当前位置:文档之家 › 信息安全等级保护介绍(银行培训)

信息安全等级保护介绍(银行培训)

  • 格式:pdf
  • 大小:2.26 MB
  • 文档页数:36

下载文档原格式

  / 36

合集下载

银行信息安全意识培训

银行信息安全意识培训
安全事件 香港某明星曾托助手将其手提电脑,送到一间计算机公司维修,其后有人把计算机中已经删除的照片
恢复后制作成光盘,发放予朋友及其它人士观赏。

重要信息的保密
息 交
信息交换及备份

软件应用安全
与 备
计算机及网络访问安全

人员及第三方安全管理
终端设备的使用安全
工作环境及物理安全要求
防范病毒和恶意代码
电子邮件和互联网信息交换 明确不可涉及敏感数据,如客户信息、订单合同等信息 如必须交换此类信息,需申请主管批准并采取加密传输措施或其它保护机制
文件共享: 包括Confidential(机密性)在内的高级别的信息不能被发布于公共区域 所有共享文件应按照规则放置在相应的文件服务器目录中,任何人不得在其个人电脑中 开设共享。 共享文件夹应该设置恰当的访问控制,禁止向所有用户赋予完全访问权限 临时共享的文件事后应予以删除
19
安全 vs. 可用——平衡之道 在可用性(Usability)和安全性(Security)之间是一种相反的关系 提高了安全性,相应地就降低了易用性 而要提高安全性,又势必增大成本 管理者应在二者之间达成一种可接受的平衡
20
计算机安全领域一句格言: “真正安全的计算机是拔下网线,断掉电源, 放在地下掩体的保险柜中,并在掩体内充满毒 气,在掩体外安排士兵守卫。”
系统、 程序、设备中存在的漏洞或缺陷
配置、操作和使用中的缺陷,包括人员的不良习惯、审计或备 份过程的不当等
策略、程序、规章制度、人员意识、组织结构等方面的不足
9
最常犯的一些错误
将口令写在便签上,贴在电脑监视器旁 开着电脑离开,就像离开家却忘记关灯那样 轻易相信来自陌生人的邮件,好奇打开邮件附件 使用容易猜测的口令,或者根本不设口令 丢失笔记本电脑 不能保守秘密,口无遮拦,上当受骗,泄漏敏感信息 随便拨号上网,或者随意将无关设备连入公司网络 事不关己,高高挂起,不报告安全事件 在系统更新和安装补丁上总是行动迟缓 只关注外来的威胁,忽视企业内部人员的问题 会后不擦黑板,会议资料随意放置在会场

银行信息安全意识培训课件(1)

银行信息安全意识培训课件(1)
银行信息安全意识培训课 件(1)
在数字时代,银行信息安全意识至关重要。本课程将讨论信息安全的重要性、 银行信息安全的威胁、常见的信息安全攻击方式以及保护银行信息安全的措 施。
信息安全的重要性
了解信息安全的重要性对保护银行和客户的财务安全至关重要。数据泄露和黑客攻击可能导致资金损失和声誉 风险。
银行信息安全的威胁
银行面临各种信息安全威胁,包括网络钓鱼、恶意软件、数据泄露和内部威 胁。了解这些威胁可以提高我们对潜在风险的认知。
常见的信息安全攻击方式
黑客使用各种攻击方式来入侵银行系统,如网络钓鱼、恶意软件、网络攻击 和社交工程等。学会识别这些攻击方式是至关重要的。
保护银行信息安全的措施
保护银行信息安全的措施包括强密码的使用、定期更新软件、安全的网络连接、数据备份以及培训员工保护信 息安全等。
信息安全责任与义务
每个银行员工都有责任和义务保护客户的信息安全。了解信息安全的责任和 义务对于减少风险和保护银行声誉至关重要。
ቤተ መጻሕፍቲ ባይዱ
信息安全培训与教育
通过信息安全培训和教育,可以提高员工对信息安全的认识和技能,减少内 部安全漏洞,并建立一个安全的工作环境。
信息安全意识培训课件总结
通过本课件,我们了解了信息安全的重要性、银行信息安全的威胁、常见的 信息安全攻击方式以及保护银行信息安全的措施。

银行信息安全等级保护制度

银行信息安全等级保护制度

银行信息安全等级保护制度1. 引言银行作为金融系统的核心组成部分,承载着大量客户的金融信息和资产。

为了保障客户信息的安全性,提高信息系统的可信度,银行必须建立和完善信息安全等级保护制度。

本文档旨在定义银行信息安全等级保护制度的基本要求和管理流程,确保银行信息系统的安全。

2. 等级划分银行信息安全等级保护制度根据信息系统的重要性和敏感程度,将信息系统分为不同的等级,并为每个等级规定相应的保护措施和管理要求。

等级划分可分为以下几个方面:2.1 信息资源等级划分根据信息资源的重要性和机密级别,将信息资源划分为不同等级,例如:核心业务系统、客户信息系统、财务系统等。

2.2 技术安全等级划分根据信息系统的技术架构、设备配置和技术能力,将信息系统划分为不同的等级,例如:高可用性系统、数据备份系统、网络安全系统等。

2.3 人员安全等级划分根据员工的职责、权限和岗位级别,将员工划分为不同的安全等级,例如:管理员、操作员、审计人员等。

3. 保护要求为了确保银行信息系统的安全,银行信息安全等级保护制度应包含以下基本要求:3.1 信息系统配置管理要求银行建立严格的信息系统配置管理制度,包括设备配置、系统安装与更新、补丁管理等,确保信息系统的合规性和安全性。

3.2 访问控制管理要求银行建立完善的访问控制管理制度,包括身份认证、权限控制、账号管理等,限制非授权人员对信息系统的访问和操作,防止信息泄露和非法使用。

3.3 数据保护管理要求银行建立有效的数据保护管理制度,包括数据备份、加密、恢复等措施,确保数据的完整性和可信度,防止数据泄露和损坏。

3.4 安全事件管理要求银行建立完善的安全事件管理制度,包括安全事件的监测、报告、分析和应急处理等,及时发现、定位和处理安全事件,减少信息系统受到的损失。

4. 管理流程为了有效实施银行信息安全等级保护制度,需要建立一套科学完善的管理流程,包括以下几个环节:4.1 制定制度银行应组织相关部门和人员,制定并修订银行信息安全等级保护制度,并确保制度的适用性和可行性。

银行保险行业信息安全培训课件

银行保险行业信息安全培训课件
路电? 两路电是否一定是两个输电站? 有没有UPS? UPS能维持多久? 有没有备用发电机组?
备用发电机是否有充足的油料储备?
另一个与物理安全相关的案例
25
安全事件(1)
26
安全事件(2)
27
安全事件(3)
28
安全事件(4)
29
安全事件(5)
30
安全事件(6)
用户电脑中毒后可能会出现蓝屏、频繁重 启以及系统硬盘中数据文件被破坏等现象。同 时,该病毒可以通过局域网进行传播,进而感 染局域网内所有计算机系统,最终导致企业局 域网瘫痪,无法正常使用,它能感染系统中 exe,com,pif,src,html,asp等文件,它 还能中止大量的反病毒软件进程并且会删除扩 展名为gho的文件,该文件是一系统备份工具 GHOST的备份文件,使用户的系统备份文件 丢失。被感染的用户系统中所有.exe可执行文 件全部被改成熊猫举着三根香的模样。
物理环境中需要 信息安全
ATM诈骗三部曲
在自助银行入口刷卡器下方粘上一个黑 色小方块,叫“读卡器”,罩上一个加 长的“壳”,把银行的刷卡器和读卡器 一起藏在里面,一般人很难发现。取款 人在刷卡进门时,银行卡上的全部信息 就一下被刷进了犯罪分子的读卡器上。
在取款机窗口内侧顶部,粘上一个贴 着“ATM”字样的“发光灯”。这个 “发光灯”是经过特殊改造的,里面 用一块手机电池做电源,连接两个灯 泡,核心部分则是一个MP4。取款人 取款时的全过程被犯罪分子装的“针 孔摄像机”进行了“实况录像”。
24
信息安全令人担忧
内地企业44%信息安全事件是数据失窃
普华永道最新发布的2008年度全球信息安全调查报告显示, 中国内地企业在信息安全管理方面存在滞后,信息安全与隐私保 障方面已被印度赶超。数据显示,内地企业44%的信息安全事件与 数据失窃有关,而全球的平均水平只有16%。 普华永道的调查显示,中国内地企业在改善信息安全机制上 仍有待努力,从近年安全事件结果看,中国每年大约98万美元的 财务损失,而亚洲国家平均约为75万美元,印度大约为30.8万美 元。此外,42%的中国内地受访企业经历了应用软件、系统和网 络的安全事件。

山东省银行业金融机构等保培训教材-4.7

山东省银行业金融机构等保培训教材-4.7

第一章信息安全基础在信息时代里,信息主权是一个国家继政治主权之后的新主权。

在人类社会的三个进程中,物质在工业化前的社会中起关键作用,能量在工业化社会中起核心作用,信息则在当今的信息化社会中叱咤风云。

发达国家信息工业在整个国民经济中所占的比例为40%-60%,新兴工业国家占25%-40%,发展中国家则占25%以下。

信息工业在一个国家的国民经济中所占的比例反映了这个国家的经济水平和工业发展水平。

对信息安全的认识和掌控程度不仅影响一个国家的根本利益,而且影响企业和个人的利益,同时也反映了一个国家的现代化程度。

本章主要描述以下要点:信息安全的概念;主机网络安全;信息安全的标准化;信息安全风险的管理;信息与网络安全组件;安全策略的制定与实施。

一、信息安全的概念随着以Internet为代表的全球性信息化趋势日渐鲜明,信息网络技术的应用日渐普及,应用领域从传统的小型业务系统逐渐向大型的关键业务系统扩展,例如党政部门信息系统、金融业务系统、企业商务系统等。

伴随着网络的普及,信息安全日益成为影响网络效能的重要因素。

而Internet所具有的开放性、国际性和自由性在增加了应用自由度的同时,对安全性提出了更高的要求,主要表现在以下几个方面。

1.开放性的网络导致网络的技术是全开放的,任何一个人或团体都可能获得,因而网络面临的破坏和攻击是多方面的,例如,可以对物理传输线路实施攻击,也可以对网络通信协议和实现实施攻击;可以对软件实施攻击,也可以对硬件实施攻击。

国际性的网络还意味着网络的攻击不仅可以来自本地网络的用户,也可以来自Internet上的任何用户。

也就是说,网络安全所面临的是国际化的挑战。

2.自由意味着网络对用户的使用并没有提供任何的技术约束,用户可以自由地访问网络,自由地使用和发布各种类型的信息。

用户只对自己的行为负责,而没有任何的法律限制。

开放、自由、全球化的internet的发展给政府机构和企事业单位带来了革命性的变化,使得他们能够利用internet提高办事效率和市场反应能力,更具竞争力;同时他们又要面对网络开放带来的数据安全的新挑战。

银行网络安全与信息保护措施培训课件

银行网络安全与信息保护措施培训课件

加密存储
采用数据库加密、文件加密等 技术,确保敏感信息在存储过
程中的保密性。
数据脱敏
对敏感信息进行脱敏处理,如 替换、扰动、匿名化等,以降
低数据泄露的风险。
泄露检测与响应
建立泄露检测机制,及时发现 和处理数据泄露事件,减轻泄
露造成的影响。
04
网络安全风险评估与应 对
风险评估方法论述
01
02
03
定量评估法
入侵检测与防御系统(IDS/IPS)
01
IDS/IPS定义
入侵检测系统(IDS)和入侵防御系统(IPS)都是用于监控网络或系统
活动的安全设备,它们能够识别并防御各种网络攻击和恶意行为。
02
IDS/IPS作用
IDS和IPS可以实时监测网络流量和系统事件,发现异常行为并及时报警
或采取防御措施,从而保护网络和系统的安全。
运用数学方法,将网络系 统的风险进行量化分析, 通过计算风险指标来评估 网络的安全性。
定性评估法
根据专家经验、历史数据 等信息,对网络系统的风 险进行主观判断和分析。
综合评估法
将定量评估和定性评估相 结合,综合考虑多种因素 ,形成全面、客观的风险 评估结果。
常见网络攻击手段剖析
钓鱼攻击
恶意软件攻击
03
IDS/IPS类型
根据检测原理和应用场景,IDS可以分为基于签名的IDS和基于异常的
IDS;IPS可以分为基于主机的IPS、基于网络的IPS和混合型IPS等。
加密技术与数据传输安全
加密技术定义
加密技术是一种将明文信息转换为密文信息的技术,以保护数据在传输和存储过程中的机 密性和完整性。
加密技术作用
重要性

信息安全等级保护知识培训

信息安全等级保护知识培训1. 什么是信息安全等级保护?信息安全等级保护是在保护国家秘密、重要基础设施等重要信息资产的安全方面,采用不同的安全防护措施,保护信息资产的机密性、完整性和可用性。

2. 信息安全等级保护等级根据不同的安全需求和信息等级,信息安全等级保护被分为5个等级,分别为一级到五级。

一级信息安全等级保护主要应用于非常重要的信息资产,包括国家秘密、重要基础设施等。

二级信息安全等级保护主要应用于重要的信息资产,包括财经、国防等领域的重要信息。

三级信息安全等级保护主要应用于一般的信息资产,包括人力资源、科研等领域的信息。

四级信息安全等级保护主要应用于普通的信息资产,比如公共事务、对个人及公司具有较大意义的工作等。

五级信息安全等级保护主要应用于一般的信息资产,包括广告、营销,并不是特别重要的日常工作信息。

3. 信息安全等级保护的重要性信息安全等级保护不仅是一个组织或企业安全管理的重要内容,也是国家安全保障的一部分。

保护重要信息资产不仅能够保护企业的核心机密,防止信息被盗用、泄露,还能避免信息资产的受损或丢失,降低供应链风险和保障客户隐私,为企业赢得公众信任。

4. 如何保障信息安全等级保护?为了保障信息安全等级保护,我们要采用不同的安全措施进行保护。

以下是几点保障信息安全等级保护的措施:4.1 加强用户权限管理合理分配用户权限,确保不同职能人员有不同的权限访问不同等级的信息资产,同时要对权限进行定期审计与更新。

4.2 加强数据备份与恢复要定期对信息资产重要数据进行备份,并定期恢复测试,防止信息数据无法还原的风险。

4.3 定期漏洞扫描分析要定期进行漏洞扫描,及时处理漏洞,避免被攻击者利用漏洞入侵系统。

4.4 安全加密传输要采用安全加密技术进行传输,防止数据在传输过程中被恶意截获或篡改。

4.5 加强安全意识教育为员工提供定期的安全意识培训和指导,提高员工信息安全意识,加强对信息安全重要性的认识和信息安全等级保护的执行,从而有效地保障企业与客户信息不被盗用、泄露及滥用。

银行信息安全培训》PPT课件

• 侵犯用户的隐私
– 恶意软件在不知情的情况下秘密收集用户的个人信息、 行为记录、屏幕内容乃至银行账号和密码等
• 破坏计算机系统
– 在电脑中不断弹出一些窗口,导致计算机工作速度慢, 出现蓝屏、死机、重启、文件被删除等危险
• 干扰其他软件
– 恶意软件会不择手段的保护自己,经常会产生某些冲 突导致其他正常程序无法使用
个人观点供参考,欢迎讨论!
• 自然灾害包括水灾、火灾、风暴、地震、雷击等, 这些自然灾害对计算机的影响非常大,往往会使 计算机遭受毁灭性的损害
• 雷击
– 夏季注意防雷,打雷时尽量不要使用电脑、手机等, 使用完毕要关闭电脑并拔掉电源线。
• 电源故障
– 由于各种意外的原因,计算机供电电源电压的过高过 低波动或突然中断,可能或造成计算机停止工作,如 果计算机正在进行数据操作,这些数据就可能出错或 丢失,也有可能使计算机硬件或外部设备造成损坏
• 业务流分析:
– 通过对系统进行长期监听,利用统计分析方法对诸如 通信频度、通信的信息流向、通信总量的变化等参数 进行研究,从中发现有价值的信息和规律。
5
信息安全的主要威胁
• 假冒:
– 通过欺骗通信系统(或用户)达到非法用户冒充成为 合法用户,或者特权小的用户冒充成为特权大的用户 的目的。我们平常所说的黑客大多采用的就是假冒攻 击。
18
媒体废弃
废弃电脑硬盘中往往存储着使用者的很多 隐私内 容,比如:个人资料、银行账户、公司文件等。 一般电脑用户在处理废弃电脑时十分随便,以为 只要将电脑硬盘内的数据格式化就可以了,其实 格式化后的数据只是不再显示,数据还原封不动 地保留在硬盘内,稍懂数据恢复技术的人就可以 轻易恢复这些数据
19
• 即时通讯病毒

信息安全等级保护培训内容

信息安全等级保护培训内容信息安全,大家可能不太理解,但如果我说,它就像是你家门口的防盗门,装了好几道锁,甚至防盗网都有,那你是不是一下子能明白了?你看,信息安全其实就像是保护我们日常生活中那些重要的东西。

比如银行卡密码、私人照片,甚至你正在跟朋友聊的那段八卦,谁愿意它突然被别人看到,尤其是被不该看到的人对吧?所以信息安全等级保护,简单来说,就是为这些东西设一个“锁”,让它们安全可靠,不容易被盗走。

说到这里,不得不提到“等级保护”,你可千万别以为这是个什么复杂的术语。

等级保护就是说根据信息的敏感程度,给它设定不同的防护级别。

比如说,你家楼下那个24小时营业的小卖部,随便一个人进来都能买东西,那就是最低级别的保护;但是,如果你在保密局工作,想必那些资料的安全性肯定得上升一个档次,直接搞个高等级的保护。

你看,等级保护的核心就是根据信息的重要性,采取相应的防护措施。

有些数据,如果丢了,那可就闹笑话了;而有些数据,丢了不至于打乱世界秩序。

所以咯,信息安全等级保护就像是为每个信息加上了一个“标签”,根据它的“身价”不同,设置不同的安全标准。

而这些安全措施,绝对不是一两道简单的“门”就能解决问题的。

信息安全这个大碗,里面的内容可不少。

从密码管理到防火墙,再到加密技术,每一块都是环环相扣,不容忽视。

你可能不清楚这些到底是什么意思,但你试想一下,网上银行账户登录时,那个验证码是不是比你平时用的密码还要复杂?这是防止别人轻易进入你账户的第一道屏障。

这个验证码还常常变换,完全不让你有喘息的机会。

是不是特别有意思?再说了,像加密技术也是一样的,它就像是你把最重要的文件放进了一个保险柜里,没钥匙的人根本打不开。

很多人对信息安全的理解,停留在“我没啥好隐私的,没关系”的阶段。

可偏偏这个问题就藏在“无所谓”的心态里。

试想一下,如果你把钱包丢在大街上,别说你身上有多少钱,就算是几块零钱,估计也会心疼得不行。

你的电子钱包呢?银行卡号、支付宝账号、微信支付,甚至你的身份证信息,都是些你平时可能不太重视的小细节,没想到它们在“黑客”眼中,恰恰是好东西。

信息安全等级保护业务培训

信息安全等级保护业务培训信息安全等级保护业务培训是为了提高企业员工的信息安全意识和综合能力,培养信息安全保护业务人员的技能和知识。

以下是一个可能的培训计划:1. 信息安全基础知识:介绍信息安全的基本概念、原则和重要性,讲解常见的信息安全威胁和漏洞。

2. 信息安全法律法规:讲解国家相关的信息安全法律法规,使员工了解企业在信息安全方面的法律义务和责任。

3. 信息安全等级保护制度:介绍信息安全等级保护制度的基本框架、等级划分和评估流程,使员工了解企业的信息安全等级管理体系。

4. 信息资产分类与保护:讲解企业信息资产的分类和重要性,介绍常见的信息安全保护措施,如加密技术、访问控制、备份与恢复等。

5. 信息安全意识培养:通过实例和案例分析,增强员工的信息安全意识,引导员工养成良好的信息安全习惯和行为。

6. 信息安全事件应急处理:介绍信息安全事件的分类和处理流程,培养员工的信息安全事件应急处理能力,提高应对突发事件的能力。

7. 信息安全管理制度和规范:讲解企业内部的信息安全管理制度和规范,如员工的责任与义务、信息安全培训要求等,确保员工遵守信息安全相关规定。

8. 信息安全保护技术:介绍信息安全保护的技术手段和产品,如防火墙、入侵检测系统、安全审计系统等,使员工了解常用的信息安全技术。

9. 实际操作和演练:组织实际的操作和演练,模拟真实的信息安全场景,培养员工的信息安全应对能力和技能。

10. 考核和评估:进行培训结束后的考核和评估,以检验员工掌握的知识和技能,并为接下来的培训提供参考。

以上是一个具体的培训计划,具体的内容和安排可以根据企业的实际情况和需求进行调整。

培训应当注重理论与实践相结合,通过培训提升员工的信息安全意识和能力,确保企业的信息安全。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

信息安全技术 信息系统安全等级保
信息安全技术 信息系统安全等级保
信息安全技术 信息系统安全等级保
信息技术安全 信息系统等级保护安
信息安全技术 信息系统安全等级保 信息安全技术 信息系统安全等级保
《基本要求》的框架结构
第一级基本 要求 第二级基本 要求 第三级基本 要求 第四级基本 要求 第五级基本 要求
第一级
信息系统安全等级的划分
等级 对象 侵害客体 公民、法人和其他组织的合 法权益 一般系统 第二级 公民、法人和其他组织的合 法权益 社会秩序和公共利益 第三级 重要系统 社会秩序和公共利益 第四级 国家安全 严重损害 特别严重损害 强制监督检 查保护 专门监督检 查保护 社会秩序和公共利益 侵害程度 监管强度
等级保护法律政策体系
7、《关于加强国家电子政务工程建设项目信息安全风险评 估工作的通知》(发改高技[2008]2071号) 8、《关于推动信息安全等级保护测评体系建设和开展等级 测评工作的通知》(公信安[2010]303号)。 9、《关于印发〈信息系统安全等级测评报告模版(试行)〉 的通知》(公信安[2009]1487号) 10、《公安机关信息安全等级保护检查工作规范》(公信安 [2008]736号 ) 11、《关于开展信息安全等级保护专项监督检查工作的通知》 (公信安[2010]1175号) 12、《关于进一步推进中央企业信息安全等级保护工作的通 知》(公通字[2010]70号)
系统服务
业务系统的服务范围、服务对象等
确定受侵害的客体
国家安全 – 体现了国家层面、与全局相关的国家政治安全、军事安全、经 济安全、社会安全、科技安全等方面利益。 社会秩序和公共利益 – 包括政治、经济、生产、生活、科研、工作等各方面的正常秩 序和社会公众生产、生活、教育、卫生等方面的利益。
业务信息安全被破坏时所 侵害的客体 公民、法人和其他组织的 合法权益 一般损害 第一级 严重损害 第二级 特别严重损 害 第二级
2、确定业务信息安 全受到破坏时所侵 害的客体
5、确定系统服务安 全受到破坏时所侵 害的客体
社会秩序、公共利益
3、综合评定对客体 的侵害程度 依据 表1 4、业务信息安全等 级 6、综合评定对客体 的侵害程度 依据 表2 7、系统服务安全等 级 国家安全
合法权益
– 是法律确认的并受法律保护的公民、法人和其他组织所享有的 一定的社会权利和利益。
确定受侵害的程度
一般损害 – 工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出
现较轻的法律问题,有限的社会不良影响,对其他组织造成较低损害。
严重损害 – 工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出
S1A5G5,S2A5G5,S3A5G5,S4A5G5, S5A5G5,S5A4G5,S5A3G5,S5A2G5, S5A1G5
金融行业信息系统定级要求
金融行业信息系统定级要求
定级对象分类: • 应用系统 – 核心业务信息系统、综合业务信息系统(Y-Ⅰ) – 网上银行系统、重要支撑系统、重要交易系统、重要管 理系统及其它运行关键业务或涉及客户身份、资产、交 易记录等敏感信息的信息系统(Y-Ⅱ) – 部署有应用服务器或数据库服务器的前置系统(Y-Ⅲ) • 生产网络系统
技术要求
管理要求
物 理 安 全
网 络 安 全
主 安全 及 备份 恢复
安 全 管 理 制 度
安 全 管 理 机 构
人 员 安 全 管 理
系 统 建 设 管 理
系 统 运 维 管 理
等保相关金融行业标准



JR/T 0071 -2012金融行业信息系统信息安全等 级保护实施指引 JR/T 0072 -2012 金融行业信息系统信息安全 等级保护测评指南 JR/T 0073 -2012金融行业信息安全等级保护测 评服务安全指引
等级保护法律政策体系
主要政策文件:
1、《关于信息安全等级保护工作的实施意见》(公通字 [2004]66号) 2、《信息安全等级保护管理办法》(公通字[2007]43号) 3、《关于开展全国重要信息系统安全等级保护定级工作的 通知》(公通字[2007]861号) 4、《信息安全等级保护备案实施细则》(公信安 [2007]1360号) 5、《关于开展信息系统等级保护安全建设整改工作的指导 意见》(公信安[2009]1429号) 6、《关于做好信息安全等级保护测评机构审核推荐工作的 通知》(公信安[2010]559号)
金融行业信息系统定级要求
• 生产网络系统 作为定级对象的网络系统包括:网络设备、前置中 间件设备、接入网络的计算机终端 – 方案1(W1):
• 广域网骨干网(W1-Ⅰ) • 机构总部局域网骨干网(W1-Ⅱ) • 分支机构局域网骨干网(W1-Ⅲ)
– 方案2(W2):
• 机构总部骨干网(W2-I) • 分支机构骨干网(W2-Ⅱ)
信息安全等级保护工作的主要内容
分等级保护、分等级监管:
将信息系统(包括网络)按照重要性和遭受损坏后的 危害性分成五个安全保护等级(从第一级到第五级, 逐级增高); 等级确定后,第二级(含)以上信息系统到公安机关 备案,公安机关审核后颁发备案证明; 备案单位选择符合国家规定条件的测评机构开展等级 测评,根据信息系统安全等级,按照国家政策、标准 开展安全建设整改; 公安机关对第二级信息系统进行指导,对第三、四级 信息系统定期开展监督、检查。
第二级
第三级
第三级
第四级
第四级
第五级
表2
对相应客体的侵害程度
系统服务安全被破坏时所 侵害的客体 公民、法人和其他组织的 合法权益 社会秩序、公共利益 国家安全 一般损害 第一级 第二级 第三级 严重损害 第二级 第三级 第四级 特别严重损 害 第二级 第四级 第五级
8、定级对象的安全 保护等级
确定定级对象
– 资质能力要求 测评机构资质要求、测评机构管理要求、测评人员要 求、测评工具要求 – 测评过程要求 测评过程机构要求、测评人员行为要求、测评过程管 理要求(文档管理、对象管理、测评工具安全)
使用:
– 指导金融机构选择测评机构 – 规范测评过程,规避测评风险
定级流程
1、确定定级对象
表1
对相应客体的侵害程度
第一级
损害
严重损害
自主保护
指导保护 损害 严重损害 监督检查保 护
国家安全
损害
第五级
极端重要 系统
国家安全
特别严重损害
等保 相关 标准 与等 保各 工作 环节 的关 系
等保相关的主要标准




• •
GB/T 22239-2008 护基本要求 GB/T 22240-2008 护定级指南 GB/T 25058-2010 护实施指南 GB/T 25070-2010 全设计技术要求 GB/T 28448-2012 护测评要求 GB/T 28449-2012 护测评过程指南
信息安全等级保护
信息安全等级保护概念
• 信息安全等级保护是指对国家秘密信息、法人和其他组织 及公民的专有信息及公开信以及存储、传输、处理这些信 息的信息系统分等级实行保护,对信息系统中使用的信息 安全产品实行按等级管理,对信息系统中发生的信息安全 事件分等级响应、处置。 • 信息系统安全等级保护是国家信息安全保障的基本制度、 基本策略、基本方法。 • 开展信息安全等级保护工作是保护信息化发展、维护国家 信息安全的根本保障,是信息安全保障工作中国家意志的 体现。
安全保 护等级 信息系统基本保护要求的组合
第一级 第二级 第三级
第四级
S1A1G1
S1A2G2,S2A2G2,S2A1G2 S1A3G3,S2A3G3,S3A3G3,S3A2G3, S3A1G3 S1A4G4,S2A4G4,S3A4G4,S4A4G4, S4A3G4,S4A2G4,S4A1G4
第五级
等保相关金融行业标准
金融行业信息系统信息安全等级保护实施指引 主要内容:
– 信息安全保障框架(两项要求、两个体系、技管交互 、综合保障) – 保护要求(2-4级、S\A\G\F) – 等级保护实施措施(要求、技术措施、实现方式) – 金融行业安全要求的选择和使用说明
使用:
– 金融机构对信息系统进行建设整改的依据 – 职能部门进行监督检查指导的依据
等保相关金融行业标准
金融行业信息系统信息安全等级保护测评指南 主要内容:
– – – – – 等级测评过程 测评准备 测评方案 现场测评 (测评实施、判定标准) 分析与报告编制
使用:
– 指导金融机构进行自测评 – 指导测评机构对金融系统进行等级测评
等保相关金融行业标准
金融行业信息安全等级保护测评服务安全指引 主要内容:
机构总部信息系统定级建议
分支机构信息系统定级建议
定级报告
1、信息系统描述 • 简述确定该信息系统为定级对象的理由。包括:该信息系统所承载业务的主管单位和 部门,该信息系统具有信息系统的基本要素(有主机、网络及相关配套设施构成的人 机系统),该信息系统承载着独立或单一的业务应用,业务应用主要包括哪些,各包 含哪些功能等。 2、信息系统安全保护等级的确定 • (1)业务信息安全保护等级的确定。 • 第一步:简要描述信息系统所处理的主要业务信息,包括各项业务的主要数据项有哪 些等。 • 第二步:确定业务信息受到破坏后所侵害的客体 • 第三步:确定对客体的侵害程度 • 第四步:查表确定业务信息安全等级 • (2)系统服务安全保护等级的确定 • 第一步:简要描述系统的服务范围、服务对象、服务要求等等。 • 第二步:确定系统服务受到破坏后所侵害的客体 • 第三步:确定对客体的侵害程度 • 第四步:查表确定系统服务安全等级 • (3)安全保护等级的确定 • 由业务信息安全等级和系统服务安全等级较高者决定系统安全保护等级