等保2.0金融行业标准
2021-07-01 17:34
去年11月,中国人民银行正式批准发布金融行业标准《金融行业安全等级保护实施指引》。这也是继等保2.0国家标准体系后首个更新的行业等级保护,为国家金融行业网络安全信息做出了重要的指导。
金融行业等级保护发展历程
1994年,国务院首次提出“安全等级保护”含义,并且法条第九条“计算机信息系统实行安全等级保护”
2003年,中办发27号文,将全面推动信息安全等级保护,其中重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度。
2007年是正是进入等级保护1.0建设阶段,国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督和管理。
2012年进入到金融等级保护1.0建设阶段,金融行业信息系统信息安全等级保护实施指引,以国家等级保护要求为原则,以金融行业特点为基础,形成了兼顾技术与管理的金融行业信息安全保障总框架
2017年等级保护正式上升为国家法律要求,颁布《网络安全法》第二十一条:“国家实行网络安全等级保护制度。”
2018年,等级保护工作正式迈入2.0时代,网络安全等级保护条例确立制度,国家实行网络安全等级保护制度,对网络实施分等级保护与监管
2020年,金融等级保护正式进入2.0建设阶段,为金融行业的网络安全建设提供方法论及具体的建设指导。
等保2.0金融行业标准与国家标准差异
那金融行业信息系统信息安全等级保护实施指引(后简称《实施指引》),包括了六部分内容:包括基础和话术、基本要求、岗位能力要求和评价指引、培训指引、审计要求、审计指引。
《实施指引》主要是在国家标准的基础上进行了增强,整体上延续了国标的安全通用要求分类。稍微有差异的是,在“安全管理人员”中增加了“人员考核”,并对部分方面进行了加强。
一、恶意代码和垃圾邮件防范、入侵检测方面
《实施指引》增加了国家标准第三级才会涉及到的安全产品,《实施指引》增加了近几年金融行业重点采购的安全监测分析类产品。
《实施指引》强化了应对网络攻击的检测、潜在威胁的安全能力,提高了针对威胁及时发现的要求
二、安全审计方面
《实施指引》第三级里增加了互联网客户历史登录信息回复显示,四级则要求能及时发现异常登陆行为。
对比国家标准,《实施指引》安全审计更加具体,明确了审计记录保存时间、并将安全要求与金融业务进一步进行融合。
三、数据备份方面
对比国标,《实施指引》的业务连续性要求更具体,同时结合金融业务要求对容灾备份中心的建设、运行、配置和管理要求更加明确。
四、个人信息保护方面
《实施指引》中在个人信息方面更明确了金融用户信息的范围以及具体的要求,在业务融合方面进行具体明确的要求,并关联了金融JR/T 0171—2020相关标准。