等保2.0金融行业标准与国家标准的差异介绍

等保2.0金融行业标准与国家标准的差异介绍

金融行业的网络安全等级保护（简称“等保”）是保障金融信息系统安全的重要措施。2020年11月，中国人民银行正式发布并实施《金融行业网络安全等级保护测评指南》（JRT 0072-2020）和《金融行业网络安全等级保护实施指引》（JRT 0071-2020），标志着金融行业等保正式进入2.0阶段。本文将详细对比金融行业等保2.0标准与国家标准的差异，帮助读者更好地理解金融行业在网络安全方面的特殊要求。

金融行业等保标准发展历程

金融行业等保标准最早于2012年7月10日正式发布。为推动银行业金融机构落实国家等级保护政策要求，人民银行于2012年7月19日发布《中国人民银行关于进一步推进银行业信息安全等级保护工作的通知》，要求各银行业金融机构开展等级保护定级、备案工作，并按照金融行业等保标准以及国家相关标准开展等级保护测评和整改工作。

除了人民银行发布的通知和法规，保险、征信、网络借贷等行业也出台了相应的法律法规，形成了较为完善的金融行业等保标准体系。

金融行业等保2.0标准主要内容

2020年11月1日，中国人民银行发布《金融行业网络安全等级保护实施指引》和《金融行业网络安全等级保护测评指南》系列标准，为金融行业数字化转型提供了网络安全建设的方法论、具体的建设措施及技术指导，完善了金融行业网络安全等级保护体系。

网络安全保障框架

金融行业网络安全保障总体框架包含技术要求、管理要求、技术体系、管理体系四个部分，遵循技管交互、综合保障的原则。

• 技术要求涉及安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五方面要求；
• 管理要求涉及安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理五方面要求；
• 技术体系以“一个中心，三重防护”为核心理念，划分安全计算环境、安全区域边界、安全通信网络与安全管理中心，并且结合金融行业的系统与业务现状，进行分区分域保护；
• 管理体系遵从生命周期法则，从建立、实施和执行、监控和审计、保持和改进四个过程进行科学化的管理，通过循环改进的思路形成“生命环”的管理方法；

安全要求

本部分对第二、三、四级安全要求的具体内容进行了描述。第二、三、四级安全要求均包含安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求四部分。

• 云计算安全扩展要求涉及安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心（第二级安全要求不包含此项）、安全建设管理、安全运维管理；
• 移动互联安全扩展要求涉及安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全建设管理、安全运维管理（第二级安全要求不包含此项）；
• 物联网安全扩展要求涉及安全物理环境、安全区域边界、安全计算环境、安全运维管理；

等保2.0金融行业标准与国家标准的差异

《实施指引》在国标的基础上进行了增强。它整体延续了国标的安全通用要求分类，在“安全管理人员”中增加了“人员考核”，并主要对12个控制点要求进行了加强。

主要差异点

1. 恶意代码和垃圾邮件防范、入侵检测

• 金标第二级增加了国标第三级才会涉及到的安全产品；
• 金标第三级增加了很多近几年金融行业重点采购的安全检测分析类产品和高级安全服务等；
• 金标第四级要求分级管理、逐级分布部署，形成联动防护机制并快速处置。

2. 安全审计

• 金标二级增加了统一时钟要求；
• 金标第三级增加了互联网客户历史登录信息回显；
• 金标四级要求能够及时发现异常登录行为。

3. 数据备份恢复

• 金标第三级增加了全量/增量要求、两地三中心要求、异地灾备要求；
• 金标四级要求完全备份至少保存1个月为期的数据冗余。

4. 个人信息保护

• 金标第三级增加了个人信息收集、传输、存储、使用、删除、销毁等生命周期要求；
• 金标四级与金标三级相同。

5. 系统管理

• 金标第三级增加了配置文件每月/及时备份要求，新增网络设备软件季度检查测试验证升级要求；
• 金标四级要求每月检验网络设备软件版本信息。

6. 审核和检查

• 金标第三级增加了门户网站内容审核、管理、监控机制；
• 新增安全管理处罚细则要求；
• 金标四级与金标三级要求相同。

7. 人员考核

• 金标第三级增加了人员安全技能和安全认知考核要求。
• 金标四级增加保密制度建立、执行检查或考核要求。

8. 自行开发软件

• 金标第三级增加了开发环境，测试环境，实际运行环境分离和敏感数据使用要求；
• 对代码检查提出细致要求。

9. 外包软件开发

• 金标第三级增加了外包服务的日志，控制分包，对外包机构进行安全审计，提交审计报告要求。
• 金标四级增加对外包服务商的细节要求，包括安全审计、监督检查、控制分包和定期开展风险评估等内容。

10. 测试验收

• 金标第三级增加了上线系统试运行时间及测试报告方案等要求；
• 细化安全测试具体内容；
• 对试运行时间、风险分析等作出要求，同时增加测试工作的审批流程。

11. 网络和系统安全管理

• 金标第三级要求每半年一次漏扫；
• 严禁跨境远程连接，控制国内远程访问范围；
• 控制内网占带宽多媒体应用；
• 不得擅自网间互联。

12. 备份与恢复管理

• 金标第三级要求每年应急演练，每三年全面灾备演练；
• 每季度备份数据检查；
• 每年内部灾难恢复工作审计。
• 金标四级要求每年灾难恢复演练。

金融行业定级标准

根据《中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见》（银发【2012】163号），金融行业信息系统安全等级保护主要定级对象分类如下：

应用系统

1. 核心业务信息系统或综合业务信息系统（Y-Ⅰ类）
2. 网上银行系统、重要支撑系统、重要交易系统、重要管理系统及其他运行关键业务或涉及客户身份、资产、交易记录等敏感信息的重要信息系统（Y-Ⅱ类）
3. 部署有应用服务器或者数据服务器的前置系统（Y-Ⅲ类）

生产网络系统

生产网络系统包括网络设备（如交换机、路由器、负载均衡等）、前置中间件设备（如消息队列服务器等）和接入网络的计算机终端，各机构可从以下两种方案中选用一种对生产网络系统进行定级：

1. 方案一：

• 广域网骨干网络（W1-Ⅰ类）
• 机构总部局域网骨干网络（W1-Ⅱ类）
• 分支机构局域网骨干网络（W1-Ⅲ类）

2. 方案二：

• 机构总部骨干网络（W2-Ⅰ类）：含机构总部局域网骨干网络及下联一级分支机构（若有）的广域网骨干网络
• 分支机构骨干网络（W2-Ⅱ类）：含本分支机构局域网骨干网络及下联一级分支机构（若有）的广域网骨干网络

安全等级保护定级建议

1. 机构总部

• 国家开发银行和政策性银行：Y-Ⅰ类、Y-Ⅱ类、W1-Ⅰ类、W1-Ⅱ类、W2-Ⅰ类均为第三级
• 国有商业银行、全国性股份制商业银行和中国邮政储蓄银行：Y-Ⅰ类为第四级，Y-Ⅱ类、W1-Ⅰ类、W1-Ⅱ类、W2-Ⅰ类均为第三级
• 城市商业银行、农村商业银行、农村合作银行和农村信用社：
• 营业网点跨省（自治区、直辖市）：Y-Ⅰ类、Y-Ⅱ类、W1-Ⅰ类、W1-Ⅱ类、W2-Ⅰ类均为第三级
• 营业网点限于省（自治区、直辖市）内：Y-Ⅱ类、W1-Ⅰ类、W1-Ⅱ类、W2-Ⅰ类均为第二级

2. 分支机构

• 国家开发银行和政策性银行：一级及以下分支机构的Y-Ⅲ类、W1-Ⅲ类、W2-Ⅱ类均为第二级
• 国有商业银行、全国性股份制商业银行和中国邮政储蓄银行：
• 一级分支机构：Y-Ⅲ类、W1-Ⅲ类、W2-Ⅱ类均为第三级
• 二级及以下分支机构：Y-Ⅲ类、W1-Ⅲ类、W2-Ⅱ类均为第二级
• 城市商业银行、农村商业银行、农村合作银行和农村信用社：一级及以下分支机构的Y-Ⅲ类、W1-Ⅲ类、W2-Ⅱ类均为第二级

注：

1. 国有商业银行、全国性股份制商业银行和中国邮政储蓄银行的一级分支机构如采取多个接入渠道开展业务从而降低对单个Y-Ⅲ类信息系统依赖，其Y-Ⅲ类信息系统可在分支机构信息系统安全等级保护建议表的基础上降低一级
2. 仅在辖区内部署接入终端的分支机构，可不为其Y-Ⅲ类、W1-Ⅲ类或W2-Ⅱ类系统定级