ICS 03.060 A 11 JR 中 华 人 民 共 和 国 金 融 行 业 标 准 JR/T 0073—2012 金融行业信息安全等级保护测评服务安全 指引 Testing and evaluation service security guide for classified protection of information security of financial industry 2012-07-06 发布 2012-07-06 实施 中国人民银行 发布 JR/T 0073—2012 目 次 前 言.............................................................................. II 引 言............................................................................. III 1 范围 ................................................................................. 1 2 规范性引用文件 ....................................................................... 1 3 资质能力要求 ......................................................................... 1 4 测评过程要求 ......................................................................... 2 参考文献............................................................................... 5 I JR/T 0073—2012 前 言 本标准是“金融行业信息系统等级保护”系列标准中的第三项标准。该系列标准的结构及名称如下： 金融行业信息系统信息安全等级保护实施指引 金融行业信息系统信息安全等级保护测评指南 金融行业信息安全等级保护测评服务安全指引 本标准按照GB/T 1.1-2009给出的规则起草。 本标准由中国人民银行提出。 本标准由全国金融标准化技术委员会归口。 本标准负责起草单位：中国人民银行科技司。 本标准参加起草单位：中国金融电子化公司。 本标准主要起草人：王永红、王小青、张永福、王晓燕、王海涛、杨剑、白智勇、沈力克、徐明 本标准为首次发布。 II JR/T 0073—2012 引 言 金融行业重要的信息系统关系到国计民生，是国家信息安全重点保护对象，因此金融行业是落实和 实施信息安全等级保护的重点行业之一。由于金融行业的信息系统多是技术密集、资金密集、大型复杂、 网络化的人机系统，所以针对金融行业开展信息系统的信息安全等级保护测评，需要一批对金融行业业 务系统有一定了解，并具有较强技术能力的测评机构来进行测评；金融行业定级为三级或四级的信息系 统都是关系到国计民生的重要系统，有效规避等级保护测评工作中存在的风险，对保障金融行业重要信 息系统的安全稳定运行，以及国计民生的稳定都具有重要意义。因此，对测评机构的约束与规范化，是 在金融行业实施等级保护的重要一环。 为此，中国人民银行特制定《金融行业信息安全等级保护测评服务安全指引》 （以下简称《安全指 引》 ） ，以明确金融行业等级保护测评服务机构安全、人员安全、过程安全、测评对象安全、工具安全等 方面的基本要求，指导等级保护测评机构在金融机构开展的信息系统安全等级保护测评工作。 III JR/T 0073—2012 金融行业信息安全等级保护测评服务安全指引 1 范围 本标准总结了金融行业应用系统多年的安全需求和业务特点，并参考国际、国内相关信息安全标准 及行业标准，明确等级保护测评服务机构安全、人员安全、过程安全、测评对象安全、工具安全等方面 的基本要求。 本标准适用于信息安全职能部门对从事金融行业信息系统开展信息安全等级保护测评的第三方机 构（以下简称测评机构）和人员及其测评活动的监督管理。 2 规范性引用文件 下列文件对于本文件的应用是比不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的文件，其最新版本(包括所有的修改单)适用于本文件。 公通字〔2007〕43 号 信息安全等级保护管理办法 3 资质能力要求 3.1 测评机构资质要求 从事金融行业信息系统信息安全等级保护测评的第三方机构其机构资质应具备并符合以下要求： a) 具有公安部认可的信息安全等级保护测评资质，并在公安部等级保护测评机构推荐目录中； b) 产权关系明晰，注册资金不低于 500 万元人民币； c) 具有中国合格评定国家认可委员会（CNAS）实验室或检查机构认可证书； d) 具有 2 年以上信息系统安全测评工作经验，且最近 1 年内至少从事过 1 次金融机构的信息系统 安全测评工作； e) 最近 5 年内在测评工作中无法律纠纷，违规记录，无重大信息安全泄露事件及其他重大安全事 件等不良记录； f) 测评机构人员学历比重应为本科（含）以上学历所占比例不低于 60%； g) 测评机构人员规模应不少于 30 人，且具有满足等级测评工作的专业技术人员和管理人员不少 于 20 人，测评技术人员不少于 15 人。 3.2 测评机构管理要求 从事金融行业信息系统信息安全等级保护测评的第三方机构其机构管理应具备并符合以下要求： a) 测评机构及其测评人员应当严格执行有关国家信息安全等级保护相关标准和金融行业有关规 定，提供客观、公平、公正、有效的等级保护测评服务，并承担相应的法律责任； b) 应具备能够保证其公正性、独立性的质量体系，确保测评活动不受任何可能影响测评结果的商 业、财务等方面的压力； c) 测评机构的岗位配置要至少配置测评技术员、项目经理、技术主管、质量主管、保密安全员和 档案管理员，其中项目经理、技术主管、质量主管、保密安全员和档案管理员应独立配置，不 能有兼任的情况； d) 测评机构在对被测评单位开展等级保护测评服务之前需与被测评单位签订保密协议，测评过程 中向被测评单位借阅的文档资料应在测评工作结束后全部归还被测评单位，未经被测评单位允 许，不得擅自复制、保留。 1 JR/T 0073—2012 3.3 测评人员要求 从事金融行业信息系统信息安全等级保护测评的第三方机构其测评人员应具备并符合以下要求： a) 开展金融行业等级保护测评工作的人员仅限于中华人民共和国境内的中国公民，且无犯罪记 录； b) 开展金融行业等级保护测评工作的人员应由参加公安部举办的信息安全等级保护测评人员培 训、考试，并取得公安部信息安全等级保护评估中心颁发的等级测评师证书（等级测评人员分 为初级、中级和高级）的人员组成； c) 开展金融行业等级保护测评工作的人员应具备从事信息系统安全测评相关工作三年以上工作 经验，开展等级保护测评工作不少于一年，参与金融行业信息安全测评项目不少于两个； d) 测评技术人员针对网络、安全方面应至少两人持有相关技术资格证书； e) 测评项目组人员在对被测评单位开展等级保护测评工作之前需与被测评单位签订保密协议。 3.4 测评工具要求 a) 采用的测评工具必须获得正版授权，并在有效期内，不得使用盗版软件； b) 采用的测评工具在功能、性能等满足使用要求前提下，应优先采用具有国内自主知识产权的同 类产品； c) 采用的测评工具的生产商应为正规厂商，具有一定的研发和服务能力，能够对产品进行持续更 新并提供质量和安全保障； d) 测评机构所使用的测评工具不会对系统产生破坏或负面影响。 4 测评过程要求 4.1 测评过程机构要求 从事金融行业信息系统信息安全等级保护测评的第三方机构可以从事等级测评活动以及信息系统 安全等级保护定级、安全建设整改、信息安全等级保护宣传教育等工作的技术支持。但不得从事下列活 动： a) 泄露知悉的被测评单位及被测评信息系统的国家秘密和工作秘密； b) 非授权占有、使用等级测评相关资料及数据文件； c) 分包或转包等级测评项目； d) 信息安全产品开发、销售和信息系统安全集成； e) 要求被测机构购买、使用其指定的信息安全产品。 4.2 测评过程人员行为要求 从事金融行业信息系统信息安全等级保护测评活动的测评人员，不得从事下列活动： a) 影响被测信息系统正常运行，危害被测信息系统安全； b) 泄露知悉的被测机构及被测信息系统的国家秘密和工作秘密； c) 测评人员未经授权不得将涉密文档带离现场； d) 测评人员未经允许不得对被测系统进行任何操作； e) 故意隐瞒测评过程中发现的安全问题，或者在测评过程中弄虚作假，未如实出具等级测评报告； f) 未按等级保护相关要求规定格式出具等级测评报告； g) 非授权占有、使用等级测评相关资料及数据文件； h) 其他危害国家安全、社会秩序、公共利益以及被测机构利益的活动。测评过程管理要求 4.3 测评过程管理要求 4.3.1 文档管理要求 测评方案、测评记录、测评报告等测评文档的产生都离不开被测机构的关键或敏感信息，对于金融 机构而言，这些信息对于其系统运行、业务运作异常重要，保密性要求高。因此，测评文档安全在测评 过程中应予以高度关注。所有测评人员应遵照以下保密性要求，对测评文档实施保护，包括但不限于下 2 JR/T 0073—2012 列措施： a) 测评人员应在非联网计算机中编制测评文档，测评文档和相关信息均不得存放于联网计算机 中； b) 用于存放编制测评文档的机器应为专用机器，禁止 U 口使用，同被测评机构交换文档可通过内 部网络传输； c) 编制好的测评文档只能用于被测机构，禁止将被测机构测评文档用于其它机构或其他用途； d) 测评完成后的测评文档应保存于测评机构的专用服务器中，并设置访问控制策略，未授权人员 禁止访问； e) 测评文档删除时，应采取安全重写方式进行删除；存放测评文档的存储介质在报废时，必须用 专业的数据清除工具将介质上的所有数据进行清除，在旧数据被确认清除不可恢复之后，才能 进行报废处置。 4.3.2 测评对象管理要求 测评机构在对实施信息安全等级保护测评服务过程中可能使被测评对象面临安全风险，在测评实施 过程中，必须要保证测评对象的安全，主要保证业务信息安全、系统服务安全和物理环境安全。 4.3.2.1 业务信息安全管理要求 为保证被测评对象的业务信息安全，测评机构在测评实施过程中和测评实施结束后，应遵守以下要 求： a)