JR T 0071.1—2020 金融行业网络安全等级保护实施指引 第1部分：基础和术语.pdf

《JR T 0071.1—2020 金融行业网络安全等级保护实施指引 第1部分：基础和术语.pdf》由会员分享，可在线阅读，更多相关《JR T 0071.1—2020 金融行业网络安全等级保护实施指引 第1部分：基础和术语.pdf（20页珍藏版）》请在麦多课文档分享上搜索。

1、ICS 03.060A 11 JR中 华 人 民 共 和 国 金 融 行 业 标 准JR/T 0071.1 2020金 融 行 业 网 络 安 全 等 级 保 护 实 施 指 引第 1 部 分 ： 基 础 和 术 语 Implementation guidelines for classified protection of cybersecurity of financialindustry Part 1： Fundamentals and vocabulary 2020 -11- 11发 布 2020- 11-11实 施中 国 人 民 银 行 发 布 JR/T 0071.1 2020 I

2、目 次前 言 .II引 言 .III1 范 围 .12 规 范 性 引 用 文 件 .13 术 语 和 定 义 .14 金 融 行 业 网 络 安 全 等 级 保 护 基 础 .10 JR/T 0071.1 2020 II 前 言JR/T 0071 金 融 行 业 网 络 安 全 等 级 保 护 实 施 指 引 由 以 下 6 部 分 构 成 ： 第 1 部 分 ： 基 础 和 术 语 ； 第 2 部 分 ： 基 本 要 求 ； 第 3 部 分 ： 岗 位 能 力 要 求 和 评 价 指 引 ； 第 4 部 分 ： 培 训 指 引 ； 第 5 部 分 ： 审 计 要 求 ； 第 6 部 分 ：

3、 审 计 指 引 。本 部 分 为 JR/T 0071的 第 1 部 分 。本 部 分 按 照 GB/T 1.1 2009 给 出 的 规 则 起 草 。 本 部 分 由 中 国 人 民 银 行 提 出 。本 部 分 由 全 国 金 融 标 准 化 技 术 委 员 会 （ SAC/TC 180） 归 口 。本 部 分 起 草 单 位 ： 中 国 人 民 银 行 科 技 司 、 中 国 银 行 保 险 监 督 管 理 委 员 会 统 计 信 息 与 风 险 监 测 部 、 中国 金 融 电 子 化 公 司 、 北 京 中 金 国 盛 认 证 有 限 公 司 。本 部 分 主 要 起 草 人 ：

4、李 伟 、 陈 立 吾 、 沈 筱 彦 、 车 珍 、 昝 新 、 夏 磊 、 方 怡 、 张 海 燕 、 唐 辉 、 李 凡 、 王海 涛 、 张 璐 、 潘 丽 扬 、 邓 昊 、 侯 漫 丽 、 孙 国 栋 、 刘 文 娟 、 赵 方 萌 、 乔 媛 、 崔 莹 、 陈 雪 峰 、 马 成 龙 、 杜 巍 、李 瑞 锋 。 JR/T 0071.1 2020 III 引 言网 络 安 全 等 级 保 护 是 国 家 网 络 安 全 保 障 工 作 的 一 项 基 本 制 度 ， 金 融 行 业 重 要 系 统 关 系 到 国 计 民 生 ，是 国 家 网 络 安 全 重 点 保 护 对 象

5、 ， 因 此 需 要 一 系 列 适 合 金 融 行 业 的 等 级 保 护 标 准 体 系 作 为 支 撑 ， 以 规 范 和指 导 金 融 行 业 等 级 保 护 工 作 的 实 施 。 随 着 云 计 算 、 移 动 互 联 、 物 联 网 、 大 数 据 等 新 技 术 的 广 泛 应 用 ， 金融 机 构 正 根 据 自 身 发 展 的 需 要 ， 持 续 推 进 IT架 构 的 转 型 。 为 适 应 新 技 术 、 新 应 用 和 新 架 构 情 况 下 金 融 行业 网 络 安 全 等 级 保 护 工 作 的 开 展 ， 现 对 JR/T 0071进 行 修 订 。 修 订 后

6、 的 JR/T 0071依 据 国 家 网 络 安 全 等 级保 护 相 关 要 求 ， 为 金 融 行 业 的 网 络 安 全 建 设 提 供 方 法 论 、 具 体 的 建 设 措 施 及 技 术 指 导 ， 完 善 金 融 行 业 网络 安 全 等 级 保 护 体 系 ， 更 好 适 应 新 技 术 在 金 融 行 业 的 应 用 。 JR/T 0071.1 2020 1 金 融 行 业 网 络 安 全 等 级 保 护 实 施 指 引第 1 部 分 ： 基 础 和 术 语1 范 围本 部 分 规 定 了 金 融 行 业 网 络 安 全 等 级 保 护 工 作 的 基 础 框 架 和 术

7、语 定 义 。本 部 分 适 用 于 指 导 金 融 机 构 、 测 评 机 构 和 金 融 行 业 主 管 部 门 实 施 网 络 安 全 等 级 保 护 工 作 。2 规 范 性 引 用 文 件下 列 文 件 对 于 本 文 件 的 应 用 是 必 不 可 少 的 。 凡 是 注 日 期 的 引 用 文 件 ， 仅 注 日 期 的 版 本 适 用 于 本 文 件 。 凡 是 不 注 日 期 的 引 用 文 件 ， 其 最 新 版 本 （ 包 括 所 有 的 修 改 单 ） 适 用 于 本 文 件 。GB 17859 1999 计 算 机 信 息 系 统 安 全 保 护 等 级 划 分 准

8、则GB/T 20269 2006 信 息 安 全 技 术 信 息 系 统 安 全 管 理 要 求GB/T 20271 2006 信 息 安 全 技 术 信 息 系 统 安 全 通 用 技 术 要 求GB/T 20272 2019 信 息 安 全 技 术 操 作 系 统 安 全 技 术 要 求GB/T 20279 2015 信 息 安 全 技 术 网 络 和 终 端 隔 离 产 品 安 全 技 术 要 求GB/T 20282 2006 信 息 安 全 技 术 信 息 系 统 安 全 工 程 管 理 要 求GB/T 20984 2007 信 息 安 全 技 术 信 息 安 全 风 险 评 估 规

9、范GB/T 20988 2007 信 息 安 全 技 术 信 息 系 统 灾 难 恢 复 规 范GB/T 21052 2007 信 息 安 全 技 术 信 息 系 统 物 理 安 全 技 术 要 求GB/T 22239 2019 信 息 安 全 技 术 网 络 安 全 等 级 保 护 基 本 要 求GB/T 22240 2020 信 息 安 全 技 术 网 络 安 全 等 级 保 护 定 级 指 南GB/T 25070 2019 信 息 安 全 技 术 网 络 安 全 等 级 保 护 安 全 设 计 技 术 要 求 GB/T 28448 2019 信 息 安 全 技 术 网 络 安 全 等 级

10、 保 护 测 评 要 求GB/T 31167 2014 信 息 安 全 技 术 云 计 算 服 务 安 全 指 南JR/T 0071.2 2020 金 融 行 业 网 络 安 全 等 级 保 护 实 施 指 引 第 2 部 分 ： 基 本 要 求JR/T 0071.3 2020 金 融 行 业 网 络 安 全 等 级 保 护 实 施 指 引 第 3 部 分 ： 岗 位 能 力 要 求 和 评 价 指 引JR/T 0071.4 2020 金 融 行 业 网 络 安 全 等 级 保 护 实 施 指 引 第 4 部 分 ： 培 训 指 引JR/T 0071.5 2020 金 融 行 业 网 络 安

11、全 等 级 保 护 实 施 指 引 第 5 部 分 ： 审 计 要 求JR/T 0071.6 2020 金 融 行 业 网 络 安 全 等 级 保 护 实 施 指 引 第 6 部 分 ： 审 计 指 引JR/T 0072 2020 金 融 行 业 网 络 安 全 等 级 保 护 测 评 指 南JR/T 0073 2012 金 融 行 业 信 息 安 全 等 级 保 护 测 评 服 务 安 全 指 引3 术 语 和 定 义下 列 术 语 和 定 义 适 用 于 本 文 件 。 3.1 特 定 等 级 保 护 类 JR/T 0071.1 2020 2 3.1.1等 级 保 护 对 象 target

12、 of classified security网 络 安 全 等 级 保 护 工 作 直 接 作 用 的 对 象 。注 ： 主 要 包 括 信 息 系 统 、 通 信 网 络 设 施 和 数 据 资 源 等 。GB/T 22240 2020， 定 义 3.23.1.2等 级 测 评 testing and evaluation for classified cybersecurity protection测 评 机 构 依 据 国 家 网 络 安 全 等 级 保 护 制 度 规 定 ， 按 照 有 关 管 理 规 范 和 技 术 标 准 ， 对 非 涉 及 国 家 秘 密的 网 络 安 全 等

13、 级 保 护 状 况 进 行 检 测 评 估 的 活 动 。GB/T 28448 2019， 定 义 3.63.1.3 测 评 强 度 testing and evaluation intensity测 评 工 作 实 际 投 入 力 量 的 表 征 ， 可 以 由 测 评 广 度 和 深 度 来 描 述 。3.2 通 用 技 术 类3.2.1信 息 系 统 安 全 security of information system信 息 系 统 所 存 储 、 传 输 和 处 理 的 信 息 的 保 密 性 、 完 整 性 和 可 用 性 的 表 征 。3.2.2安 全 保 证 security

14、assurance为 确 保 安 全 要 素 的 安 全 功 能 达 到 要 求 的 安 全 性 目 标 所 采 取 的 方 法 和 措 施 。3.2.3 用 户 鉴 别 user authentication用 特 定 信 息 对 用 户 身 份 的 真 实 性 进 行 确 认 。 用 于 鉴 别 的 信 息 一 般 是 非 公 开 的 、 难 以 仿 造 的 。GB/T 20271 2006， 定 义 3.1.123.2.4客 体 object信 息 的 载 体 。GB 17859 1999， 定 义 3.33.2.5主 体 subject引 起 信 息 在 客 体 之 间 流 动 的 人

15、 、 进 程 或 设 备 等 。GB 17859 1999， 定 义 3.4 3.2.6 JR/T 0071.1 2020 3 敏 感 标 记 sensitivity label表 示 客 体 安 全 级 别 并 描 述 客 体 数 据 敏 感 性 的 一 组 信 息 ， 可 信 计 算 基 中 把 敏 感 标 记 作 为 强 制 访 问 控 制决 策 的 依 据 。GB 17859 1999， 定 义 3.53.2.7主 、 客 体 标 记 label of subject and object为 主 、 客 体 指 定 敏 感 标 记 。 这 些 敏 感 标 记 是 等 级 分 类 和 非

16、 等 级 类 别 的 组 合 ， 是 实 施 强 制 访 问 控 制 的依 据 。GB/T 20271 2006， 定 义 3.1.143.2.8访 问 控 制 access control 按 确 定 的 规 则 ， 对 实 体 之 间 的 访 问 活 动 进 行 控 制 的 安 全 机 制 ， 能 防 止 对 资 源 的 未 授 权 使 用 。GB/T 20269 2006， 定 义 3.33.2.9安 全 属 性 security attribute实 施 安 全 策 略 时 ， 与 主 体 、 客 体 相 关 的 信 息 。注 1： 对 于 自 主 访 问 控 制 ， 安 全 属 性

17、包 括 确 定 主 、 客 体 访 问 关 系 的 相 关 信 息 。注 2： 对 于 采 用 多 级 安 全 策 略 模 型 的 强 制 访 问 控 制 ， 安 全 属 性 包 括 主 、 客 体 的 标 识 信 息 和 安 全 标 记 信 息 。3.2.10自 主 访 问 控 制 discretionary access control由 客 体 的 所 有 者 主 体 自 主 地 规 定 其 所 拥 有 客 体 的 访 问 权 限 的 方 法 。 有 访 问 权 限 的 主 体 能 按 授 权 方 式对 指 定 客 体 实 施 访 问 ， 并 能 根 据 授 权 ， 对 访 问 权 限

18、进 行 转 移 。 GB/T 20271 2006， 定 义 3.1.163.2.11强 制 访 问 控 制 mandatory access control由 系 统 根 据 主 、 客 体 所 包 含 的 敏 感 标 记 ， 按 照 确 定 的 规 则 ， 决 定 主 体 对 客 体 访 问 权 限 的 方 法 。 有 访问 权 限 的 主 体 能 按 授 权 方 式 对 指 定 客 体 实 施 访 问 。 敏 感 标 记 由 系 统 安 全 员 或 系 统 自 动 地 按 照 确 定 的 规 则进 行 设 置 和 维 护 。GB/T 20271 2006， 定 义 3.1.173.2.1

19、2弱 口 令 weak password过 于 简 单 或 非 常 容 易 被 破 解 的 口 令 或 密 码 。 3.2.13可 信 路 径 trusted path为 实 现 用 户 与 SSF之 间 的 可 信 通 信 ， 在 SSF与 用 户 之 间 建 立 和 维 护 的 保 护 通 信 数 据 免 遭 修 改 和 泄 漏 的通 信 路 径 。 JR/T 0071.1 2020 4 GB/T 20271 2006， 定 义 3.1.203.2.14公 开 用 户 数 据 published user data信 息 系 统 中 需 要 向 所 有 用 户 公 开 的 数 据 。 该

20、类 数 据 需 要 进 行 完 整 性 保 护 。GB/T 202712006， 定 义 3.1.213.2.15内 部 用 户 数 据 internal user data信 息 系 统 中 具 有 一 般 使 用 价 值 或 保 密 程 度 ， 需 要 进 行 一 定 保 护 的 用 户 数 据 。 该 类 数 据 的 泄 漏 或 破 坏 ，会 带 来 一 定 的 损 失 。GB/T 20271 2006， 定 义 3.1.22 3.2.16重 要 用 户 数 据 important user data信 息 系 统 中 具 有 重 要 使 用 价 值 或 保 密 程 度 ， 需 要 进

21、行 重 点 保 护 的 用 户 数 据 ， 该 类 数 据 的 泄 露 或 破 坏 ，会 带 来 较 大 的 损 失 。GB/T 20271 2006， 定 义 3.1.233.2.17关 键 用 户 数 据 key user data信 息 系 统 中 具 有 很 高 使 用 价 值 或 保 密 程 度 ， 需 要 进 行 特 别 保 护 的 用 户 数 据 ， 该 类 数 据 的 泄 漏 或 破 坏 ，会 带 来 重 大 损 失 。GB/T 20271 2006， 定 义 3.1.243.2.18 核 心 用 户 数 据 nuclear user data信 息 系 统 中 具 有 最 高

22、 使 用 价 值 或 保 密 程 度 ， 需 要 进 行 绝 对 保 护 的 用 户 数 据 ， 该 类 数 据 的 泄 漏 或 破 坏 ，会 带 来 灾 难 性 损 失 。GB/T 20271 2006， 定 义 3.1.253.2.19设 备 物 理 安 全 facility physical security为 保 证 信 息 系 统 的 安 全 可 靠 运 行 ， 降 低 或 阻 止 人 为 或 自 然 因 素 对 硬 件 设 备 安 全 可 靠 运 行 带 来 的 安 全风 险 ， 对 硬 件 设 备 及 部 件 所 采 取 的 适 当 安 全 措 施 。GB/T 21052 200

23、7， 定 义 3.33.2.20环 境 物 理 安 全 environment physical security 为 保 证 信 息 系 统 的 安 全 可 靠 运 行 所 提 供 的 安 全 运 行 环 境 ， 使 信 息 系 统 得 到 物 理 上 的 严 密 保 护 ， 从 而降 低 或 避 免 各 种 安 全 风 险 。GB/T 21052 2007， 定 义 3.4 JR/T 0071.1 2020 5 3.2.21系 统 物 理 安 全 system physical security为 保 证 信 息 系 统 的 安 全 可 靠 运 行 ， 降 低 或 阻 止 人 为 或 自

24、然 因 素 从 物 理 层 面 对 信 息 系 统 保 密 性 、 完 整性 、 可 用 性 带 来 的 安 全 威 胁 ， 从 系 统 的 角 度 采 取 的 适 当 安 全 措 施 。GB/T 21052 2007， 定 义 3.53.2.22容 错 tolerance通 过 一 系 列 内 部 处 理 措 施 ， 将 软 、 硬 件 所 出 现 的 错 误 消 除 掉 ， 确 保 出 错 情 况 下 信 息 系 统 安 全 子 系 统所 提 供 的 安 全 功 能 的 有 效 性 和 可 用 性 。GB/T 20271 2006， 定 义 3.1.263.2.23 云 计 算 cloud

25、 computing通 过 网 络 访 问 可 扩 展 的 、 灵 活 的 物 理 或 虚 拟 共 享 资 源 池 ， 并 按 需 自 助 获 取 和 管 理 资 源 的 模 式 。注 ： 资 源 实 例 包 括 服 务 器 、 操 作 系 统 、 网 络 、 软 件 、 应 用 和 存 储 设 备 等 。GB/T 31167 2014， 定 义 3.13.2.24灾 难 备 份 backup for disaster recovery为 了 灾 难 恢 复 而 对 数 据 、 数 据 处 理 系 统 、 网 络 系 统 、 基 础 设 施 、 专 业 技 术 支 持 能 力 和 运 行 管

26、理 能 力进 行 备 份 的 过 程 。GB/T 20988 2007， 定 义 3.23.2.25灾 难 备 份 中 心 backup center for disaster recovery 用 于 灾 难 发 生 后 接 替 主 系 统 进 行 数 据 处 理 和 支 持 关 键 业 务 功 能 运 作 的 场 所 ， 可 提 供 灾 难 备 份 系 统 、备 用 的 基 础 设 施 和 专 业 技 术 支 持 及 运 行 维 护 管 理 能 力 ， 此 场 所 内 或 周 边 可 提 供 备 用 的 生 活 设 施 。GB/T 20988 2007， 定 义 3.13.2.26业 务

27、影 响 分 析 business impact analysis； BIA分 析 业 务 功 能 及 其 相 关 信 息 系 统 资 源 、 评 估 特 定 灾 难 对 各 种 业 务 功 能 的 影 响 的 过 程 。GB/T 20988 2007， 定 义 3.53.2.27灾 难 恢 复 预 案 disaster recovery plan定 义 信 息 系 统 灾 难 恢 复 过 程 中 所 需 的 任 务 、 行 动 、 数 据 和 资 源 的 文 件 。 用 于 指 导 相 关 人 员 在 预 定 的灾 难 恢 复 目 标 内 恢 复 信 息 系 统 支 持 的 关 键 业 务 功

28、 能 。 GB/T 20988 2007， 定 义 3.103.2.28 JR/T 0071.1 2020 6 灾 难 恢 复 能 力 disaster recovery capability在 灾 难 发 生 后 利 用 灾 难 恢 复 资 源 和 灾 难 恢 复 预 案 及 时 恢 复 和 继 续 运 作 的 能 力 。GB/T 20988 2007， 定 义 3.123.2.29演 练 exercise为 训 练 人 员 和 提 高 灾 难 恢 复 能 力 而 根 据 灾 难 恢 复 预 案 进 行 活 动 的 过 程 。 包 括 桌 面 演 练 、 模 拟 演 练 、重 点 演 练 和

29、 完 整 演 练 等 。GB/T 20988 2007， 定 义 3.133.2.30恢 复 时 间 目 标 recovery time objective； RTO灾 难 发 生 后 ， 信 息 系 统 或 业 务 功 能 从 停 顿 到 必 须 恢 复 的 时 间 要 求 。 GB/T 20988 2007， 定 义 3.183.2.31恢 复 点 目 标 recovery point objective； RPO灾 难 发 生 后 ， 系 统 和 数 据 必 须 恢 复 到 的 时 间 点 要 求 。GB/T 20988 2007， 定 义 3.193.2.32审 计 audit为 获

30、得 审 计 证 据 并 对 其 进 行 客 观 的 评 价 ， 以 确 定 满 足 审 计 准 则 的 程 度 所 进 行 的 系 统 的 、 独 立 的 并 形成 文 件 的 过 程 。3.2.33 审 计 准 则 audit criteria审 计 人 员 进 行 审 计 工 作 时 必 须 遵 循 的 行 为 规 范 ， 是 审 计 人 员 执 行 审 计 业 务 、 获 取 审 计 证 据 、 形 成 审计 结 论 、 出 具 审 计 报 告 的 标 准 。3.2.34审 计 证 据 audit evidence审 计 人 员 表 示 审 计 意 见 和 作 出 审 计 结 论 所 必

31、 须 具 备 的 依 据 。3.2.35审 计 发 现 audit finding将 收 集 到 的 审 计 证 据 对 照 审 计 准 则 进 行 评 价 的 结 果 。3.2.36 审 计 结 论 audit conclusion审 计 组 综 合 审 计 目 的 和 所 有 审 计 发 现 后 得 出 的 审 计 结 果 。3.2.37 JR/T 0071.1 2020 7 审 计 人 员 auditor有 能 力 实 施 审 计 的 人 员 。3.2.38审 计 组 audit team实 施 审 计 的 一 名 或 多 名 审 计 人 员 ， 需 要 时 ， 由 技 术 专 家 提

32、供 支 持 。3.2.39技 术 专 家 technical expert向 审 计 组 提 供 特 定 知 识 或 技 术 的 人 员 。3.2.40审 计 计 划 audit plan 内 部 审 计 机 构 和 人 员 为 完 成 审 计 业 务 ， 达 到 预 期 的 审 计 目 的 ， 对 一 段 时 期 的 审 计 工 作 任 务 或 具 体 审计 项 目 作 出 的 事 先 规 划 。3.2.41审 计 范 围 audit scope审 计 的 内 容 和 界 限 。3.2.42审 计 机 构 audit part实 施 审 计 的 部 门 或 单 位 。3.3 安 全 管 理

33、类3.3.1 安 全 审 计 security audit按 确 定 规 则 的 要 求 ， 对 与 安 全 相 关 的 事 件 进 行 审 计 ， 以 日 志 方 式 记 录 必 要 信 息 ， 并 作 出 相 应 处 理 的安 全 机 制 。GB/T 20269 2006， 定 义 3.43.3.2鉴 别 信 息 authentication information用 以 确 认 身 份 真 实 性 的 信 息 。GB/T 20269 2006， 定 义 3.53.3.3敏 感 性 sensitivity表 征 资 源 价 值 或 重 要 性 的 特 性 ， 也 可 能 包 含 这 一 资

34、 源 的 脆 弱 性 。 GB/T 20269 2006， 定 义 3.63.3.4 JR/T 0071.1 2020 8 安 全 策 略 security policy主 要 指 为 信 息 系 统 安 全 管 理 制 定 的 行 动 方 针 、 路 线 、 工 作 方 式 、 指 导 原 则 或 程 序 。GB/T 20269 2006， 定 义 3.83.3.5资 产 价 值 asset value资 产 的 重 要 程 度 或 敏 感 程 度 的 表 征 。 资 产 价 值 是 资 产 的 属 性 ， 也 是 进 行 资 产 识 别 的 主 要 内 容 。GB/T 20984 2007

35、， 定 义 3.23.3.6业 务 战 略 business strategy组 织 为 实 现 其 发 展 目 标 而 制 定 的 一 组 规 则 或 要 求 。GB/T 20984 2007， 定 义 3.4 3.3.7机 密 性 confidentiality数 据 所 具 有 的 特 性 ， 即 表 示 数 据 所 达 到 的 未 提 供 或 未 泄 露 给 非 授 权 的 个 人 、 过 程 或 其 他 实 体 的 程 度 。GB/T 20984 2007， 定 义 3.53.3.8完 整 性 integrity保 证 信 息 及 信 息 系 统 不 会 被 非 授 权 更 改 或

36、破 坏 的 特 性 。 包 括 数 据 完 整 性 和 系 统 完 整 性 。GB/T 20984 2007， 定 义 3.103.3.9可 用 性 availability 数 据 或 资 源 的 特 性 ， 被 授 权 实 体 按 要 求 能 访 问 和 使 用 数 据 或 资 源 。GB/T 20984 2007， 定 义 3.33.3.10威 胁 threat可 能 导 致 对 系 统 或 组 织 危 害 的 不 希 望 事 故 潜 在 起 因 。GB/T 20984 2007， 定 义 3.173.3.11脆 弱 性 vulnerability可 能 被 威 胁 所 利 用 的 资

37、产 或 若 干 资 产 的 薄 弱 环 节 。GB/T 20984 2007， 定 义 3.18 3.3.12风 险 risk某 种 威 胁 存 在 利 用 一 种 资 产 或 若 干 资 产 的 脆 弱 性 使 这 些 资 产 损 失 或 破 坏 的 可 能 性 。 JR/T 0071.1 2020 9 GB/T 20282 2006， 定 义 3.53.3.13信 息 安 全 风 险 information security risk人 为 或 自 然 的 威 胁 利 用 信 息 系 统 及 其 管 理 体 系 中 存 在 的 脆 弱 性 导 致 安 全 事 件 的 发 生 及 其 对 组

38、 织 造成 的 影 响 。GB/T 20984 2007， 定 义 3.63.3.14风 险 评 估 risk assessment通 过 对 信 息 系 统 的 资 产 价 值 /重 要 性 、 信 息 系 统 所 受 到 的 威 胁 以 及 信 息 系 统 的 脆 弱 性 进 行 综 合 分 析 ，对 信 息 系 统 及 其 处 理 、 传 输 和 存 储 的 信 息 的 保 密 性 、 完 整 性 和 可 用 性 等 进 行 科 学 识 别 和 评 价 ， 确 定 信 息系 统 安 全 风 险 的 过 程 。 GB/T 20269 2006， 定 义 3.73.3.15残 余 风 险 r

39、esidual risk采 取 了 安 全 措 施 后 ， 信 息 系 统 仍 然 可 能 存 在 的 风 险 。GB/T 20984 2007， 定 义 3.123.3.16检 查 评 估 inspection assessment由 被 评 估 组 织 的 上 级 主 管 机 关 或 业 务 主 管 机 关 发 起 的 ， 依 据 国 家 有 关 法 规 与 标 准 ， 对 信 息 系 统 及 其管 理 进 行 的 具 有 强 制 性 的 检 查 活 动 。GB/T 20984 2007， 定 义 3.9 3.3.17组 织 organization由 作 用 不 同 的 个 体 为 实

40、施 共 同 的 业 务 目 标 而 建 立 的 结 构 。 一 个 单 位 是 一 个 组 织 ， 某 个 业 务 部 门 也 可以 是 一 个 组 织 。GB/T 20984 2007， 定 义 3.113.3.18自 评 估 self-assessment由 组 织 自 身 发 起 ， 依 据 国 家 有 关 法 规 与 标 准 ， 对 信 息 系 统 及 其 管 理 进 行 的 风 险 评 估 活 动 。GB/T 20984 2007， 定 义 3.133.3.19 安 全 事 件 security incident指 系 统 、 服 务 或 网 络 的 一 种 可 识 别 状 态 的

41、发 生 ， 其 可 能 是 对 信 息 安 全 策 略 的 违 反 或 防 护 措 施 的 失 效 ，或 未 预 知 的 不 安 全 状 况 。注 ： 改 写 GB/T 20984 2007， 定 义 3.14。 JR/T 0071.1 2020 10 3.3.20安 全 措 施 security measure保 护 资 产 、 抵 御 威 胁 、 减 少 脆 弱 性 、 降 低 安 全 事 件 的 影 响 ， 以 及 打 击 信 息 犯 罪 而 实 施 的 各 种 实 践 、规 程 和 机 制 。GB/T 20984 2007， 定 义 3.153.3.21安 全 需 求 security

42、 requirement使 设 备 、 信 息 、 应 用 及 设 施 符 合 安 全 策 略 的 要 求 而 需 要 采 取 的 保 护 类 型 及 保 护 等 级 。3.3.22业 务 连 续 管 理 business continuity management； BCM 为 保 护 组 织 的 利 益 、 声 誉 、 品 牌 和 价 值 创 造 活 动 ， 找 出 对 组 织 有 潜 在 影 响 的 威 胁 ， 提 供 建 设 组 织 有效 反 应 恢 复 能 力 的 框 架 的 整 体 管 理 过 程 。 包 括 组 织 在 面 临 灾 难 时 对 恢 复 或 连 续 性 的 管 理

43、， 以 及 为 保 证 业务 连 续 计 划 或 灾 难 恢 复 预 案 的 有 效 性 的 培 训 、 演 练 和 检 查 的 全 部 过 程 。GB/T 20988 2007， 定 义 3.44 金 融 行 业 网 络 安 全 等 级 保 护 基 础4.1 金 融 行 业 网 络 安 全 等 级 保 护根 据 网 络 安 全 等 级 保 护 对 象 在 国 家 安 全 、 经 济 建 设 、 社 会 生 活 中 的 重 要 程 度 ， 遭 到 破 坏 后 对 国 家 安全 、 社 会 秩 序 、 公 共 利 益 以 及 公 民 、 法 人 和 其 他 组 织 的 合 法 权 益 的 危 害

44、 程 度 ， 将 等 级 保 护 对 象 划 分 为 不同 的 安 全 保 护 等 级 并 对 其 实 施 不 同 的 保 护 和 监 管 。4.2 金 融 行 业 网 络 安 全 等 级 保 护 工 作 的 主 要 内 容 根 据 国 家 网 络 安 全 等 级 保 护 管 理 办 法 要 求 ， 在 金 融 行 业 开 展 网 络 安 全 等 级 保 护 工 作 ， 主 要 内 容 应 该包 括 ：a) 金 融 行 业 系 统 分 等 级 进 行 安 全 保 护 和 监 管 。 具 体 包 括 定 级 、 备 案 、 安 全 建 设 整 改 、 测 评 、 监 督检 查 。b) 金 融 行

45、 业 网 络 安 全 产 品 分 等 级 使 用 管 理 。c) 金 融 行 业 网 络 安 全 事 件 分 等 级 响 应 、 处 置 等 。4.3 金 融 行 业 网 络 安 全 等 级 保 护 实 施 基 本 原 则根 据 相 关 政 策 要 求 ， 网 络 安 全 等 级 保 护 坚 持 “ 谁 主 管 、 谁 负 责 ， 谁 经 营 、 谁 负 责 ， 谁 建 设 、 谁 负 责 ，谁 使 用 、 谁 负 责 ” 的 基 本 原 则 。金 融 行 业 网 络 安 全 等 级 保 护 对 象 的 建 设 和 使 用 单 位 应 依 照 网 络 安 全 等 级 保 护 管 理 规 定 和

46、 技 术 标 准 ，根 据 其 单 位 在 国 民 经 济 和 社 会 发 展 中 的 地 位 作 用 、 系 统 依 赖 程 度 和 重 要 程 度 、 信 息 内 容 或 数 据 的 重 要 程度 、 系 统 遭 到 攻 击 破 坏 后 造 成 的 危 害 程 度 等 因 素 ， 科 学 、 准 确 地 设 定 其 安 全 保 护 等 级 ， 开 展 网 络 安 全 等 级 保 护 工 作 和 制 度 建 设 ， 落 实 安 全 管 理 措 施 和 相 关 责 任 。 金 融 领 域 和 金 融 重 点 等 级 保 护 对 象 的 上 级 主 管部 门 要 对 所 属 对 象 的 安 全 负 起 领 导 和 管 理 责 任 ， 提 高 自 主 管 理 、 自 我 保 护 能 力 。4.4 金 融 行 业 网 络 安 全 等 级 保 护 监 管 要 求 JR/T 0071.1 2020 11 根 据 国 家 网 络 安 全 等 级 保 护 管 理 办 法 要 求 ， 网 络 安 全 等 级 保 护 实 行 “ 国 家 主 导 、 重 点 单 位 强 制 、 一般 单 位 自 愿 ， 高 保 护 级 别 强 制 、 低 保 护 级 别 自 愿 ” 的 监 管 原 则 。金 融 行 业 的 重 要 等 级 保 护 对 象 应 按 照 国 家 有 关 法