11月11日，中國人民銀行發(fā)布《金融行業(yè)網(wǎng)絡(luò)安全等級保護(hù)實(shí)施指引》(以下簡稱“實(shí)施指引”)系列標(biāo)準(zhǔn)，以及《金融行業(yè)網(wǎng)絡(luò)安全等級保護(hù)測評指南》(以下簡稱“評測指南”)標(biāo)準(zhǔn)，自發(fā)布之日起實(shí)施。

　　其中，《實(shí)施指引》系列共包括《基礎(chǔ)和術(shù)語》、《基本要求》、《崗位能力要求和評價指引》、《培訓(xùn)指引》、《審計要求》、《審計指引》六個部分，其中基本要求部分為標(biāo)準(zhǔn)主要內(nèi)容。網(wǎng)絡(luò)安全保障框架：兩要求、兩體系網(wǎng)絡(luò)安全等級保護(hù)是國家網(wǎng)絡(luò)安全保障工作的一項基本制度。隨著云計算、移動互聯(lián)、物聯(lián)網(wǎng)、大數(shù)據(jù)等新技術(shù)的廣泛應(yīng)用，金融機(jī)構(gòu)正根據(jù)自己需要不斷推進(jìn)IT架構(gòu)轉(zhuǎn)型。據(jù)移動支付網(wǎng)了解，《實(shí)施指引》依據(jù)國家網(wǎng)絡(luò)安全等級保護(hù)相關(guān)要求，為金融行業(yè)的網(wǎng)絡(luò)安全建設(shè)提供方法論、具體的建設(shè)措施及技術(shù)指導(dǎo)，完善金融行業(yè)網(wǎng)絡(luò)安全等級保護(hù)體系。《實(shí)施指引》指出，金融行業(yè)網(wǎng)絡(luò)安全保障總體框架包含技術(shù)、管理要求以及技術(shù)、管理體系，遵循交互、綜合保障的原則。

　　其中，技術(shù)要求涉及安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心五方面要求;管理要求涉及安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理五方面要求。技術(shù)體系以“一個中心，三重防護(hù)”為核心理念，劃分安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)與安全管理中心;管理體系遵從生命周期法則，從建立、實(shí)施和執(zhí)行、監(jiān)管和審計、保持和改進(jìn)四個過程進(jìn)行科學(xué)化管理，通過循環(huán)改進(jìn)形成“生命環(huán)”的管理辦法。新增“金融行業(yè)增強(qiáng)性安全要求(F類)”《實(shí)施指引》完整的給出了從第二級到第四級的安全要求，由于業(yè)務(wù)目標(biāo)不同、使用技術(shù)不同、應(yīng)用場景不同，不同的等級保護(hù)對象會以不同的形式出現(xiàn)。為方便實(shí)現(xiàn)對不同等級和不同形態(tài)的等級保護(hù)對象的共性化和個性化保護(hù)，等級保護(hù)要求分為安全通用要求和安全擴(kuò)展要求。無論等級保護(hù)對象以何種形式出現(xiàn)，都應(yīng)根據(jù)相應(yīng)保護(hù)等級實(shí)現(xiàn)相應(yīng)級別的安全通用要求，另外根據(jù)使用的特定技術(shù)或特定場景選擇性實(shí)現(xiàn)安全擴(kuò)展要求?！秾?shí)施指引》給出了針對云計算、移動互聯(lián)、物聯(lián)網(wǎng)、大數(shù)據(jù)系統(tǒng)的安全擴(kuò)展要求。另外，新增了“金融行業(yè)增強(qiáng)性安全要求(F類)”，要求在結(jié)合金融行業(yè)相關(guān)規(guī)定的基礎(chǔ)上對等級保護(hù)要求進(jìn)行補(bǔ)充和完善，F(xiàn)2、F3、F4分別對應(yīng)二級、三級、四級增強(qiáng)性要求。從第二級安全要求開始，每一級對個人信息保護(hù)都做出了要求，每一級都包括同樣的7條說明，只不過在“金融行業(yè)增強(qiáng)性安全要求(F類)”等級中做出了區(qū)分。

　　另外，在《實(shí)施指引》中對自行軟件開發(fā)、外包軟件開發(fā)、服務(wù)供應(yīng)商選擇、環(huán)境管理、設(shè)備維護(hù)管理等等方面都提出了細(xì)致的要求。在外包軟件開發(fā)中明確要求，禁止外包服務(wù)商轉(zhuǎn)包并嚴(yán)格控制分包。在開發(fā)時，應(yīng)要求開發(fā)人員和測試人員分離，開發(fā)人員不能兼任系統(tǒng)管理員或業(yè)務(wù)操作員，并要求在軟件開發(fā)過程中對代碼規(guī)范、代碼質(zhì)量、代碼安全性進(jìn)行審查。測評指南非常詳細(xì)標(biāo)準(zhǔn)出臺最重要的一部分是什么?所有人都會說是落地。不落地的標(biāo)準(zhǔn)等于不存在的標(biāo)準(zhǔn)，為幫助《實(shí)施指引》落地，《測評指南》與《實(shí)施指引》同時發(fā)布、實(shí)施。

　　在《測評指南》中增加了“云計算安全測評擴(kuò)展要求”、“移動互聯(lián)安全測評擴(kuò)展要求、”“物聯(lián)網(wǎng)安全測評擴(kuò)展要求”。增加了“大數(shù)據(jù)可參考安全評估方法”，對金融行業(yè)大數(shù)據(jù)平臺提出分級要求。《測評指南》適用于指導(dǎo)金融機(jī)構(gòu)、測評機(jī)構(gòu)和金融行業(yè)網(wǎng)絡(luò)安全等級保護(hù)主管部門對等級保護(hù)對象的安全狀況進(jìn)行安全測評。據(jù)移動支付網(wǎng)了解，與金融機(jī)構(gòu)系統(tǒng)特色相結(jié)合，《測評指南》同樣新增“金融行業(yè)增強(qiáng)安全保護(hù)類(F類)”要求，與《實(shí)施指引》同樣采用F2、F3、F4進(jìn)行分級表示。（來源：銀行科技研究社）