附件1 金融行业信息系统信息安全等级保护实施指引(报批稿).doc

目 次 前 言 II 引 言 III 1范围 1 2规范性引用文件 1 3术语和定义 1 4指引编制策略 2 5信息安全保障框架 6 6保护要求 9 附录A （资料性附录） 等级保护实施措施 55 附录B （资料性附录） 金融行业安全要求的选择和使用说明 111 参考文献 113 前 言 本标准由中国人民银行提出。 本标准由全国金融标准化技术委员会归口。 本标准负责起草单位：中国人民银行科技司。 本标准参加起草单位：中国金融电子化公司。 本标准主要起草人： 王永红 王小青 张永福 王晓燕 王海涛 杨剑 沈力克 白智勇 徐明 许自强 仇宁宁 李凡 叶强林 陈广辉 郑凯一 赵义斌 杨英 周庆斌。 本标准为首次制定。 引 言 金融行业重要的信息系统关系到国计民生，是国家信息安全重点保护对象，国家信息安全监管职能部门需要对其重要信息和信息系统的信息安全保护工作进行指导监督。 信息安全等级保护是国家在信息安全保障工作的一项基本制度，金融行业作为重要信息系统行业部门之一，应遵照实施该制度。围绕金融信息安全等级保护工作的开展，需要一系列适合金融行业的等级保护标准体系作为支撑，以规范和指导金融等级保护工作的实施。中国人民银行作为我国中央银行，负有监管金融行业的重任，需要在金融行业内建立符合金融行业特点的信息安全等级保护体系规范，通过备案、指导、检查、督促整改等方式来推进金融行业信息安全等级保护工作建设。为此，人民银行科技司组织安全等级保护领域专家和相关技术人员，根据国家关于信息安全等级保护工作的相关制度和标准，制定符合金融行业特点的、切实可行的信息安全等级保护行业标准和实施指南。 信息系统安全等级保护实施指引 1范围 本实施指引适用于金融机构（包括其分支机构）的系统规划建设部门（业务与技术）、应用开发部门、系统运行部门、安全管理部门、系统使用部门、内部监察、审计等部门。也可作为信息安全职能部门进行监督、检查和指导的依据。随着内容的补充和丰富，为等级保护工作的开展提供指导。 2规范性引用文件 下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的必威体育精装版版本。凡是不注明日期的引用文件，其必威体育精装版版本适用于本标准。 GB/T 22239-2008 信息系统安全等级保护基本要求 GB/T 25070-2010 信息系统等级保护安全设计技术要求 GB/T 22240-2008 信息系统安全等级保护定级指南 JR/T 0044-2008 银行业信息系统灾难恢复管理规范 JR/T 0013-2004 金融业星型网间互联安全规范 JR/T 0003-2001 银行卡联网联合安全规范 JR/T 0055.4-2009 银行联网联合技术规范第4部 分：数据安全传输控制 JR/T 0026-2006 银行业计算机信息系统雷电防护技术规范 JR/T 0023-2004 证券公司信息技术管理规范JR/T 0011-2004 银行集中式数据中心规范 银监会〔2009〕19号 商业银行信息科技风险管理指引 保监会令〔2003〕3号 保险业重大突发事件应急处理规定 银监发〔2008〕50号 银行业金融机构重要信息系统投产及变更管理办法 银监办发〔2009〕437号 银行、证券跨行业信息系统突发事件应急处置工作指引 中期协发〔2009〕 期货公司网上期货信息系统技术指引 中证协发〔2006〕 证券公司集中交易安全管理技术指引 中证协发〔2009〕154号 证券营业部信息技术指引 银监办发〔2010〕112号 商业银行数据中心监管指引 银科技〔2006〕73号 中国人民银行信息系统安全配置指引 银发〔2010〕276号 中国人民银行计算机系统信息安全管理规定 银办发〔2006〕154号 中国人民银行IT应急预案指引 银发〔2010〕276号 中国人民银行计算机系统信息安全管理规定 银发〔2002〕260号 中国人民银行关于加强银行数据集中安全工作的指导意见 银办发2006-9 中国人民银行计算机机房规范化工作指引 证券期货业信息系统等级保护基本要求(征求意见稿) 期货交易所、期货经营机构_信息技术管理规范(试行) 3术语和定义 下列术语和定义适用于本指导性技术文件。 敏感数据 sensitive data 敏感数据是指一旦泄露可能会对用户或金融机构造成损失的数据，包括但不限于： 用户敏感数据，如用户口令、密钥等； 系统敏感数据，如系统的密钥、关键的系统管理数据； 其他需要必威体育官网网址的敏感业务数据； 关键性的操作指令； 系统主要配置文件； 其他需要必威体育官网网址的数据。 风