国家标准《信息安全技术 金融信息保护规范》 编制说明 一、 工作简况 1.1 任务来源 金融信息对于国家金融政策制定者、金融机构以及投资决策者具有特别重要 的意义。 为促进金融信息服务市场的有序健康发展，在国家互联网信息办公室的指导 下，由北京济安金信科技有限公司、中国人民大学、中国科学院信息工程研究所 等单位负责开展关于金融信息安全相关标准的研究制定。 金融信息安全是国家信息安全的组成部分，信息资源、信息系统和信息网络 等信息安全问题不仅影响金融信息服务，而且可能影响国家金融安全，因此特制 定《信息安全技术 金融信息保护的规范》。 本标准从金融信息安全的角度出发，保障用户获得真实有效地信息,规定了 金融信息服务提供商在金融信息采集、加工和处理以及提供时的保护要求；给出 了建立和实施金融信息安全管理体系的要求；规定了根据金融信息的需要实施安 全控制的要求。 本标准的制定将有利于加强金融信息安全，保障金融信息服务质量。 本标准适用于在中华人民共和国境内注册的或登记的国内外金融信息服务 提供商。金融信息服务提供商应当自觉按照规范的具体要求，在信息安全技术的 框架下提供金融信息服务。 1.2 主要工作过程 1） 2015 年 10 月，成立标准编制小组 考虑到我国金融信息服务业现状，标准编制组广泛吸收了国内的金融信息服 务提供商、研究机构、金融信息用户等参与到标准研制工作，成立标准编制组。 2） 2015 年 11 月，调研国内外金融信息保护相关标准现状 研究现有国内外金融信息安全、金融信息保护等相关标准，分析各自特点， 学习借鉴，主要包括： 1 ⚫ JR/T 0060-2010 证券期货业信息系统安全等级保护基本要求 ⚫ JJR/T 0067-2011 证券期货业信息系统安全等级保护测评要求 ⚫ JR/T 0071-2012 金融行业信息系统信息安全等级保护实施指引 ⚫ JR/T 0072-2012 金融行业信息系统信息安全等级保护测评指南 ⚫ JR/T 0073-2012 金融行业信息安全等级保护测评服务安全指引 ⚫ GB/T 27910-2011 金融服务 信息安全指南 ⚫ JR/T 0021-2004 上市公司信息披露电子化规范 ⚫ ISO 17442:2012 Financial services - Legal Entity Identifier (LEI) 金 融服务 法人机构识别编码 ⚫ 2005 年《服务贸易总协定》 ⚫ 2009 年《外国机构在中国境内提供金融信息服务管理规定》 ⚫ 2012 年《信息安全技术公共及商用服务信息系统个人信息保护指南》 ⚫ 2000 年《互联网信息服务管理办法》 ⚫ 2009 年《新闻记者证管理办法》 ⚫ 2016 年《大数据标准化白皮书》 ⚫ 2015 年《可供网站转载新闻的新闻单位名单》 ⚫ 2015 年《关于规范网络转载版权秩序的通知》 ⚫ 2010 年《Criteria for Regulated Information Services》 ⚫ ANSI X9.41 金融服务行业 安全服务管理 ⚫ 2017 年《互联网新闻信息服务管理规定》 3）2016 年 1 月，标准立项申报 向全国信息安全标准化技术委员会（安标委）申报标准项目《中国金融信息 服务数据标准制定》。 4）2016 年 2 月-5 月，确定标准框架，完成标准初稿 2016 年 2 月-5 月，编制组在研究我国已有金融信息服务相关规定和国内外 标准基础上，结合我国工作需要及金融信息服务机构实际情况，编写标准总体框 架并提出标准初稿。 5）2016 年 6 月，全国信安标委第一次会议周，汇报标准初稿 2016 年 6 月，参加全国信息安全标准化技术委员会北京会议周，对《中国金 融信息服务数据标准制定》项目进行汇报。在会议周上，标准编制组与 WG7 成员 单位就标准草案进行了讨论，听取了与会专家的意见。 6）2016 年 7 月-9 月根据意见修改完善，形成新一版标准草案 2 根据安标委北京会议周 WG7 工作组的意见，标准名称修改为《信息安全技术 金融信息保护规范》。针对变更名称后的标准进行修改，形成新一版标准草案。 7）2016 年 10 月组织召开专家研讨会，征求专家意见 2016 年 10 月 14 日，起草单位组织召开标准草案专家研讨会。针对新一版标 准草案进行讨论。会后标准编制组根据专家意见继续修改完善，形成新一版标准 草案。 8）2016 年 10 月，全国信安标委第二次会议周 2016 年 10 月，全国信息安全标准化技术委员会在成都组织召开了 2016 年第 二次会议周。在会议周上，标准编制组与 WG7 成员单位就标准草案进行了讨论， 听取了与会专家的意见。本次会议周形成会议决议，该标准修改完善后形成新一 版标准草案。 9）2017 年 1 月，标准编制组第二次征求意见 2017 年 1 月标准编制小组向合作单位、金融机构、研究机构等进行第二次意 见收集。根据征求的意见标准编制小组开会讨论，决定是否采纳修改意见并形成 新一版标准草案。 10）2017 年 4 月，全国信安标委第三次会议周，形成征求意见稿 2017 年 4 月，全国信息安全标准化技术委员会在武汉组织召开了 2017 年第 一次会议周。在会议周上，标准编制组对标准推进工作进行了汇报，并提出形成 《征求意见稿》。经过 WG7 成员单位讨论，本次会议周形成会议决议，标准修改 完善后形成《征求意见稿》。 二．编制原则和主要内容 2.1 编制原则 本标准的研究与编制工作遵循以下原则： 一是充分吸收已有金融行业、信息安全技术等相关标准。《信息安全技术金 融信息保护规范》标准编制组充分参考了国际、国内有关金融行业信息安全要求 及规范。标准参考了下列文件： ⚫ ⚫ ⚫ GB/T 22081—2016 信息技术 安全技术 信息安全管理实践指南（ISO/IEC 27002:2013，IDT） GB/T 27910—2011 金融服务 信息安全指南 GB/T 29765—2013 信息安全技术 数据备份与恢复产品技术要求与测试评价方法 3 ⚫ ⚫ ⚫ GB/T 31168—2014 信息安全技术 云计算服务安全能力要求 JR/T 0071—2012 金融行业 信息系统信息安全等级保护实施指引 ISO/IEC 27033 信息技术 安全技术 网络安全（Information technology — Security techniques — Network security） 二是考虑可操作性和实用性。为了确保标准的可操作性和实用性，标准编制 从两方面着手，一方面标准编制组广泛吸收了国内多家金融信息服务提供商作为 标准编制合作单位；另一方面标准制定过程中，也不断地借鉴国内外金融信息服 务提供商的安全行为规范要求标准来扩充标准的内容，为标准合理性和可操作性 提供支撑。 2.2 主要内容 本标准从信息安全的角度，规定了金融信息在采集、加工和处理以及提供时 的保护要求；并给出了建立和实施金融信息安全管理体系的要求，规定了根据金 融信息的需要应实施安全控制的要求。 本标准适用于金融信息服务提供商，也可以为相关主管部门、金融信息服务 提供方和金融信息用户提供参考。 金融信息服务提供商在金融信息保护方面应满足完整性、一致性、时效性、 安全性、可用性、可信性、可追溯性等基本条件；并保证金融信息系统、金融信 息处理及服务、金融信息服务管理等方面的安全。 三． 主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果 无。 四． 采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的 对比情况，或与测试的国外样品、样机的有关数据对比情况 金融信息是金融行业的重要内容，由于缺少金融信息保护规范，使我国现有 的金融信息服务在安全性和规范性方面尚有不足。这种情况下，通过制定本标准， 可建立一套金融信息安全保障体系，有效防范和化解安全风险，统一安全问题处 理规范和流程，增强金融信息安全整体防范能力，保证金融系统平稳工作及各项 业务持续运行。 因此，本标准引用已有的国际标准、国家标准以及金融行业标准, 研究了 ISO/IEC 27002:2013，GB/T 22081-2016 等标准，结合金融信息服务的实际要求， 制定出符合行业习惯的金融信息保护标准，这与当前的国际国内金融行业和信息 4 行业安全标准是一致的，并可以在未来同步制定为国际标准。 五．与有关的现行法律、法规和强制性国家标准的关系 《信息安全技术金融信息保护规范》符合现有法律法规的要求。 《信息安全技术金融信息保护规范》与以下现有标准不矛盾、不冲突。 ⚫ ⚫ ⚫ ⚫ ⚫ ⚫ GB/T 22081—2016 信息技术 安全技术 信息安全管理实践指南（ISO/IEC 27002:2013，IDT） GB/T 27910—2011 金融服务 信息安全指南 GB/T 29765—2013 信息安全技术 数据备份与恢复产品技术要求与测试评价方法 GB/T 31168—2014 信息安全技术 云计算服务安全能力要求 JR/T 0071—2012 金融行业 信息系统信息安全等级保护实施指引 ISO/IEC 27033 信息技术 安全技术 网络安全（Information technology — Security techniques — Network security） 金融信息安全是国家信息安全的核心组成部分，本标准参考了金融行业及信 息行业标准，制定出了适用于金融行业的信息安全和保护规范，填补了在金融行 业信息安全标准的空白。 六．重大分歧意见的处理经过和依据 《信息安全技术 金融信息保护规范》编制过程中未出现重大分歧。其他详 见意见汇总处理表。 七．国家标准作为强制性国家标准或推荐性国家标准的建议 建议《信息安全技术 金融信息保护规范》作为推荐性国家标准发布实施。 八．贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法 等内容） 《信息安全技术 金融信息保护规范》的实施主体为提供金融信息服务的机 构。本标准为金融信息的数据标准化和保护规范化提供基础和保障，有利于建立 金融信息保护统一的数据标准及安全规范，保障金融信息服务的质量，提升内容 的深度和广度，同时也为金融信息质量的有效评估和相关部门对金融信息服务的 有效监管提供了基础。因而该标准的制定对于提高金融信息质量、维护市场健康 发展、保障用户权益有着重要的意义。 九．其他事项说明 本标准不涉及专利。 5 标准编制组 2017 年 5 月 6