查看原文
其他

等保金标又添“新成员”,证券期货业等保标准重磅发布

天融信 2022-08-26

近日,证券业传来重磅消息。国家领导人在2021年中国国际服务贸易交易会上宣布成立北京证券交易所,加强了大家对高精尖中小型企业发展的信心和决心。与此同时,在网络安全方面也有一则重要消息,证监会在2021年8月30日正式发布《证券期货业网络安全等级保护基本要求》、《证券期货业网络安全等级保护测评要求》2项金融行业标准,并于发布当日生效。两则重要消息相继发布,突显了中国证券行业的健康发展需要网络安全的保驾护航。



标准发布背景



随着云计算、大数据等技术的广泛应用,2011年发布的作为证券期货业开展网络安全等级保护工作的指导性文件(证标1.0),已不足以指导当前网络环境下的安全建设。“国标2.0”系列标准于2019年5月正式发布,相应的,“证标1.0”也需要进行调整和完善。因此,在2021年8月30日,证监会正式发布了《证券期货业网络安全等级保护基本要求》(JR/T 0060-2021)、《证券期货业网络安全等级保护测评要求》(JR/T 0067-2021)两项行业标准,进一步落实了证券期货业网络安全等级保护工作的相关要求。


标准描述



标准概况


与“证标1.0”、“国标2.0”、“金标2.0”的关系

以《证券期货业网络安全等级保护基本要求》(JR/T 0060-2021)为例,“证标2.0”标准的整体文档结构与“国标2.0”保持一致,内容上在“国标2.0”的基础上进行条款增强与细化。“证标2.0”发布并实施后,证券期货业机构将优先参考“证标2.0”进行安全建设。


对于“证标1.0”中已增强细化的条款,摘抄出仍然适用于当下的条款项合并至“证标2.0”中(如:继承访问控制增强要求中的“策略控制粒度为端口级”的要求项);删除过时或不再适用的条款项(如:删除物理安全增强要求中,“应利用光、电等技术设置机房防盗报警系统”条款项);新增与当前关注热点或薄弱点相适应的条款项(如:在“身份鉴别”部分提出7条具体的口令设置要求)。“证标2.0”发布并实施后,“证标1.0”同步作废不再参考。

“金标2.0”发布早于“证标2.0”,因此“证标2.0”在修订过程中参考了“金标2.0”,但两个标准各具特色,如:“金标2.0”大篇幅强调了“个人信息保护”,“证标2.0”则未重点提及;“证标2.0”在“关键信息基础设施安全要求”方面作出了强调,“金标2.0”则未提及。“证标2.0”牵头单位为证监会,编写单位以证券期货业机构为主,标准内容聚焦在证券期货业,因此“证标2.0”发布并实施后,证券期货业机构将优先参考“证标2.0”进行安全建设。“国标2.0”、“金标2.0”及“证标2.0”主体目录结构对比如下:



新标准核心特点



与时俱进

立足于移动互联、云计算及大数据等新技术在证券期货行业广泛应用的背景下,新标准在“证标1.0”的基础上,新增对云计算、移动互联、物联网、大数据系统等方面的安全要求,旨在帮助证券期货业应对新场景下的网络安全风险。

等保中首次明确关键信息基础设施防护要求

新标准中增加了“附录I:安全保护等级为第三级的关键信息基础设施应具备的安全要求”,旨在明确等级保护与关键信息基础设施安全之间的关系,实现统一落实安全防护要求。


更加强调落地

相对于“国标2.0”标准相对宽泛的安全要求,新标准更多的参考了证券期货业机构所面临的实际安全问题,安全要求更加具体。新标准在制定过程中邀请了测评机构共同编写,在指导证券期货业机构网络安全建设时,变得更加落地、更易于实施。


指导意义更强

新标准具有证券期货业的行业特色,更能关注行业关切点,安全要求上在身份鉴别机制、安全审计及审计记录保护策略、漏洞风险管理,安全管理制度审定、应急预案管理、开发测试环境安全、外包服务商管理等方面提出了具体要求,从而更具指导意义。



天融信等级保护建设能力



天融信经过多年安全实践,积累了丰富的网络安全等级保护咨询与建设经验,优势总结如下:
 


等级保护工作是国家网络安全的基础性工作。自《网络安全法》发布以来,等级保护工作已经变成网络运营者必须要履行的法律责任。天融信作为国内领先的网络安全、大数据与云服务提供商,将始终以输出自己的安全能力为己任,持续为等级保护工作贡献力量。

相·关·阅·读·


1


政策盘点 | 2021上半年国内网络安全领域重要政策速览


2


标准盘点 | 2021上半年发布的重要网络安全标准速览


3


数据安全建设“六步走”,打造完备数据安全体系


4


《深入推进IPv6规模部署和应用2021年工作安排》解读 


5


解读《个人信息保护法》:为个人信息安全防护构筑坚实的法律基础



热点推荐


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存