附件3 金融行业信息安全等级保护测评服务安全指引(报批稿).docVIP

目 次 前 言 II 引 言 III 1 范围 1 2 规范性引用文件 1 3 资质能力要求 1 4 测评过程要求 2 前 言 本标准由中国人民银行提出。 本标准由全国金融标准化技术委员会归口。 本标准负责起草单位：中国人民银行科技司。 本标准参加起草单位：中国金融电子化公司。 本标准主要起草人：王永红 王小青 张永福 王晓燕 王海涛 杨剑 沈力克 白智勇 徐明 许自强 郑凯一 仇宁宁 李凡 叶强林 陈广辉 赵义斌 杨英 周庆斌 本标准为首次制定。 引 言 金融行业重要的信息系统关系到国计民生，是国家信息安全重点保护对象，因此金融行业是落实和实施信息安全等级保护的重点行业之一。由于金融行业的信息系统多是技术密集、资金密集、大型复杂、网络化的人机系统，所以针对金融行业开展信息系统的信息安全等级保护测评，需要一批对金融行业业务系统有一定了解，并具有较强技术能力的测评机构来进行测评；金融行业定级为三级或四级的信息系统都是关系到国计民生的重要系统，有效规避等级保护测评工作中存在的风险，对保障金融行业重要信息系统的安全稳定运行，以及国计民生的稳定都具有重要意义。因此，对测评机构的约束与规范化，是在金融行业实施等级保护的重要一环。 人民银行作为金融行业的信息安全主管部门(国务院2008年批复的人民银行三定方案中新增的职责之一 ),有对金融行业的信息安全工作做出指导的义务和职责，因此在推进金融行业等级保护工作中也具有义不容辞的责任。为此，中国人民银行特制定《金融行业信息安全等级保护测评服务安全指引》（以下简称《安全指引》）的行业标准，以明确等级保护测评服务机构安全、人员安全、过程安全、测评对象安全、工具安全等方面的基本要求，指导监督等级保护测评机构在金融机构开展的信息系统安全等级保护测评工作。 信息系统安全等级保护测评服务安全指引 范围 本指引适用于中国人民银行对从事金融行业信息系统开展信息安全等级保护测评的第三方机构（以下简称测评机构）和人员及其测评活动的监督管理。 规范性引用文件 下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的必威体育精装版版本。凡是不注明日期的引用文件，其必威体育精装版版本适用于本标准。具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不少于1人；仅限于中华人民共和国境内的中国公民，且无犯罪记录； 开展金融行业等级保护测评工作的人员应具备从事信息系统安全测评相关工作三年以上工作经验，开展等级保护测评工作不少于一年，参与金融行业信息安全测评项目不少于两个； 测评技术人员针对网络、安全方面应至少两人持有相关技术资格证书； 测评项目组人员在对被测评单位开展等级保护测评工作之前需与被测评单位签订必威体育官网网址协议。 测评工具要求 采用的测评工具必须获得正版授权，并在有效期内，不得使用盗版软件。 采用的测评工具在功能、性能等满足使用要求前提下，应优先采用具有国内自主知识产权的同类产品。 采用的测评工具的生产商应为正规厂商，具有一定的研发和服务能力，能够对产品进行持续更新并提供质量和安全保障。 测评机构所采用的测评工具需到金融业信息安全等级保护监管部门备案，并得到相关使用授权方可用于金融业信息安全等级保护测评工作。 测评机构所使用的测评工具不会对系统产生破坏或负面影响。 测评过程要求 测评过程机构要求 从事金融行业信息系统信息安全等级保护测评的第三方机构可以从事等级测评活动以及信息系统安全等级保护定级、安全建设整改、信息安全等级保护宣传教育等工作的技术支持。不得从事下列活动：泄露知悉的被测评单位及被测评信息系统的国家秘密和工作秘密； 非授权占有、使用等级测评相关资料及数据文件； 分包或转包等级测评项目； 信息安全产品开发、销售和信息系统安全集成； 故意隐瞒测评过程中发现的安全问题，或者在测评过程中弄虚作假，未如实出具等级测评报告； 未按规定格式出具等级测评报告； 业务信息安全管理要求 为保证被测评对象的业务信息安全，测评机构在测评实施过程中和测评实施结束后，应遵守以下要求： 在测评过程中不得获取与测评活动无关的业务数据，不得在非授权情况下获取任何业务数据。 在测评过程中不得修改与测评活动无关的业务数据，不得在非授权情况下修改任何业务数据。 在测评过程中不得删除与测评活动无关的业务数据，不得在非授权情况下删除任何业务数据。 在测评过程中不得使用照相机、摄像机等相关设备记录业务数据。 被测评系统的拓扑图，网络设备与网络安全设备配置信息等，不得全部或部分用于任何与本次测评活动无关的场合，测评活动结束后，必须归还所有获取的拓扑图、网络设备与网络安全设备配置信息及其复印件，电子版