去年11月，中國人民銀行正式批準發(fā)布金融行業(yè)標準《金融行業(yè)安全等級保護實施指引》。這也是繼等保2.0國家標準體系后首個更新的行業(yè)等級保護，為國家金融行業(yè)網(wǎng)絡安全信息做出了重要的指導。
 
金融行業(yè)等級保護發(fā)展歷程
1994年，國務院首次提出“安全等級保護”含義，并且法條第九條“計算機信息系統(tǒng)實行安全等級保護”
2003年，中辦發(fā)27號文，將全面推動信息安全等級保護，其中重點保護基礎信息網(wǎng)絡和關系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護制度。
2007年是正是進入等級保護1.0建設階段，國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術標準，組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護，對等級保護工作的實施進行監(jiān)督和管理。
2012年進入到金融等級保護1.0建設階段，金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引，以國家等級保護要求為原則，以金融行業(yè)特點為基礎，形成了兼顧技術與管理的金融行業(yè)信息安全保障總框架
2017年等級保護正式上升為國家法律要求，頒布《網(wǎng)絡安全法》第二十一條：“國家實行網(wǎng)絡安全等級保護制度。”
2018年，等級保護工作正式邁入2.0時代，網(wǎng)絡安全等級保護條例確立制度，國家實行網(wǎng)絡安全等級保護制度，對網(wǎng)絡實施分等級保護與監(jiān)管
2020年，金融等級保護正式進入2.0建設階段，為金融行業(yè)的網(wǎng)絡安全建設提供方法論及具體的建設指導。
 
等保2.0金融行業(yè)標準與國家標準差異
那金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引（后簡稱《實施指引》），包括了六部分內(nèi)容：包括基礎和話術、基本要求、崗位能力要求和評價指引、培訓指引、審計要求、審計指引。
《實施指引》主要是在國家標準的基礎上進行了增強，整體上延續(xù)了國標的安全通用要求分類。稍微有差異的是，在“安全管理人員”中增加了“人員考核”，并對部分方面進行了加強。
一、惡意代碼和垃圾郵件防范、入侵檢測方面
《實施指引》增加了國家標準第三級才會涉及到的安全產(chǎn)品，《實施指引》增加了近幾年金融行業(yè)重點采購的安全監(jiān)測分析類產(chǎn)品。
《實施指引》強化了應對網(wǎng)絡攻擊的檢測、潛在威脅的安全能力，提高了針對威脅及時發(fā)現(xiàn)的要求
二、安全審計方面
《實施指引》第三級里增加了互聯(lián)網(wǎng)客戶歷史登錄信息回復顯示，四級則要求能及時發(fā)現(xiàn)異常登陸行為。
對比國家標準，《實施指引》安全審計更加具體，明確了審計記錄保存時間、并將安全要求與金融業(yè)務進一步進行融合。
三、數(shù)據(jù)備份方面
對比國標，《實施指引》的業(yè)務連續(xù)性要求更具體，同時結合金融業(yè)務要求對容災備份中心的建設、運行、配置和管理要求更加明確。
四、個人信息保護方面
《實施指引》中在個人信息方面更明確了金融用戶信息的范圍以及具體的要求，在業(yè)務融合方面進行具體明確的要求，并關聯(lián)了金融JR/T 0171—2020相關標準。

如需等保測評服務，可后臺私信聯(lián)系。陸陸信息科技，整合云安全產(chǎn)品的技術優(yōu)勢，聯(lián)合優(yōu)質(zhì)等保咨詢、等保測評合作資源，提供等保項目的一站式服務，全面覆蓋等保定級、備案、建設整改以及測評階段，高效通過等保測評，落實網(wǎng)絡安全等級保護工作。