一(yī)、背景及意義

網絡安全等級保護是國家網絡安全保障工(gōng)作的一(yī)項基本制度，金融行業重要系統關系到國計民生(shēng)，是國家網絡安全重點保護對象，因此需要一(yī)系列适合金融行業的等級保護标準體(tǐ)系作為支撐，以規範和指導金融行業等級保護工(gōng)作的實施。随着雲計算、移動互聯、物(wù)聯網、大(dà)數據等新技術的廣泛應用，金融機構正根據自身發展的需要，持續推進IT架構的轉型。為适應新技術、新應用和新架構情況下(xià)金融行業網絡安全等級保護工(gōng)作的開(kāi)展，對JR/T 0071進行修訂。修訂後的JR/T 0071依據國家網絡安全等級保護相關要求，為金融行業的網絡安全建設提供方法論、具體(tǐ)的建設措施及技術指導，完善金融行業網絡安全等級保護體(tǐ)系，更好适應新技術在金融行業的應用。

二、修訂原則

本标準的編制遵循以下(xià)原則：

（一(yī)） 與國家标準保持一(yī)緻性

本标準嚴格按照GB/T 22239-2019《信息安全技術網絡安全等級保護基本要求》、GB/T 25070-2019《信息安全技術網絡安全等級保護安全設計技術要求》、GB/T 22240-2019 《信息安全技術網絡安全等級保護定級指南(nán)》、GB/T 35274-2017《信息安全技術大(dà)數據服務安全能力要求》及GB/T 1.1-2000 《标準化工(gōng)作導則第1部分(fēn)：标準的結構和起草規則》等相關标準開(kāi)展規範的編制工(gōng)作，确保标準的規範性、易用性與可讀性，保持了與國家标準的高度一(yī)緻性。

（二）  繼承與發展

本标準參考人民銀行等級保護規範等一(yī)行二會相關制度标準，結合行業實際情況，根據金标委成員(yuán)單位反饋意見，結合國家《信息安全技術網絡安全等級保護基本要求》（GB/T 22239-2019）的内容，在《金融行業信息系統信息安全等級保護實施指引》(JR/T 0071-2012)基礎上完善了二級、三級和四級安全保護要求項中(zhōng)的金融行業增強安全要求（F類）要求項，同時為了更好适應新技術以及新應用的發展，同時增加了金融雲平台、金融移動互聯安全、金融物(wù)聯網、金融大(dà)數據平台和金融行業個人信息保護的增強安全要求。

（三） 全面性及實用性

本标準依據國家網絡安全等級保護相關要求，總結了金融行業應用系統多年的安全需求和業務特點，并參考國際、國内相關網絡安全标準及行業标準，為金融行業的網絡安全建設提供方法論、具體(tǐ)的建設措施及技術指導，完善金融行業網絡安全等級保護體(tǐ)系，更好适應新技術在金融行業的應用。

三、主要内容

本标準分(fēn)為以下(xià)六部分(fēn)：

第 1 部分(fēn)：基礎和術語。規定了金融行業網絡安全等級保護工(gōng)作的基礎框架和術語定義。

第 2 部分(fēn)：基本要求。規範了金融行業網絡安全保障框架和不同安全等級對應的安全要求。

第 3 部分(fēn)：崗位能力要求和評價指引。規定了金融機構網絡安全崗位設置要求、網絡安全崗位能力要求以及網絡安全人員(yuán)能力評價要求。

第 4 部分(fēn)：培訓指引。規定了網絡安全培訓的培訓目标、培訓原則、培訓計劃、培訓對象、培訓内容要求、培訓實施、培訓考核和培訓檔案管理。

第 5 部分(fēn)：審計要求。規定了金融機構網絡安全等級保護工(gōng)作實施審計的要求。

第 6 部分(fēn)：審計指引。規定了金融機構網絡安全等級保護工(gōng)作實施審計的指引。

本标準編寫結合國家網絡安全等級保護基本要求和設計技術等相關标準要求，在《金融行業信息系統信息安全等級保護實施指引》(JR/T 0071-2012)基礎上完善了二級、三級和四級安全保護要求項中(zhōng)的實施方法。

四、适用範圍

本标準适用于指導金融行業按照等級保護要求進行安全測評和監督管理。

       金融行業網絡安全等級保護實施指引+第2部分(fēn)：基本要求.pdf