返回
附件3 金融行业信息安全等保护测评服务安全指引(报批

附件3 金融行业信息安全等保护测评服务安全指引(报批

ID:25188572

大小:80.50 KB

页数:9页

时间:2018-11-18

附件3 金融行业信息安全等保护测评服务安全指引(报批_第1页
附件3 金融行业信息安全等保护测评服务安全指引(报批_第2页
附件3 金融行业信息安全等保护测评服务安全指引(报批_第3页
附件3 金融行业信息安全等保护测评服务安全指引(报批_第4页
附件3 金融行业信息安全等保护测评服务安全指引(报批_第5页
资源描述:

《附件3 金融行业信息安全等保护测评服务安全指引(报批》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、JR/T××××—2008中国人民银行发布××××-××-××实施××××-××-××发布金融行业信息安全等级保护测评服务安全指引Testingandevaluationservicesecurityguideforclassifiedprotectionofinformationsecurityoffinancialindustry(报批稿)(本稿完成日期:2012年5月)JR/T××××—××××JR中华人民共和国金融行业标准ICS03.060A11备案号:1JR/T××××—××××目次前言II引言III1范围12规范性引用文件13资质能力要求14测评过

2、程要求2IIJR/T××××—××××前言本标准由中国人民银行提出。本标准由全国金融标准化技术委员会归口。本标准负责起草单位:中国人民银行科技司。本标准参加起草单位:中国金融电子化公司。本标准主要起草人:王永红王小青张永福王晓燕王海涛杨剑沈力克白智勇徐明许自强郑凯一仇宁宁李凡叶强林陈广辉赵义斌杨英周庆斌本标准为首次制定。IIJR/T××××—××××引言金融行业重要的信息系统关系到国计民生,是国家信息安全重点保护对象,因此金融行业是落实和实施信息安全等级保护的重点行业之一。由于金融行业的信息系统多是技术密集、资金密集、大型复杂、网络化的人机系统,所以针对金融行

3、业开展信息系统的信息安全等级保护测评,需要一批对金融行业业务系统有一定了解,并具有较强技术能力的测评机构来进行测评;金融行业定级为三级或四级的信息系统都是关系到国计民生的重要系统,有效规避等级保护测评工作中存在的风险,对保障金融行业重要信息系统的安全稳定运行,以及国计民生的稳定都具有重要意义。因此,对测评机构的约束与规范化,是在金融行业实施等级保护的重要一环。人民银行作为金融行业的信息安全主管部门(国务院2008年批复的人民银行三定方案中新增的职责之一),有对金融行业的信息安全工作做出指导的义务和职责,因此在推进金融行业等级保护工作中也具有义不容辞的责任。为此

4、,中国人民银行特制定《金融行业信息安全等级保护测评服务安全指引》(以下简称《安全指引》)的行业标准,以明确等级保护测评服务机构安全、人员安全、过程安全、测评对象安全、工具安全等方面的基本要求,指导监督等级保护测评机构在金融机构开展的信息系统安全等级保护测评工作。IIIJR/T××××—××××信息系统安全等级保护测评服务安全指引1 范围本指引适用于中国人民银行对从事金融行业信息系统开展信息安全等级保护测评的第三方机构(以下简称测评机构)和人员及其测评活动的监督管理。2 规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件,其

5、随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本标准。GB/T22239-2008信息系统安全等级保护基本要求GB/T25070-2010信息系统等级保护安全设计技术要求GB/T22240-2008信息系统安全等级保护定级指南公通字〔2007〕43号信息安全等级保护管理办法3 资质能力要求3.1 测评机构资质要求从事金融行业信息系统信息安全等级保护测评的第三方机构其机构资质应具备并符合以下要求:a)具有公安部认可的信息安全等级保护测评资质

6、,并在公安部等级保护测评机构推荐目录中;b)产权关系明晰,注册资金不低于500万元人民币;c)具有中国合格评定国家认可委员会(CNAS)实验室或检查机构认可证书;d)具有2年以上信息系统安全测评工作经验,且最近1年内至少从事过1次金融机构的信息系统安全测评工作;e)最近5年内在测评工作中无法律纠纷,违规记录,无重大信息安全泄露事件及其他重大安全事件等不良记录;f)测评机构人员学历比重应为本科(含)以上学历所占比例不低于60%;g)测评机构人员规模应不少于30人,且具有满足等级测评工作的专业技术人员和管理人员不少于20人,测评技术人员不少于15人;h)满足以上条

7、件的从事金融行业等保测评的测评机构应在中国人民银行进行备案。3.2 测评机构管理要求从事金融行业信息系统信息安全等级保护测评的第三方机构其机构管理应具备并符合以下要求:a)测评机构及其测评人员应当严格执行有关国家信息安全等级保护相关标准和金融行业有关规定,提供客观、公平、公正、有效的等级保护测评服务,并承担相应的法律责任;b)应具备能够保证其公正性、独立性的质量体系,确保测评活动不受任何可能影响测评结果的商业、财务等方面的压力;c)测评机构的岗位配置要至少配置测评技术员、项目经理、技术主管、质量主管、保密安全员和档案管理员,其中项目经理、技术主管、质量主管、保

8、密安全员和档案管理员应独立配置,不能有

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。