一、背景及意义

网络安全等级保护是国家网络安全保障工作的一项基本制度，金融行业重要系统关系到国计民生，是国家网络安全重点保护对象，因此需要一系列适合金融行业的等级保护标准体系作为支撑，以规范和指导金融行业等级保护工作的实施。随着云计算、移动互联、物联网、大数据等新技术的广泛应用，金融机构正根据自身发展的需要，持续推进IT架构的转型。为适应新技术、新应用和新架构情况下金融行业网络安全等级保护工作的开展，对JR/T 0071进行修订。修订后的JR/T 0071依据国家网络安全等级保护相关要求，为金融行业的网络安全建设提供方法论、具体的建设措施及技术指导，完善金融行业网络安全等级保护体系，更好适应新技术在金融行业的应用。

二、修订原则

本标准的编制遵循以下原则：

（一） 与国家标准保持一致性

本标准严格按照GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》、GB/T 25070-2019《信息安全技术网络安全等级保护安全设计技术要求》、GB/T 22240-2019 《信息安全技术网络安全等级保护定级指南》、GB/T 35274-2017《信息安全技术大数据服务安全能力要求》及GB/T 1.1-2000 《标准化工作导则第1部分：标准的结构和起草规则》等相关标准开展规范的编制工作，确保标准的规范性、易用性与可读性，保持了与国家标准的高度一致性。

（二）  继承与发展

本标准参考人民银行等级保护规范等一行二会相关制度标准，结合行业实际情况，根据金标委成员单位反馈意见，结合国家《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）的内容，在《金融行业信息系统信息安全等级保护实施指引》(JR/T 0071-2012)基础上完善了二级、三级和四级安全保护要求项中的金融行业增强安全要求（F类）要求项，同时为了更好适应新技术以及新应用的发展，同时增加了金融云平台、金融移动互联安全、金融物联网、金融大数据平台和金融行业个人信息保护的增强安全要求。

（三） 全面性及实用性

本标准依据国家网络安全等级保护相关要求，总结了金融行业应用系统多年的安全需求和业务特点，并参考国际、国内相关网络安全标准及行业标准，为金融行业的网络安全建设提供方法论、具体的建设措施及技术指导，完善金融行业网络安全等级保护体系，更好适应新技术在金融行业的应用。

三、主要内容

本标准分为以下六部分：

第 1 部分：基础和术语。规定了金融行业网络安全等级保护工作的基础框架和术语定义。

第 2 部分：基本要求。规范了金融行业网络安全保障框架和不同安全等级对应的安全要求。

第 3 部分：岗位能力要求和评价指引。规定了金融机构网络安全岗位设置要求、网络安全岗位能力要求以及网络安全人员能力评价要求。

第 4 部分：培训指引。规定了网络安全培训的培训目标、培训原则、培训计划、培训对象、培训内容要求、培训实施、培训考核和培训档案管理。

第 5 部分：审计要求。规定了金融机构网络安全等级保护工作实施审计的要求。

第 6 部分：审计指引。规定了金融机构网络安全等级保护工作实施审计的指引。

本标准编写结合国家网络安全等级保护基本要求和设计技术等相关标准要求，在《金融行业信息系统信息安全等级保护实施指引》(JR/T 0071-2012)基础上完善了二级、三级和四级安全保护要求项中的实施方法。

四、适用范围

本标准适用于指导金融行业按照等级保护要求进行安全测评和监督管理。

       金融行业网络安全等级保护实施指引+第2部分：基本要求.pdf