具体要求，等级测评应根据信息 系统的定级情况选取相应的通用指标类（G） ，业务信息安全性指标类（S） 、业务服务保证类（A）安全 测评指标，并依据《信息安全技术 信息系统安全等级保护测评要求》和《信息安全技术 信息系统安全 等级测评过程指南》对信息系统实施安全测评。 3.4 测评方法 3.4.1 现场测评方法 安全测评现场工作一般采用访谈、检查和测评等三类方法。 1) 访谈是测评人员通过与信息系统有关人员进行交流、讨论等活动以获取证据的一种方法；访 谈使用到的工具主要是访谈列表。测评人员针对访谈列表上的问题，逐项与信息系统有关人 员进行交流、讨论，根据被访谈人员的回答了解和确认信息系统的安全保护情况； 2) 检查是测评人员通过对测评对象进行观察、查验、分析等活动以获取证据的一种方法；检查 使用到的工具主要是核查列表。测评人员针对核查列表上的问题，通过观察、查验、分析等 活动，逐项核实。根据检查对象的不同，检查可以进一步分为文档审查、现场观测和配置核 查等