金融行业信息系统信息安全等级保护实施指引-编制说明

《金融行业信息系统信息安全等级保护实施指引(送审稿)》编制说明中国人民银行科技司二○一二年二月《金融行业信息系统信息安全等级保护实施指引(送审稿)》编制说明一、背景及意义信息系统信息安全等级保护制度（简称等级保护）是我国信息安全领域的一项基本国策。金融行业重要的信息系统关系到国计民生，是国家信息安全重点保护对象，因此金融行业是落实和实施信息安全等级保护的重点行业之一。由于金融行业的信息系统多是数据集中、资金密集、大型复杂、网络化的信息系统，所以围绕金融行业开展信息系统的信息安全等级保护工作，需要一系列适合金融行业的等级保护标准体系作为支撑，以规范和指导金融等级保护工作的实施。中国人民银行作为我国中央银行，对金融行业重要信息和信息系统的信息安全保护工作负有指导监督的重任，需要在金融行业内建立符合金融行业特点的信息安全等级保护体系规范，通过备案、指导、检查、督促整改等方式来推进金融行业信息安全等级保护工作建设。为此，人民银行科技司组织安全等级保护领域专家和相关技术人员，根据国家关于信息安全等级保护工作的相关制度和标准，制定符合金融行业特点的、切实可行的信息安全等级保护行业标准和实施指南。人民银行以落实国家对金融行业信息安全等级保护相关工作要求，加强金融行业信息安全管理和技术风险防范，保障金融行业信息系统信息安全等级保护建设、测评、整改工作顺利开展为目标，特制定金融行业信息系统信息安全等级保护系列规范（以下简称“规范”），规范包 1 含《金融行业信息系统信息安全等级保护实施指引》（以下简称“《实施指引》”）、《金融行业信息系统信息安全等级保护测评指南》（以下简称“《测评指南》”）、《金融行业信息安全等级保护测评服务安全指引》（以下简称“《安全指引》”）三份文件。《实施指引》编写的目的是在满足金融行业信息安全发展需要，同时符合国家等级保护基本要求和设计技术要求，为金融行业的信息安全建设提供方法论、具体的建设措施及技术指导。本实施指引依据国家《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》标准，结合金融行业特点以及信息系统安全建设需要，对金融行业的信息安全体系架构采用分区分域设计、对不同等级的应用系统进行具体要求，以保障将国家等级保护要求行业化，具体化，提高我行重要网络和信息系统信息安全防护水平。二、编制原则本标准的编制遵循以下原则： 1、与国家标准保持一致性《实施指引》严格按照GB/T 22239-2008《信息系统安全等级保护基本要求》(以下简称为基本要求)、GB/T 25070-2010《信息系统等级保护安全设计技术要求》、GB/T 22240-2008《信息系统安全等级保护定级指南》及GB/T 1.1-2000 《标准化工作导则第1部分：标准的结构和起草规则》等相关标准开展规范的编制工作，确保标准的规范性、易用性与可读性，保持了与国家标准的高度一致性。 2、继承与发展《实施指引》参考人民银行等级保护规范等一行三会共计 26 个制度标准，结合行业实际情况，结合《信息系统安全等级保护基本要求》 2 的内容，对《实施指引》中安全测评要求的测评方法进行明确、细化和调整。 3、全面性及实用性《实施指引》的编制总结了金融行业应用系统多年的安全需求和业务特点，并参考国际、国内相关信息安全标准及行业标准，对信息系统建设、部署、管理等多个方面提出了安全要求及应对措施，是具有实际指导意义可操作的规范文档。《实施指引》的主要特点为通过补充、细化落实国家等级保护标准；提出建立信息安全体系架构体系化保护两个方面。《实施指引》根据金融行业特点细化补充国家《信息系统安全等级保护基本要求》（GB/T 22239-2008）二级、三级、四级要求项（第四章保护要求中加粗要求项），并新增追加金融行业增强安全保护类（F类），F类要求作为金融行业的增强性安全要求分布在S、A、G类的要求中。信息安全体系架构中的技术体系通过结合等级保护安全设计技术要求、国际标准《信息保障技术框架》（IATF），结合金融行业自身特点设计出一套满足金融行业信息系统安全架构的技术体系。管理体系设计中，通过结合国际标准27001 管理生命周期的过程改进，创建一套满足金融行业信息安全管理和制度所需要的管理体系。三、编制内容《实施指引》的编制总结了金融行业应用系统多年的安全需求和业务特点，并参考国际、国内相关信息安全标准及行业标准，对信息系统建设、部署、管理等多个方面提出了安全要求及应对措施，是具有实际指导意义可操作的规范文档。以三级系统为例： 3 1、共有 64 项要求进行了细化和明确。例如国标《基本要求》中的主机安全对身份鉴别有这样的要求：“操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换”，在《实施指引》中明确为“操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，系统的口令应在 7 位以上并由字母、数字、符号等混合组成并每三个月更换口令”。再例如国标《基本要求》中的主机安全对安全审计有这样的要求：“审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件”，在《实施指引》中细化为“审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用、账号的分配、创建与变更、审计策略的调整、审计系统功能的关闭与启动等系统内重要的安全相关事件”。 2、根据金融行业业务特点提出的特殊安全要求。F 类要求作为金融行业的增强性安全要求分布在 S、A、G 类的要求中。金融行业技术安全要求按其保护的侧重点不同分为 S、A、G 三类，如果从另外一个角度考虑，根据信息系统安全的整体结构来看，金融行业信息系统安全可从五个层面：物理、网络、主机、应用和数据对系统进行保护，因此，技术类安全要求也相应的分为五个层面上的安全要求： ——物理层面安全要求：主要是从外界环境、基础设施、运行硬件、介质等方面为信息系统的安全运行提供基本的后台支持和保证； ——网络层面安全要求：为信息系统能够在安全的网络环境中运行提供支持，确保网络系统安全运行，提供有效的网络服务； 4 ——主机层面安全要求：在物理、网络层面安全的情况下，提供安全的操作系统和安全的数据库管理系统，以实现操作系统和数据库管理系统的安全运行； ——应用层面安全要求：在物理、网络、主机等层面安全的支持下，实现用户安全需求所确定的安全目标； ——数据及备份恢复层面安全要求：全面关注信息系统中存储、传输、处理等过程的数据的安全性。《实施指引》三级要求新增了 117 项 F 类要求。例如在应用安全的安全审计中新增了该项：“应在每次用户登录时提供用户上一次成功登录的日期、时间、方法、位置、错误登录等信息，以便用户及时发现可能的问题。（F3）”，在国标《基本要求》中没有此项要求。四、主要工作过程第一阶段：研究阶段中国人民银行作为我国中央银行，对金融行业重要信息和信息系统的信息安全保护工作负有指导监督的重任，需要在金融行业内建立符合金融行业特点的信息安全等级保护体系规范，通过备案、指导、检查、督促整改等方式来推进金融行业信息安全等级保护工作建设。为此， 2010 年 9 月到 2011 年 9 月，人民银行科技司组织安全等级保护领域专家和相关技术人员，根据国家关于信息安全等级保护工作的相关制度和标准，研究制定符合金融行业特点的、切实可行的信息安全等级保护行业标准和实施指南。第二阶段：申请立项阶段 2011 年 11 月，中国人民银行科技司正式向全国金融标准技术化委员会提交了《实施指引》的立项建议书，申请《实施指引》立项。 5 第三阶段：编写阶段 2010 年 9 月，中国人民银行科技司组织多名专家成立了起草小组，集中工作，形成了《实施指引》（征求意见稿第一稿）。第四阶段：第一次征求意见阶段 2011 年 9 月，中国人民银行科技司向各主要商业银行、银监会、保监会、证监会以及人民银行内部司局征求意见，三项标准共收集了 82 条意见，其中《实施指引》43 条反馈意见，对各单位反馈的意见进行了认真研究，共采纳了 61 条意见，其中《实施指引》采纳了 35 条意见，并对未采纳的意见进行了充分讨论。第五阶段：第一次论证会 2011 年 10 月 25 日，中国人民银行科技司邀请了公安部信息安全部、中国工商银行、中国农业银行、中国银行、中国建设银行、中国交通银行、国家开发银行，招商银行、中信银行、中国光大银行、中国民生银行、华夏银行、北京银行、银监会、保监会、证监会的领导和专家，共同对《实施指引》（征求意见稿第一稿）进行讨论，会后，编写小组根据论证会的意见进行了修订，形成了《实施指引》（征求意见稿第二稿）。第六阶段：第二次征求意见阶段 2011 年 11 月 17 日至 11 月 25 日，中国人民银行科技司再次向各主要商业银行征求意见，三项标准共收集了 47 条意见，其中《实施指引》40 条反馈意见，对各单位反馈的意见进行了认真研究，共采纳了 31 条意见，其中《实施指引》采纳了 28 条意见，并对未采纳的意见进行了充分讨论。第七阶段：第三次征求意见阶段(面向各金标委委员) 6 2011 年 11 月 25 日至 12 月 20 日，金融标准化技术委员会就《实施指引》(征求意见稿)向各金标委委员征求意见，共收集了 80 条意见，对各单位反馈的意见进行了认真研究，共采纳了 57 条意见，并对未采纳的意见进行了充分讨论。五、适用范围《实施指引》适用于指导金融行业按照等级保护要求进行安全测评和监督管理。六、重大分歧意见的处理和依据无。七、行业标准属性的建议鉴于国家《信息系统安全等级保护基本要求》是推荐性标准，为保持一致，建议本标准作为推荐性行业标准。八、废止现行有关标准的建议无。九、其他应予说明的事项本标准遵守中华人民共和国现行的法律和法规。《金融行业信息系统信息安全等级保护实施指引》编写组二○一二年二月 7