第1页 / 共337页
第2页 / 共337页
第3页 / 共337页
第4页 / 共337页
第5页 / 共337页
第6页 / 共337页
第7页 / 共337页
第8页 / 共337页
JR∕T 0072-2020 金融行业网络安全等级保护测评指南.pdf
目 次
前 言
引 言
金融行业网络安全等级保护测评指南
1 范围
2 规范性引用文件
3 术语和定义
访谈 interview
核查 examine
测试 test
评估 evaluate
测评对象 target of testing and evaluation
等级测评 testing and evaluation for classified cybers
云计算 cloud computing
云服务 cloud service
云服务商 cloud service provider
云服务客户 cloud service customer
云计算平台/系统 cloud computing platform/system
团体云 community cloud
虚拟机 virtual machine
虚拟机监视器 hypervisor
资源池 resource pool
宿主机 host machine
敏感数据 sensitive data
个人金融信息 personal financial information
个人金融信息主体 personal financial data subject
移动互联 mobile communication
移动终端 mobile device
无线接入设备 wireless access device
无线接入网关 wireless access gateway
移动应用软件 mobile application
移动终端管理系统 mobile device management system
物联网 internet of things;IOT
网关节点设备 The sensor layer gateway
感知节点设备 sensor node
感知网关节点设备 sensor layer gateway
动态口令 one-time-password(OTP),dynamic password
安全单元 security element;SE
大数据 big data
大数据平台 big data platform
4 缩略语
5 等级测评概述
5.1 等级测评方法
5.2 单项测评和整体测评
6 第二级测评要求
6.1 安全测评通用要求
6.1.1 安全物理环境
6.1.1.1 物理位置选择
测评单元(L2-PES1-01)
测评单元(L2-PES1-02)
6.1.1.2 物理访问控制
测评单元(L2-PES1-03)
测评单元(L2-PES1-04)
6.1.1.3 防盗窃和防破坏
测评单元(L2-PES1-05)
测评单元(L2-PES1-06)
测评单元(L2-PES1-07)
6.1.1.4 防雷击
测评单元(L2-PES1-08)
6.1.1.5 防火
测评单元(L2-PES1-09)
测评单元(L2-PES1-10)
测评单元(L2-PES1-11)
6.1.1.6 防水和防潮
测评单元(L2-PES1-12)
测评单元(L2-PES1-13)
6.1.1.7 防静电
测评单元(L2-PES1-14)
6.1.1.8 温湿度控制
测评单元(L2-PES1-15)
6.1.1.9 电力供应
测评单元(L2-PES1-16)
测评单元(L2-PES1-17)
测评单元(L2-PES1-18)
6.1.1.10 电磁防护
测评单元(L2-PES1-19)
6.1.2 安全通信网络
6.1.2.1 网络架构
测评单元(L2-CNS1-01)
测评单元(L2-CNS1-02)
6.1.2.2 通信传输
测评单元(L2-CNS1-03)
6.1.2.3 可信验证
测评单元(L2-CNS1-04)
6.1.3 安全区域边界
6.1.3.1 边界防护
测评单元(L2-ABS1-01)
6.1.3.2 访问控制
测评单元(L2-ABS1-02)
测评单元(L2-ABS1-03)
测评单元(L2-ABS1-04)
测评单元(L2-ABS1-05)
6.1.3.3 入侵防范
测评单元(L2-ABS1-06)
6.1.3.4 恶意代码和垃圾邮件防范
测评单元(L2-ABS1-07)
测评单元(L2-ABS1-08)
6.1.3.5 安全审计
测评单元(L2-ABS1-09)
测评单元(L2-ABS1-10)
测评单元(L2-ABS1-11)
6.1.3.6 可信验证
测评单元(L2-ABS1-12)
6.1.4 安全计算环境
6.1.4.1 身份鉴别
测评单元(L2-CES1-01)
测评单元(L2-CES1-02)
测评单元(L2-CES1-03)
6.1.4.2 访问控制
测评单元(L2-CES1-04)
测评单元(L2-CES1-05)
测评单元(L2-CES1-06)
测评单元(L2-CES1-07)
测评单元(L2-CES1-08)
6.1.4.3 安全审计
测评单元(L2-CES1-09)
测评单元(L2-CES1-10)
测评单元(L2-CES1-11)
测评单元(L2-CES1-12)
6.1.4.4 入侵防范
测评单元(L2-CES1-13)
测评单元(L2-CES1-14)
测评单元(L2-CES1-15)
测评单元(L2-CES1-16)
测评单元(L2-CES1-17)
测评单元(L2-CES1-18)
测评单元(L2-CES1-19)
测评单元(L2-CES1-20)
6.1.4.5 恶意代码防范
测评单元(L2-CES1-21)
6.1.4.6 可信验证
测评单元(L2-CES1-22)
6.1.4.7 数据完整性
测评单元(L2-CES1-23)
6.1.4.8 数据保密性
测评单元(L2-CES1-24)
6.1.4.9 数据备份恢复
测评单元(L2-CES1-25)
测评单元(L2-CES1-26)
6.1.4.10 剩余信息保护
测评单元(L2-CES1-27)
6.1.4.11 个人信息保护
测评单元(L2-CES1-28)
测评单元(L2-CES1-29)
测评单元(L2-CES1-30)
测评单元(L2-CES1-31)
测评单元(L2-CES1-32)
测评单元(L2-CES1-33)
测评单元(L2-CES1-34)
6.1.5 安全管理中心
6.1.5.1 系统管理
测评单元(L2-SMC1-01)
测评单元(L2-SMC1-02)
测评单元(L2-SMC1-03)
测评单元(L2-SMC1-04)
测评单元(L2-SMC1-05)
测评单元(L2-SMC1-06)
6.1.5.2 审计管理
测评单元(L2-SMC1-07)
测评单元(L2-SMC1-08)
6.1.6 安全管理制度
6.1.6.1 安全策略
测评单元(L2-PSS1-01)
6.1.6.2 管理制度
测评单元(L2-PSS1-02)
测评单元(L2-PSS1-03)
6.1.6.3 制定和发布
测评单元(L2-PSS1-04)
测评单元(L2-PSS1-05)
测评单元(L2-PSS1-06)
6.1.6.4 评审和修订
测评单元(L2-PSS1-07)
6.1.7 安全管理机构
6.1.7.1 岗位设置
测评单元(L2-ORS1-01)
测评单元(L2-ORS1-02)
测评单元(L2-ORS1-03)
测评单元(L2-ORS1-04)
6.1.7.2 人员配备
测评单元(L2-ORS1-05)
测评单元(L2-ORS1-06)
6.1.7.3 授权和审批
测评单元(L2-ORS1-07)
6.1.7.4 沟通和合作
测评单元(L2-ORS1-08)
测评单元(L2-ORS1-09)
测评单元(L2-ORS1-10)
6.1.7.5 审核和检查
测评单元(L2-ORS1-11)
6.1.8 安全管理人员
6.1.8.1 人员录用
测评单元(L2-HRS1-01)
测评单元(L2-HRS1-02)
测评单元(L2-HRS1-03)
测评单元(L2-HRS1-04)
6.1.8.2 人员离岗
测评单元(L2-HRS1-05)
6.1.8.3 安全意识教育和培训
测评单元(L2-HRS1-06)
测评单元(L2-HRS1-07)
测评单元(L2-HRS1-08)
6.1.8.4 外部人员访问管理
测评单元(L2-HRS1-09)
测评单元(L2-HRS1-10)
测评单元(L2-HRS1-11)
测评单元(L2-HRS1-12)
6.1.9 安全建设管理
6.1.9.1 定级和备案
测评单元(L2-CMS1-01)
测评单元(L2-CMS1-02)
测评单元(L2-CMS1-03)
测评单元(L2-CMS1-04)
6.1.9.2 安全方案设计
测评单元(L2-CMS1-05)
测评单元(L2-CMS1-06)
测评单元(L2-CMS1-07)
6.1.9.3 产品采购和使用
测评单元(L2-CMS1-08)
测评单元(L2-CMS1-09)
测评单元(L2-CMS1-10)
测评单元(L2-CMS1-11)
测评单元(L2-CMS1-12)
测评单元(L2-CMS1-13)
测评单元(L2-CMS1-14)
6.1.9.4 自行软件开发
测评单元(L2-CMS1-15)
测评单元(L2-CMS1-16)
测评单元(L2-CMS1-17)
6.1.9.5 外包软件开发
测评单元(L2-CMS1-18)
测评单元(L2-CMS1-19)
测评单元(L2-CMS1-20)
测评单元(L2-CMS1-21)
测评单元(L2-CMS1-22)
6.1.9.6 工程实施
测评单元(L2-CMS1-23)
测评单元(L2-CMS1-24)
6.1.9.7 测试验收
测评单元(L2-CMS1-25)
测评单元(L2-CMS1-26)
测评单元(L2-CMS1-27)
6.1.9.8 系统交付
测评单元(L2-CMS1-28)
测评单元(L2-CMS1-29)
测评单元(L2-CMS1-30)
测评单元(L2-CMS1-31)
6.1.9.9 等级测评
测评单元(L2-CMS1-32)
测评单元(L2-CMS1-33)
测评单元(L2-CMS1-34)
6.1.9.10 服务供应商管理
测评单元(L2-CMS1-35)
测评单元(L2-CMS1-36)
测评单元(L2-CMS1-37)
6.1.10 安全运维管理
6.1.10.1 环境管理
测评单元(L2-MMS1-01)
测评单元(L2-MMS1-02)
测评单元(L2-MMS1-03)
测评单元(L2-MMS1-04)
测评单元(L2-MMS1-05)
测评单元(L2-MMS1-06)
测评单元(L2-MMS1-07)
测评单元(L2-MMS1-08)
测评单元(L2-MMS1-09)
6.1.10.2 资产管理
测评单元(L2-MMS1-10)
6.1.10.3 介质管理
测评单元(L2-MMS1-11)
测评单元(L2-MMS1-12)
测评单元(L2-MMS1-13)
测评单元(L2-MMS1-14)
测评单元(L2-MMS1-15)
测评单元(L2-MMS1-16)
测评单元(L2-MMS1-17)
6.1.10.4 设备维护管理
测评单元(L2-MMS1-18)
测评单元(L2-MMS1-19)
测评单元(L2-MMS1-20)
测评单元(L2-MMS1-21)
测评单元(L2-MMS1-22)
测评单元(L2-MMS1-23)
测评单元(L2-MMS1-24)
6.1.10.5 漏洞和风险管理
测评单元(L2-MMS1-25)
6.1.10.6 网络和系统安全管理
测评单元(L2-MMS1-26)
测评单元(L2-MMS1-27)
测评单元(L2-MMS1-28)
测评单元(L2-MMS1-29)
测评单元(L2-MMS1-30)
测评单元(L2-MMS1-31)
测评单元(L2-MMS1-32)
测评单元(L2-MMS1-33)
测评单元(L2-MMS1-34)
测评单元(L2-MMS1-35)
测评单元(L2-MMS1-36)
测评单元(L2-MMS1-37)
6.1.10.7 恶意代码防范管理
测评单元(L2-MMS1-38)
测评单元(L2-MMS1-39)
测评单元(L2-MMS1-40)
测评单元(L2-MMS1-41)
6.1.10.8 配置管理
测评单元(L2-MMS1-42)
6.1.10.9 密码管理
测评单元(L2-MMS1-43)
测评单元(L2-MMS1-44)
测评单元(L2-MMS1-45)
测评单元(L2-MMS1-46)
测评单元(L2-MMS1-47)
6.1.10.10 变更管理
测评单元(L2-MMS1-48)
测评单元(L2-MMS1-49)
6.1.10.11 备份与恢复管理
测评单元(L2-MMS1-50)
测评单元(L2-MMS1-51)
测评单元(L2-MMS1-52)
测评单元(L2-MMS1-53)
测评单元(L2-MMS1-54)
6.1.10.12 安全事件处置
测评单元(L2-MMS1-55)
测评单元(L2-MMS1-56)
测评单元(L2-MMS1-57)
6.1.10.13 应急预案管理
测评单元(L2-MMS1-58)
测评单元(L2-MMS1-59)
测评单元(L2-MMS1-60)
测评单元(L2-MMS1-61)
测评单元(L2-MMS1-62)
6.1.10.14 外包运维管理
测评单元(L2-MMS1-63)
测评单元(L2-MMS1-64)
测评单元(L2-MMS1-65)
测评单元(L2-MMS1-66)
6.2 云计算安全测评扩展要求
6.2.1 安全物理环境
6.2.1.1 基础设施位置
测评单元(L2-PES2-01)
6.2.2 安全通信网络
6.2.2.1 网络架构
测评单元(L2-CNS2-01)
测评单元(L2-CNS2-02)
测评单元(L2-CNS2-03)
6.2.3 安全区域边界
6.2.3.1 访问控制
测评单元(L2-ABS2-01)
测评单元(L2-ABS2-02)
6.2.3.2 入侵防范
测评单元(L2-ABS2-03)
测评单元(L2-ABS2-04)
测评单元(L2-ABS2-05)
6.2.3.3 安全审计
测评单元(L2-ABS2-06)
测评单元(L2-ABS2-07)
6.2.4 安全计算环境
6.2.4.1 访问控制
测评单元(L2-CES2-01)
测评单元(L2-CES2-02)
6.2.4.2 镜像和快照保护
测评单元(L2-CES2-03)
测评单元(L2-CES2-04)
6.2.4.3 数据完整性和保密性
测评单元(L2-CES2-05)
测评单元(L2-CES2-06)
测评单元(L2-CES2-07)
6.2.4.4 数据备份恢复
测评单元(L2-CES2-08)
测评单元(L2-CES2-09)
6.2.4.5 剩余信息保护
测评单元(L2-CES2-10)
测评单元(L2-CES2-11)
6.2.5 安全建设管理
6.2.5.1 云服务商选择
测评单元(L2-CMS2-01)
测评单元(L2-CMS2-02)
测评单元(L2-CMS2-03)
测评单元(L2-CMS2-04)
6.2.5.2 供应链管理
测评单元(L2-CMS2-05)
测评单元(L2-CMS2-06)
6.2.6 安全运维管理
6.2.6.1 云计算环境管理
测评单元(L2-MMS2-01)
6.3 移动互联安全测评扩展要求
6.3.1 安全物理环境
6.3.1.1 无线接入点的物理位置
测评单元(L2-PES3-01)
6.3.2 安全通信网络
6.3.2.1 通信传输
测评单元(L2-CNS3-01)
6.3.3 安全区域边界
6.3.3.1 边界防护
测评单元(L2-ABS3-01)
6.3.3.2 访问控制
测评单元(L2-ABS3-02)
6.3.3.3 入侵防范
测评单元(L2-ABS3-03)
测评单元(L2-ABS3-04)
测评单元(L2-ABS3-05)
测评单元(L2-ABS3-06)
测评单元(L2-ABS3-07)
6.3.4 安全计算环境
6.3.4.1 移动终端管控
测评单元(L2-CES3-01)
测评单元(L2-CES3-02)
6.3.4.2 移动应用管控
测评单元(L2-CES3-03)
测评单元(L2-CES3-04)
6.3.4.3 访问控制
测评单元(L2-CES3-05)
6.3.4.4 入侵防范
测评单元(L2-CES3-06)
6.3.5 安全建设管理
6.3.5.1 移动应用软件采购
测评单元(L2-CMS3-01)
测评单元(L2-CMS3-02)
6.3.5.2 移动应用软件开发
测评单元(L2-CMS3-03)
测评单元(L2-CMS3-04)
6.4 物联网安全测评扩展要求
6.4.1 安全物理环境
6.4.1.1 感知节点设备物理防护
测评单元(L2-PES4-01)
测评单元(L2-PES4-02)
测评单元(L2-PES4-03)
6.4.1.2 感知网关节点设备物理安全要求
测评单元(L2-PES4-04)
测评单元(L2-PES4-05)
测评单元(L2-PES4-06)
6.4.2 安全区域边界
6.4.2.1 接入控制
测评单元(L2-ABS4-01)
测评单元(L2-ABS4-02)
测评单元(L2-ABS4-03)
测评单元(L2-ABS4-04)
6.4.2.2 入侵防范
测评单元(L2-ABS4-05)
测评单元(L2-ABS4-06)
6.4.3 安全计算环境
6.4.3.1 感知节点设备安全
测评单元(L2-CES4-01)
测评单元(L2-CES4-02)
测评单元(L2-CES4-03)
6.4.3.2 网关节点设备安全
测评单元(L2-CES4-04)
测评单元(L2-CES4-05)
6.4.4 安全运维管理
6.4.4.1 感知节点管理
测评单元(L2-MMS4-01)
测评单元(L2-MMS4-02)
测评单元(L2-MMS4-03)
测评单元(L2-MMS4-04)
测评单元(L2-MMS4-05)
7 第三级测评要求
7.1 安全测评通用要求
7.1.1 安全物理环境
7.1.1.1 物理位置选择
测评单元(L3-PES1-01)
测评单元(L3-PES1-02)
测评单元(L3-PES1-03)
7.1.1.2 物理访问控制
测评单元(L3-PES1-04)
测评单元(L3-PES1-05)
7.1.1.3 防盗窃和防破坏
测评单元(L3-PES1-06)
测评单元(L3-PES1-07)
测评单元(L3-PES1-08)
测评单元(L3-PES1-09)
7.1.1.4 防雷击
测评单元(L3-PES1-10)
测评单元(L3-PES1-11)
测评单元(L3-PES1-12)
7.1.1.5 防火
测评单元(L3-PES1-13)
测评单元(L3-PES1-14)
测评单元(L3-PES1-15)
测评单元(L3-PES1-16)
测评单元(L3-PES1-17)
测评单元(L3-PES1-18)
测评单元(L3-PES1-19)
测评单元(L3-PES1-20)
7.1.1.6 防水和防潮
测评单元(L3-PES1-21)
测评单元(L3-PES1-22)
测评单元(L3-PES1-23)
测评单元(L3-PES1-24)
测评单元(L3-PES1-25)
7.1.1.7 防静电
测评单元(L3-PES1-26)
测评单元(L3-PES1-27)
测评单元(L3-PES1-28)
7.1.1.8 温湿度控制
测评单元(L3-PES1-29)
测评单元(L3-PES1-30)
测评单元(L3-PES1-31)
7.1.1.9 电力供应
测评单元(L3-PES1-32)
测评单元(L3-PES1-33)
测评单元(L3-PES1-34)
测评单元(L3-PES1-35)
测评单元(L3-PES1-36)
测评单元(L3-PES1-37)
测评单元(L3-PES1-38)
测评单元(L3-PES1-39)
测评单元(L3-PES1-40)
7.1.1.10 电磁防护
测评单元(L3-PES1-41)
测评单元(L3-PES1-42)
7.1.2 安全通信网络
7.1.2.1 网络架构
测评单元(L3-CNS1-01)
测评单元(L3-CNS1-02)
测评单元(L3-CNS1-03)
测评单元(L3-CNS1-04)
测评单元(L3-CNS1-05)
7.1.2.2 通信传输
测评单元(L3-CNS1-06)
测评单元(L3-CNS1-07)
7.1.2.3 可信验证
测评单元(L3-CNS1-08)
7.1.3 安全区域边界
7.1.3.1 边界防护
测评单元(L3-ABS1-01)
测评单元(L3-ABS1-02)
测评单元(L3-ABS1-03)
测评单元(L3-ABS1-04)
7.1.3.2 访问控制
测评单元(L3-ABS1-05)
测评单元(L3-ABS1-06)
测评单元(L3-ABS1-07)
测评单元(L3-ABS1-08)
测评单元(L3-ABS1-09)
测评单元(L3-ABS1-10)
测评单元(L3-ABS1-11)
7.1.3.3 入侵防范
测评单元(L3-ABS1-12)
测评单元(L3-ABS1-13)
测评单元(L3-ABS1-14)
测评单元(L3-ABS1-15)
测评单元(L3-ABS1-16)
测评单元(L3-ABS1-17)
7.1.3.4 恶意代码防范
测评单元(L3-ABS1-18)
测评单元(L3-ABS1-19)
7.1.3.5 安全审计
测评单元(L3-ABS1-20)
测评单元(L3-ABS1-21)
测评单元(L3-ABS1-22)
测评单元(L3-ABS1-23)
测评单元(L3-ABS1-24)
测评单元(L3-ABS1-25)
7.1.3.6 可信验证
测评单元(L3-ABS1-26)
7.1.4 安全计算环境
7.1.4.1 身份鉴别
测评单元(L3-CES1-01)
测评单元(L3-CES1-02)
测评单元(L3-CES1-03)
测评单元(L3-CES1-04)
7.1.4.2 访问控制
测评单元(L3-CES1-05)
测评单元(L3-CES1-06)
测评单元(L3-CES1-07)
测评单元(L3-CES1-08)
测评单元(L3-CES1-09)
测评单元(L3-CES1-10)
测评单元(L3-CES1-11)
测评单元(L3-CES1-12)
测评单元(L3-CES1-13)
7.1.4.3 安全审计
测评单元(L3-CES1-14)
测评单元(L3-CES1-15)
测评单元(L3-CES1-16)
测评单元(L3-CES1-17)
测评单元(L3-CES1-18)
测评单元(L3-CES1-19)
7.1.4.4 入侵防范
测评单元(L3-CES1-20)
测评单元(L3-CES1-21)
测评单元(L3-CES1-22)
测评单元(L3-CES1-23)
测评单元(L3-CES1-24)
测评单元(L3-CES1-25)
测评单元(L3-CES1-26)
测评单元(L3-CES1-27)
7.1.4.5 恶意代码防范
测评单元(L3-CES1-28)
测评单元(L3-CES1-29)
7.1.4.6 可信验证
测评单元(L3-CES1-30)
7.1.4.7 数据完整性
测评单元(L3-CES1-31)
测评单元(L3-CES1-32)
7.1.4.8 数据保密性
测评单元(L3-CES1-33)
测评单元(L3-CES1-34)
7.1.4.9 数据备份恢复
测评单元(L3-CES1-35)
测评单元(L3-CES1-36)
测评单元(L3-CES1-37)
测评单元(L3-CES1-38)
测评单元(L3-CES1-39)
测评单元(L3-CES1-40)
测评单元(L3-CES1-41)
7.1.4.10 剩余信息保护
测评单元(L3-CES1-42)
测评单元(L3-CES1-43)
7.1.4.11 个人信息保护
测评单元(L3-CES1-44)
测评单元(L3-CES1-45)
测评单元(L3-CES1-46)
测评单元(L3-CES1-47)
测评单元(L3-CES1-48)
测评单元(L3-CES1-49)
测评单元(L3-CES1-50)
7.1.5 安全管理中心
7.1.5.1 系统管理
测评单元(L3-SMC1-01)
测评单元(L3-SMC1-02)
测评单元(L3-SMC1-03)
测评单元(L3-SMC1-04)
测评单元(L3-SMC1-05)
7.1.5.2 审计管理
测评单元(L3-SMC1-06)
测评单元(L3-SMC1-07)
测评单元(L3-SMC1-08)
7.1.5.3 安全管理
测评单元(L3-SMC1-09)
测评单元(L3-SMC1-10)
7.1.5.4 集中管控
测评单元(L3-SMC1-11)
测评单元(L3-SMC1-12)
测评单元(L3-SMC1-13)
测评单元(L3-SMC1-14)
测评单元(L3-SMC1-15)
测评单元(L3-SMC1-16)
7.1.6 安全管理制度
7.1.6.1 安全策略
测试单元(L3-PSS1-01)
7.1.6.2 管理制度
测评单元(L3-PSS1-02)
测评单元(L3-PSS1-03)
测评单元(L3-PSS1-04)
7.1.6.3 制定和发布
测评单元(L3-PSS1-05)
测评单元(L3-PSS1-06)
测评单元(L3-PSS1-07)
7.1.6.4 评审和修订
测评单元(L3-PSS1-08)
7.1.7 安全管理机构
7.1.7.1 岗位设置
测评单元(L3-ORS1-01)
测评单元(L3-ORS1-02)
测评单元(L3-ORS1-03)
测评单元(L3-ORS1-04)
测评单元(L3-ORS1-05)
测评单元(L3-ORS1-06)
测评单元(L3-ORS1-07)
7.1.7.2 人员配备
测评单元(L3-ORS1-08)
测评单元(L3-ORS1-09)
7.1.7.3 授权和审批
测评单元(L3-ORS1-10)
测评单元(L3-ORS1-11)
测评单元(L3-ORS1-12)
测评单元(L3-ORS1-13)
7.1.7.4 沟通和合作
测评单元(L3-ORS1-14)
测评单元(L3-ORS1-15)
测评单元(L3-ORS1-16)
7.1.7.5 审核和检查
测评单元(L3-ORS1-17)
测评单元(L3-ORS1-18)
测评单元(L3-ORS1-19)
测评单元(L3-ORS1-20)
测评单元(L3-ORS1-21)
7.1.8 安全管理人员
7.1.8.1 人员录用
测评单元(L3-HRS1-01)
测评单元(L3-HRS1-02)
测评单元(L3-HRS1-03)
测评单元(L3-HRS1-04)
测评单元(L3-HRS1-05)
7.1.8.2 人员离岗
测评单元(L3-HRS1-06)
测评单元(L3-HRS1-07)
7.1.8.3 人员考核
测评单元(L3-HRS1-08)
测评单元(L3-HRS1-09)
测评单元(L3-HRS1-10)
7.1.8.4 安全意识教育和培训
测评单元(L3-HRS1-11)
测评单元(L3-HRS1-12)
测评单元(L3-HRS1-13)
7.1.8.5 外部人员访问管理
测评单元(L3-HRS1-14)
测评单元(L3-HRS1-15)
测评单元(L3-HRS1-16)
测评单元(L3-HRS1-17)
测评单元(L3-HRS1-18)
7.1.9 安全建设管理
7.1.9.1 定级和备案
测评单元(L3-CMS1-01)
测评单元(L3-CMS1-02)
测评单元(L3-CMS1-03)
测评单元(L3-CMS1-04)
7.1.9.2 安全方案设计
测评单元(L3-CMS1-05)
测评单元(L3-CMS1-06)
测评单元(L3-CMS1-07)
7.1.9.3 产品采购和使用
测评单元(L3-CMS1-08)
测评单元(L3-CMS1-09)
测评单元(L3-CMS1-10)
测评单元(L3-CMS1-11)
测评单元(L3-CMS1-12)
测评单元(L3-CMS1-13)
测评单元(L3-CMS1-14)
测评单元(L3-CMS1-15)
7.1.9.4 自行软件开发
测评单元(L3-CMS1-16)
测评单元(L3-CMS1-17)
测评单元(L3-CMS1-18)
测评单元(L3-CMS1-19)
测评单元(L3-CMS1-20)
测评单元(L3-CMS1-21)
测评单元(L3-CMS1-22)
测评单元(L3-CMS1-23)
测评单元(L3-CMS1-24)
7.1.9.5 外包软件开发
测评单元(L3-CMS1-25)
测评单元(L3-CMS1-26)
测评单元(L3-CMS1-27)
测评单元(L3-CMS1-28)
测评单元(L3-CMS1-29)
测评单元(L3-CMS1-30)
7.1.9.6 工程实施
测评单元(L3-CMS1-31)
测评单元(L3-CMS1-32)
测评单元(L3-CMS1-33)
测评单元(L3-CMS1-34)
测评单元(L3-CMS1-35)
7.1.9.7 测试验收
测评单元(L3-CMS1-36)
测评单元(L3-CMS1-37)
测评单元(L3-CMS1-38)
测评单元(L3-CMS1-39)
7.1.9.8 系统交付
测评单元(L3-CMS1-40)
测评单元(L3-CMS1-41)
测评单元(L3-CMS1-42)
测评单元(L3-CMS1-43)
7.1.9.9 等级测评
测评单元(L3-CMS1-44)
测评单元(L3-CMS1-45)
测评单元(L3-CMS1-46)
7.1.9.10 服务供应商管理
测评单元(L3-CMS1-47)
测评单元(L3-CMS1-48)
测评单元(L3-CMS1-49)
测评单元(L3-CMS1-50)
7.1.10 安全运维管理
7.1.10.1 环境管理
测评单元(L3-MMS1-01)
测评单元(L3-MMS1-02)
测评单元(L3-MMS1-03)
测评单元(L3-MMS1-04)
测评单元(L3-MMS1-05)
测评单元(L3-MMS1-06)
测评单元(L3-MMS1-07)
测评单元(L3-MMS1-08)
测评单元(L3-MMS1-09)
7.1.10.2 资产管理
测评单元(L3-MMS1-10)
测评单元(L3-MMS1-11)
测评单元(L3-MMS1-12)
7.1.10.3 介质管理
测评单元(L3-MMS1-13)
测评单元(L3-MMS1-14)
测评单元(L3-MMS1-15)
测评单元(L3-MMS1-16)
测评单元(L3-MMS1-17)
测评单元(L3-MMS1-18)
测评单元(L3-MMS1-19)
测评单元(L3-MMS1-20)
测评单元(L3-MMS1-21)
7.1.10.4 设备维护管理
测评单元(L3-MMS1-22)
测评单元(L3-MMS1-23)
测评单元(L3-MMS1-24)
测评单元(L3-MMS1-25)
测评单元(L3-MMS1-26)
测评单元(L3-MMS1-27)
测评单元(L3-MMS1-28)
测评单元(L3-MMS1-29)
7.1.10.5 漏洞和风险管理
测评单元(L3-MMS1-30)
测评单元(L3-MMS1-31)
7.1.10.6 网络和系统安全管理
测评单元(L3-MMS1-32)
测评单元(L3-MMS1-33)
测评单元(L3-MMS1-34)
测评单元(L3-MMS1-35)
测评单元(L3-MMS1-36)
测评单元(L3-MMS1-37)
测评单元(L3-MMS1-38)
测评单元(L3-MMS1-39)
测评单元(L3-MMS1-40)
测评单元(L3-MMS1-41)
测评单元(L3-MMS1-42)
测评单元(L3-MMS1-43)
测评单元(L3-MMS1-44)
测评单元(L3-MMS1-45)
测评单元(L3-MMS1-46)
测评单元(L3-MMS1-47)
测评单元(L3-MMS1-48)
7.1.10.7 恶意代码防范管理
测评单元(L3-MMS1-49)
测评单元(L3-MMS1-50)
测评单元(L3-MMS1-51)
7.1.10.8 配置管理
测评单元(L3-MMS1-52)
测评单元(L3-MMS1-53)
7.1.10.9 密码管理
测评单元(L3-MMS1-54)
测评单元(L3-MMS1-55)
测评单元(L3-MMS1-56)
测评单元(L3-MMS1-57)
测评单元(L3-MMS1-58)
测评单元(L3-MMS1-59)
测评单元(L3-MMS1-60)
测评单元(L3-MMS1-61)
7.1.10.10 变更管理
测评单元(L3-MMS1-62)
测评单元(L3-MMS1-63)
测评单元(L3-MMS1-64)
测评单元(L3-MMS1-65)
测评单元(L3-MMS1-66)
测评单元(L3-MMS1-67)
测评单元(L3-MMS1-68)
7.1.10.11 备份与恢复管理
测评单元(L3-MMS1-69)
测评单元(L3-MMS1-70)
测评单元(L3-MMS1-71)
测评单元(L3-MMS1-72)
测评单元(L3-MMS1-73)
测评单元(L3-MMS1-74)
测评单元(L3-MMS1-75)
测评单元(L3-MMS1-76)
测评单元(L3-MMS1-77)
测评单元(L3-MMS1-78)
测评单元(L3-MMS1-79)
7.1.10.12 安全事件处置
测评单元(L3-MMS1-80)
测评单元(L3-MMS1-81)
测评单元(L3-MMS1-82)
测评单元(L3-MMS1-83)
7.1.10.13 应急预案管理
测评单元(L3-MMS1-84)
测评单元(L3-MMS1-85)
测评单元(L3-MMS1-86)
测评单元(L3-MMS1-87)
测评单元(L3-MMS1-88)
测评单元(L3-MMS1-89)
测评单元(L3-MMS1-90)
测评单元(L3-MMS1-91)
测评单元(L3-MMS1-92)
7.1.10.14 外包运维管理
测评单元(L3-MMS1-93)
测评单元(L3-MMS1-94)
测评单元(L3-MMS1-95)
测评单元(L3-MMS1-96)
测评单元(L3-MMS1-97)
测评单元(L3-MMS1-98)
7.2 云计算安全测评扩展要求
7.2.1 安全物理环境
7.2.1.1 基础设施位置
测评单元(L3-PES2-01)
7.2.2 安全通信网络
7.2.2.1 网络架构
测评单元(L3-CNS2-01)
测评单元(L3-CNS2-02)
测评单元(L3-CNS2-03)
测评单元(L3-CNS2-04)
测评单元(L3-CNS2-05)
测评单元(L3-CNS2-06)
7.2.3 安全区域边界
7.2.3.1 访问控制
测评单元(L3-ABS2-01)
测评单元(L3-ABS2-02)
测评单元(L3-ABS2-03)
测评单元(L3-ABS2-04)
7.2.3.2 入侵防范
测评单元(L3-ABS2-05)
测评单元(L3-ABS2-06)
测评单元(L3-ABS2-07)
测评单元(L3-ABS2-08)
测评单元(L3-ABS2-09)
测评单元(L3-ABS2-10)
测评单元(L3-ABS2-11)
7.2.3.3 安全审计
测评单元(L3-ABS2-12)
测评单元(L3-ABS2-13)
7.2.4 安全计算环境
7.2.4.1 身份鉴别
测评单元(L3-CES2-01)
测评单元(L3-CES2-02)
测评单元(L3-CES2-03)
测评单元(L3-CES2-04)
测评单元(L3-CES2-05)
7.2.4.2 访问控制
测评单元(L3-CES2-06)
测评单元(L3-CES2-07)
7.2.4.3 入侵防范
测评单元(L3-CES2-08)
测评单元(L3-CES2-09)
测评单元(L3-CES2-10)
测评单元(L3-CES2-11)
7.2.4.4 恶意代码防范
测评单元(L3-CES2-12)
测评单元(L3-CES2-13)
7.2.4.5 镜像和快照保护
测评单元(L3-CES2-14)
测评单元(L3-CES2-15)
测评单元(L3-CES2-16)
测评单元(L3-CES2-17)
测评单元(L3-CES2-18)
7.2.4.6 数据完整性和保密性
测评单元(L3-CES2-19)
测评单元(L3-CES2-20)
测评单元(L3-CES2-21)
测评单元(L3-CES2-22)
7.2.4.7 数据备份恢复
测评单元(L3-CES2-23)
测评单元(L3-CES2-24)
测评单元(L3-CES2-25)
测评单元(L3-CES2-26)
测评单元(L3-CES2-27)
7.2.4.8 剩余信息保护
测评单元(L3-CES2-28)
测评单元(L3-CES2-29)
测评单元(L3-CES2-30)
7.2.5 安全管理中心
7.2.5.1 集中管控
测评单元(L3-SMC2-01)
测评单元(L3-SMC2-02)
测评单元(L3-SMC2-03)
测评单元(L3-SMC2-04)
测评单元(L3-SMC2-05)
7.2.6 安全建设管理
7.2.6.1 云服务商选择
测评单元(L3-CMS2-01)
测评单元(L3-CMS2-02)
测评单元(L3-CMS2-03)
测评单元(L3-CMS2-04)
测评单元(L3-CMS2-05)
7.2.6.2 供应链管理
测评单元(L3-CMS2-06)
测评单元(L3-CMS2-07)
测评单元(L3-CMS2-08)
测评单元(L3-CMS2-09)
7.2.7 安全运维管理
7.2.7.1 云计算环境管理
测评单元(L3-MMS2-01)
7.2.7.2 网络和系统安全管理
测评单元(L3-MMS2-02)
7.2.7.3 应急预案管理
测评单元(L3-MMS2-03)
7.3 移动互联安全测评扩展要求
7.3.1 安全物理环境
7.3.1.1 无线接入点的物理位置
测评单元(L3-PES3-01)
测评单元(L3-PES3-02)
7.3.2 安全通信网络
7.3.2.1 通信传输
测评单元(L3-CNS3-01)
测评单元(L3-CNS3-02)
测评单元(L3-CNS3-03)
测评单元(L3-CNS3-04)
7.3.3 安全区域边界
7.3.3.1 边界防护
测评单元(L3-ABS3-01)
7.3.3.2 访问控制
测评单元(L3-ABS3-02)
7.3.3.3 入侵防范
测评单元(L3-ABS3-03)
测评单元(L3-ABS3-04)
测评单元(L3-ABS3-05)
测评单元(L3-ABS3-06)
测评单元(L3-ABS3-07)
测评单元(L3-ABS3-08)
7.3.4 安全计算环境
7.3.4.1 移动终端管控
测评单元(L3-CES3-01)
测评单元(L3-CES3-02)
7.3.4.2 移动应用管控
测评单元(L3-CES3-03)
测评单元(L3-CES3-04)
测评单元(L3-CES3-05)
7.3.4.3 访问控制
测评单元(L3-CES3-06)
测评单元(L3-CES3-07)
测评单元(L3-CES3-08)
7.3.4.4 安全审计
测评单元(L3-CES3-09)
7.3.4.5 入侵防范
测评单元(L3-CES3-10)
测评单元(L3-CES3-11)
测评单元(L3-CES3-12)
测评单元(L3-CES3-13)
7.3.5 安全建设管理
7.3.5.1 移动应用软件采购
测评单元(L3-CMS3-01)
测评单元(L3-CMS3-02)
7.3.5.2 移动应用软件开发
测评单元(L3-CMS3-03)
测评单元(L3-CMS3-04)
7.3.6 安全运维管理
7.3.6.1 配置管理
测评单元(L3-MMS3-01)
7.4 物联网安全测评扩展要求
7.4.1 安全物理环境
7.4.1.1 感知节点设备物理防护
测评单元(L3-PES4-01)
测评单元(L3-PES4-02)
测评单元(L3-PES4-03)
测评单元(L3-PES4-04)
测评单元(L3-PES4-05)
7.4.1.2 感知网关节点设备物理安全要求
测评单元(L3-PES4-06)
测评单元(L3-PES4-07)
测评单元(L3-PES4-08)
7.4.2 安全区域边界
7.4.2.1 接入控制
测评单元(L3-ABS4-01)
测评单元(L3-ABS4-02)
测评单元(L3-ABS4-03)
测评单元(L3-ABS4-04)
7.4.2.2 入侵防范
测评单元(L3-ABS4-05)
测评单元(L3-ABS4-06)
测评单元(L3-ABS4-07)
测评单元(L3-ABS4-08)
7.4.3 安全计算环境
7.4.3.1 感知节点设备安全
测评单元(L3-CES4-01)
测评单元(L3-CES4-02)
测评单元(L3-CES4-03)
测评单元(L3-CES4-04)
测评单元(L3-CES4-05)
7.4.3.2 网关节点设备安全
测评单元(L3-CES4-06)
测评单元(L3-CES4-07)
测评单元(L3-CES4-08)
测评单元(L3-CES4-09)
测评单元(L3-CES4-10)
测评单元(L3-CES4-11)
测评单元(L3-CES4-12)
测评单元(L3-CES4-13)
7.4.3.3 抗数据重放
测评单元(L3-CES4-14)
测评单元(L3-CES4-15)
7.4.3.4 数据融合处理
测评单元(L3-CES4-16)
7.4.3.5 访问控制
测评单元(L3-CES4-17)
7.4.4 安全运维管理
7.4.4.1 感知节点管理
测评单元(L3-MMS4-01)
测评单元(L3-MMS4-02)
测评单元(L3-MMS4-03)
测评单元(L3-MMS4-04)
测评单元(L3-MMS4-05)
测评单元(L3-MMS4-06)
测评单元(L3-MMS4-07)
8 第四级测评要求
8.1 安全测评通用要求
8.1.1 安全物理环境
8.1.1.1 物理位置选择
测评单元(L4-PES1-01)
测评单元(L4-PES1-02)
测评单元(L4-PES1-03)
8.1.1.2 物理访问控制
测评单元(L4-PES1-04)
测评单元(L4-PES1-05)
测评单元(L4-PES1-06)
8.1.1.3 防盗窃和防破坏
测评单元(L4-PES1-07)
测评单元(L4-PES1-08)
测评单元(L4-PES1-09)
测评单元(L4-PES1-10)
8.1.1.4 防雷击
测评单元(L4-PES1-11)
测评单元(L4-PES1-12)
测评单元(L4-PES1-13)
测评单元(L4-PES1-14)
8.1.1.5 防火
测评单元(L4-PES1-15)
测评单元(L4-PES1-16)
测评单元(L4-PES1-17)
测评单元(L4-PES1-18)
测评单元(L4-PES1-19)
测评单元(L4-PES1-20)
测评单元(L4-PES1-21)
测评单元(L4-PES1-22)
8.1.1.6 防水和防潮
测评单元(L4-PES1-23)
测评单元(L4-PES1-24)
测评单元(L4-PES1-25)
测评单元(L4-PES1-26)
测评单元(L4-PES1-27)
8.1.1.7 防静电
测评单元(L4-PES1-28)
测评单元(L4-PES1-29)
测评单元(L4-PES1-30)
测评单元(L4-PES1-31)
8.1.1.8 温湿度控制
测评单元(L4-PES1-32)
测评单元(L4-PES1-33)
测评单元(L4-PES1-34)
8.1.1.9 电力供应
测评单元(L4-PES1-35)
测评单元(L4-PES1-36)
测评单元(L4-PES1-37)
测评单元(L4-PES1-38)
测评单元(L4-PES1-39)
测评单元(L4-PES1-40)
测评单元(L4-PES1-41)
测评单元(L4-PES1-42)
测评单元(L4-PES1-43)
8.1.1.10 电磁防护
测评单元(L4-PES1-44)
测评单元(L4-PES1-45)
8.1.2 安全通信网络
8.1.2.1 网络架构
测评单元(L4-CNS1-01)
测评单元(L4-CNS1-02)
测评单元(L4-CNS1-03)
测评单元(L4-CNS1-04)
测评单元(L4-CNS1-05)
测评单元(L4-CNS1-06)
测评单元(L4-CNS1-07)
测评单元(L4-CNS1-08)
测评单元(L4-CNS1-09)
8.1.2.2 通信传输
测评单元(L4-CNS1-10)
测评单元(L4-CNS1-11)
测评单元(L4-CNS1-12)
测评单元(L4-CNS1-13)
8.1.2.3 可信验证
测评单元(L4-CNS1-14)
8.1.3 安全区域边界
8.1.3.1 边界防护
测评单元(L4-ABS1-01)
测评单元(L4-ABS1-02)
测评单元(L4-ABS1-03)
测评单元(L4-ABS1-04)
测评单元(L4-ABS1-05)
测评单元(L4-ABS1-06)
8.1.3.2 访问控制
测评单元(L4-ABS1-07)
测评单元(L4-ABS1-08)
测评单元(L4-ABS1-09)
测评单元(L4-ABS1-10)
测评单元(L4-ABS1-11)
测评单元(L4-ABS1-12)
测评单元(L4-ABS1-13)
8.1.3.3 入侵防范
测评单元(L4-ABS1-14)
测评单元(L4-ABS1-15)
测评单元(L4-ABS1-16)
测评单元(L4-ABS1-17)
测评单元(L4-ABS1-18)
测评单元(L4-ABS1-19)
测评单元(L4-ABS1-20)
8.1.3.4 恶意代码和垃圾邮件防范
测评单元(L4-ABS1-21)
测评单元(L4-ABS1-22)
8.1.3.5 安全审计
测评单元(L4-ABS1-23)
测评单元(L4-ABS1-24)
测评单元(L4-ABS1-25)
测评单元(L4-ABS1-26)
测评单元(L4-ABS1-27)
8.1.3.6 可信验证
测评单元(L4-ABS1-28)
8.1.4 安全计算环境
8.1.4.1 身份鉴别
测评单元(L4-CES1-01)
测评单元(L4-CES1-02)
测评单元(L4-CES1-03)
测评单元(L4-CES1-04)
测评单元(L4-CES1-05)
8.1.4.2 访问控制
测评单元(L4-CES1-06)
测评单元(L4-CES1-07)
测评单元(L4-CES1-08)
测评单元(L4-CES1-09)
测评单元(L4-CES1-10)
测评单元(L4-CES1-11)
测评单元(L4-CES1-12)
测评单元(L4-CES1-13)
测评单元(L4-CES1-14)
测评单元(L4-CES1-15)
8.1.4.3 安全审计
测评单元(L4-CES1-16)
测评单元(L4-CES1-17)
测评单元(L4-CES1-18)
测评单元(L4-CES1-19)
测评单元(L4-CES1-20)
测评单元(L4-CES1-21)
8.1.4.4 入侵防范
测评单元(L4-CES1-22)
测评单元(L4-CES1-23)
测评单元(L4-CES1-24)
测评单元(L4-CES1-25)
测评单元(L4-CES1-26)
测评单元(L4-CES1-27)
测评单元(L4-CES1-28)
测评单元(L4-CES1-29)
8.1.4.5 恶意代码防范
测评单元(L4-CES1-30)
测评单元(L4-CES1-31)
8.1.4.6 可信验证
测评单元(L4-CES1-32)
8.1.4.7 数据完整性
测评单元(L4-CES1-33)
测评单元(L4-CES1-34)
测评单元(L4-CES1-35)
8.1.4.8 数据保密性
测评单元(L4-CES1-36)
测评单元(L4-CES1-37)
8.1.4.9 数据备份恢复
测评单元(L4-CES1-38)
测评单元(L4-CES1-39)
测评单元(L4-CES1-40)
测评单元(L4-CES1-41)
测评单元(L4-CES1-42)
测评单元(L4-CES1-43)
测评单元(L4-CES1-44)
测评单元(L4-CES1-45)
8.1.4.10 剩余信息保护
测评单元(L4-CES1-46)
测评单元(L4-CES1-47)
8.1.4.11 个人信息保护
测评单元(L4-CES1-48)
测评单元(L4-CES1-49)
测评单元(L4-CES1-50)
测评单元(L4-CES1-51)
测评单元(L4-CES1-52)
测评单元(L4-CES1-53)
测评单元(L4-CES1-54)
8.1.5 安全管理中心
8.1.5.1 系统管理
测评单元(L4-SMC1-01)
测评单元(L4-SMC1-02)
测评单元(L4-SMC1-03)
测评单元(L4-SMC1-04)
测评单元(L4-SMC1-05)
8.1.5.2 审计管理
测评单元(L4-SMC1-06)
测评单元(L4-SMC1-07)
测评单元(L4-SMC1-08)
8.1.5.3 安全管理
测评单元(L4-SMC1-09)
测评单元(L4-SMC1-10)
8.1.5.4 集中管控
测评单元(L4-SMC1-11)
测评单元(L4-SMC1-12)
测评单元(L4-SMC1-13)
测评单元(L4-SMC1-14)
测评单元(L4-SMC1-15)
测评单元(L4-SMC1-16)
测评单元(L4-SMC1-17)
测评单元(L4-SMC1-18)
8.1.6 安全管理制度
8.1.6.1 安全策略
测评单元(L4-PSS1-01)
8.1.6.2 管理制度
测评单元(L4-PSS1-02)
测评单元(L4-PSS1-03)
测评单元(L4-PSS1-04)
8.1.6.3 制定和发布
测评单元(L4-PSS1-05)
测评单元(L4-PSS1-06)
测评单元(L4-PSS1-07)
8.1.6.4 评审和修订
测评单元(L4-PSS1-08)
8.1.7 安全管理机构
8.1.7.1 岗位设置
测评单元(L4-ORS1-01)
测评单元(L4-ORS1-02)
测评单元(L4-ORS1-03)
测评单元(L4-ORS1-04)
测评单元(L4-ORS1-05)
测评单元(L4-ORS1-06)
测评单元(L4-ORS1-07)
8.1.7.2 人员配备
测评单元(L4-ORS1-08)
测评单元(L4-ORS1-09)
测评单元(L4-ORS1-10)
测评单元(L4-ORS1-11)
8.1.7.3 授权和审批
测评单元(L4-ORS1-12)
测评单元(L4-ORS1-13)
测评单元(L4-ORS1-14)
测评单元(L4-ORS1-15)
测评单元(L4-ORS1-16)
8.1.7.4 沟通和合作
测评单元(L4-ORS1-17)
测评单元(L4-ORS1-18)
测评单元(L4-ORS1-19)
8.1.7.5 审核和检查
测评单元(L4-ORS1-20)
测评单元(L4-ORS1-21)
测评单元(L4-ORS1-22)
测评单元(L4-ORS1-23)
测评单元(L4-ORS1-24)
8.1.8 安全管理人员
8.1.8.1 人员录用
测评单元(L4-HRS1-01)
测评单元(L4-HRS1-02)
测评单元(L4-HRS1-03)
测评单元(L4-HRS1-04)
测评单元(L4-HRS1-05)
测评单元(L4-HRS1-06)
8.1.8.2 人员离岗
测评单元(L4-HRS1-07)
测评单元(L4-HRS1-08)
8.1.8.3 人员考核
测评单元(L4-HRS1-09)
测评单元(L4-HRS1-10)
测评单元(L4-HRS1-11)
测评单元(L4-HRS1-12)
8.1.8.4 安全意识教育和培训
测评单元(L4-HRS1-13)
测评单元(L4-HRS1-14)
测评单元(L4-HRS1-15)
测评单元(L4-HRS1-16)
测评单元(L4-HRS1-17)
8.1.8.5 外部人员访问管理
测评单元(L4-HRS1-18)
测评单元(L4-HRS1-19)
测评单元(L4-HRS1-20)
测评单元(L4-HRS1-21)
测评单元(L4-HRS1-22)
测评单元(L4-HRS1-23)
8.1.9 安全建设管理
8.1.9.1 定级和备案
测评单元(L4-CMS1-01)
测评单元(L4-CMS1-02)
测评单元(L4-CMS1-03)
测评单元(L4-CMS1-04)
8.1.9.2 安全方案设计
测评单元(L4-CMS1-05)
测评单元(L4-CMS1-06)
测评单元(L4-CMS1-07)
测评单元(L4-CMS1-08)
8.1.9.3 产品采购和使用
测评单元(L4-CMS1-09)
测评单元(L4-CMS1-10)
测评单元(L4-CMS1-11)
测评单元(L4-CMS1-12)
测评单元(L4-CMS1-13)
测评单元(L4-CMS1-14)
测评单元(L4-CMS1-15)
测评单元(L4-CMS1-16)
测评单元(L4-CMS1-17)
测评单元(L4-CMS1-18)
8.1.9.4 自行软件开发
测评单元(L4-CMS1-19)
测评单元(L4-CMS1-20)
测评单元(L4-CMS1-21)
测评单元(L4-CMS1-22)
测评单元(L4-CMS1-23)
测评单元(L4-CMS1-24)
测评单元(L4-CMS1-25)
测评单元(L4-CMS1-26)
8.1.9.5 外包软件开发
测评单元(L4-CMS1-27)
测评单元(L4-CMS1-28)
测评单元(L4-CMS1-29)
测评单元(L4-CMS1-30)
测评单元(L4-CMS1-31)
测评单元(L4-CMS1-32)
8.1.9.6 工程实施
测评单元(L4-CMS1-33)
测评单元(L4-CMS1-34)
测评单元(L4-CMS1-35)
测评单元(L4-CMS1-36)
测评单元(L4-CMS1-37)
测评单元(L4-CMS1-38)
8.1.9.7 测试验收
测评单元(L4-CMS1-39)
测评单元(L4-CMS1-40)
测评单元(L4-CMS1-41)
测评单元(L4-CMS1-42)
8.1.9.8 系统交付
测评单元(L4-CMS1-43)
测评单元(L4-CMS1-44)
测评单元(L4-CMS1-45)
测评单元(L4-CMS1-46)
8.1.9.9 等级测评
测评单元(L4-CMS1-47)
测评单元(L4-CMS1-48)
测评单元(L4-CMS1-49)
8.1.9.10 服务供应商管理
测评单元(L4-CMS1-50)
测评单元(L4-CMS1-51)
测评单元(L4-CMS1-52)
测评单元(L4-CMS1-53)
8.1.10 安全运维管理
8.1.10.1 环境管理
测评单元(L4-MMS1-01)
测评单元(L4-MMS1-02)
测评单元(L4-MMS1-03)
测评单元(L4-MMS1-04)
测评单元(L4-MMS1-05)
测评单元(L4-MMS1-06)
测评单元(L4-MMS1-07)
测评单元(L4-MMS1-08)
测评单元(L4-MMS1-09)
测评单元(L4-MMS1-10)
8.1.10.2 资产管理
测评单元(L4-MMS1-11)
测评单元(L4-MMS1-12)
测评单元(L4-MMS1-13)
8.1.10.3 介质管理
测评单元(L4-MMS1-14)
测评单元(L4-MMS1-15)
测评单元(L4-MMS1-16)
测评单元(L4-MMS1-17)
测评单元(L4-MMS1-18)
测评单元(L4-MMS1-19)
测评单元(L4-MMS1-20)
测评单元(L4-MMS1-21)
测评单元(L4-MMS1-22)
8.1.10.4 设备维护管理
测评单元(L4-MMS1-23)
测评单元(L4-MMS1-24)
测评单元(L4-MMS1-25)
测评单元(L4-MMS1-26)
测评单元(L4-MMS1-27)
测评单元(L4-MMS1-28)
测评单元(L4-MMS1-29)
测评单元(L4-MMS1-30)
8.1.10.5 漏洞和风险管理
测评单元(L4-MMS1-31)
测评单元(L4-MMS1-32)
8.1.10.6 网络和系统安全管理
测评单元(L4-MMS1-33)
测评单元(L4-MMS1-34)
测评单元(L4-MMS1-35)
测评单元(L4-MMS1-36)
测评单元(L4-MMS1-37)
测评单元(L4-MMS1-38)
测评单元(L4-MMS1-39)
测评单元(L4-MMS1-40)
测评单元(L4-MMS1-41)
测评单元(L4-MMS1-42)
测评单元(L4-MMS1-43)
测评单元(L4-MMS1-44)
测评单元(L4-MMS1-45)
测评单元(L4-MMS1-46)
测评单元(L4-MMS1-47)
测评单元(L4-MMS1-48)
测评单元(L4-MMS1-49)
测评单元(L4-MMS1-50)
测评单元(L4-MMS1-51)
8.1.10.7 恶意代码防范管理
测评单元(L4-MMS1-52)
测评单元(L4-MMS1-53)
测评单元(L4-MMS1-54)
8.1.10.8 配置管理
测评单元(L4-MMS1-55)
测评单元(L4-MMS1-56)
8.1.10.9 密码管理
测评单元(L4-MMS1-57)
测评单元(L4-MMS1-58)
测评单元(L4-MMS1-59)
测评单元(L4-MMS1-60)
测评单元(L4-MMS1-61)
测评单元(L4-MMS1-62)
测评单元(L4-MMS1-63)
测评单元(L4-MMS1-64)
测评单元(L4-MMS1-65)
测评单元(L4-MMS1-66)
8.1.10.10 变更管理
测评单元(L4-MMS1-67)
测评单元(L4-MMS1-68)
测评单元(L4-MMS1-69)
测评单元(L4-MMS1-70)
测评单元(L4-MMS1-71)
测评单元(L4-MMS1-72)
测评单元(L4-MMS1-73)
8.1.10.11 备份与恢复管理
测评单元(L4-MMS1-74)
测评单元(L4-MMS1-75)
测评单元(L4-MMS1-76)
测评单元(L4-MMS1-77)
测评单元(L4-MMS1-78)
测评单元(L4-MMS1-79)
测评单元(L4-MMS1-80)
测评单元(L4-MMS1-81)
测评单元(L4-MMS1-82)
测评单元(L4-MMS1-83)
测评单元(L4-MMS1-84)
8.1.10.12 安全事件处置
测评单元(L4-MMS1-85)
测评单元(L4-MMS1-86)
测评单元(L4-MMS1-87)
测评单元(L4-MMS1-88)
测评单元(L4-MMS1-89)
8.1.10.13 应急预案管理
测评单元(L4-MMS1-90)
测评单元(L4-MMS1-91)
测评单元(L4-MMS1-92)
测评单元(L4-MMS1-93)
测评单元(L4-MMS1-94)
测评单元(L4-MMS1-95)
测评单元(L4-MMS1-96)
测评单元(L4-MMS1-97)
测评单元(L4-MMS1-98)
测评单元(L4-MMS1-99)
8.1.10.14 外包运维管理
测评单元(L4-MMS1-100)
测评单元(L4-MMS1-101)
测评单元(L4-MMS1-102)
测评单元(L4-MMS1-103)
测评单元(L4-MMS1-104)
测评单元(L4-MMS1-105)
8.2 云计算安全测评扩展要求
8.2.1 安全物理环境
8.2.1.1 基础设施位置
测评单元(L4-PES2-01)
测评单元(L4-PES2-02)
测评单元(L4-PES2-03)
8.2.2 安全通信网络
8.2.2.1 网络架构
测评单元(L4-CNS2-01)
测评单元(L4-CNS2-02)
测评单元(L4-CNS2-03)
测评单元(L4-CNS2-04)
测评单元(L4-CNS2-05)
测评单元(L4-CNS2-06)
测评单元(L4-CNS2-07)
测评单元(L4-CNS2-08)
测评单元(L4-CNS2-09)
测评单元(L4-CNS2-10)
测评单元(L4-CNS2-11)
8.2.3 安全区域边界
8.2.3.1 访问控制
测评单元(L4-ABS2-01)
测评单元(L4-ABS2-02)
测评单元(L4-ABS2-03)
测评单元(L4-ABS2-04)
测评单元(L4-ABS2-05)
测评单元(L4-ABS2-06)
测评单元(L4-ABS2-07)
8.2.3.2 入侵防范
测评单元(L4-ABS2-08)
测评单元(L4-ABS2-09)
测评单元(L4-ABS2-10)
测评单元(L4-ABS2-11)
测评单元(L4-ABS2-12)
测评单元(L4-ABS2-13)
测评单元(L4-ABS2-14)
8.2.3.3 安全审计
测评单元(L4-ABS2-15)
测评单元(L4-ABS2-16)
8.2.4 安全计算环境
8.2.4.1 身份鉴别
测评单元(L4-CES2-01)
测评单元(L4-CES2-02)
测评单元(L4-CES2-03)
测评单元(L4-CES2-04)
测评单元(L4-CES2-05)
测评单元(L4-CES2-06)
测评单元(L4-CES2-07)
测评单元(L4-CES2-08)
8.2.4.2 访问控制
测评单元(L4-CES2-09)
测评单元(L4-CES2-10)
测评单元(L4-CES2-11)
8.2.4.3 入侵防范
测评单元(L4-CES2-12)
测评单元(L4-CES2-13)
测评单元(L4-CES2-14)
测评单元(L4-CES2-15)
测评单元(L4-CES2-16)
测评单元(L4-CES2-17)
8.2.4.4 恶意代码防范
测评单元(L4-CES2-18)
测评单元(L4-CES2-19)
8.2.4.5 镜像和快照保护
测评单元(L4-CES2-20)
测评单元(L4-CES2-21)
测评单元(L4-CES2-22)
测评单元(L4-CES2-23)
测评单元(L4-CES2-24)
8.2.4.6 数据完整性和保密性
测评单元(L4-CES2-25)
测评单元(L4-CES2-26)
测评单元(L4-CES2-27)
测评单元(L4-CES2-28)
测评单元(L4-CES2-29)
测评单元(L4-CES2-30)
8.2.4.7 数据备份恢复
测评单元(L4-CES2-31)
测评单元(L4-CES2-32)
测评单元(L4-CES2-33)
测评单元(L4-CES2-34)
测评单元(L4-CES2-35)
8.2.4.8 剩余信息保护
测评单元(L4-CES2-36)
测评单元(L4-CES2-37)
测评单元(L4-CES2-38)
8.2.5 安全管理中心
8.2.5.1 集中管控
测评单元(L4-SMC2-01)
测评单元(L4-SMC2-02)
测评单元(L4-SMC2-03)
测评单元(L4-SMC2-04)
测评单元(L4-SMC2-05)
8.2.6 安全建设管理
8.2.6.1 云服务商选择
测评单元(L4-CMS2-01)
测评单元(L4-CMS2-02)
测评单元(L4-CMS2-03)
测评单元(L4-CMS2-04)
测评单元(L4-CMS2-05)
8.2.6.2 供应链管理
测评单元(L4-CMS2-06)
测评单元(L4-CMS2-07)
测评单元(L4-CMS2-08)
测评单元(L4-CMS2-09)
测评单元(L4-CMS2-10)
测评单元(L4-CMS2-11)
8.2.7 安全运维管理
8.2.7.1 云计算环境管理
测评单元(L4-MMS2-01)
8.2.7.2 网络和系统安全管理
测评单元(L4-MMS2-02)
8.2.7.3 应急预案管理
测评单元(L4-MMS2-03)
8.3 移动互联安全测评扩展要求
8.3.1 安全物理环境
8.3.1.1 无线接入点的物理位置
测评单元(L4-PES3-01)
测评单元(L4-PES3-02)
8.3.2 安全通信网络
8.3.2.1 通信传输
测评单元(L4-CNS3-01)
测评单元(L4-CNS3-02)
测评单元(L4-CNS3-03)
测评单元(L4-CNS3-04)
8.3.3 安全区域边界
8.3.3.1 边界防护
测评单元(L4-ABS3-01)
8.3.3.2 访问控制
测评单元(L4-ABS3-02)
8.3.3.3 入侵防范
测评单元(L3-ABS3-03)
测评单元(L4-ABS3-04)
测评单元(L4-ABS3-05)
测评单元(L4-ABS3-06)
测评单元(L4-ABS3-07)
测评单元(L4-ABS3-08)
8.3.4 安全计算环境
8.3.4.1 移动终端管控
测评单元(L4-CES3-01)
测评单元(L4-CES3-02)
测评单元(L4-CES3-03)
8.3.4.2 移动应用管控
测评单元(L3-CES3-04)
测评单元(L4-CES3-05)
测评单元(L4-CES3-06)
测评单元(L4-CES3-07)
8.3.4.3 访问控制
测评单元(L4-CES3-08)
测评单元(L4-CES3-09)
测评单元(L4-CES3-10)
8.3.4.4 安全审计
测评单元(L4-CES3-11)
8.3.4.5 入侵防范
测评单元(L4-CES3-12)
测评单元(L4-CES3-13)
测评单元(L4-CES3-14)
测评单元(L4-CES3-15)
测评单元(L4-CES3-16)
8.3.5 安全建设管理
8.3.5.1 移动应用软件采购
测评单元(L4-CMS3-01)
测评单元(L4-CMS3-02)
8.3.5.2 移动应用软件开发
测评单元(L4-CMS3-03)
测评单元(L4-CMS3-04)
8.3.6 安全运维管理
8.3.6.1 配置管理
测评单元(L4-MMS3-01)
8.4 物联网安全测评扩展要求
8.4.1 安全物理环境
8.4.1.1 感知节点设备物理防护
测评单元(L4-PES4-01)
测评单元(L4-PES4-02)
测评单元(L4-PES4-03)
测评单元(L4-PES4-04)
测评单元(L4-PES4-05)
8.4.1.2 感知网关节点设备物理安全要求
测评单元(L4-PES4-06)
测评单元(L4-PES4-07)
测评单元(L4-PES4-08)
8.4.2 安全区域边界
8.4.2.1 接入控制
测评单元(L4-ABS4-01)
测评单元(L4-ABS4-02)
测评单元(L4-ABS4-03)
测评单元(L4-ABS4-04)
8.4.2.2 入侵防范
测评单元(L4-ABS4-05)
测评单元(L4-ABS4-06)
测评单元(L4-ABS4-07)
测评单元(L4-ABS4-08)
8.4.3 安全计算环境
8.4.3.1 感知节点设备安全
测评单元(L4-CES4-01)
测评单元(L4-CES4-02)
测评单元(L4-CES4-03)
测评单元(L4-CES4-04)
测评单元(L4-CES4-05)
8.4.3.2 网关节点设备安全
测评单元(L4-CES4-06)
测评单元(L4-CES4-07)
测评单元(L4-CES4-08)
测评单元(L4-CES4-09)
测评单元(L4-CES4-10)
测评单元(L4-CES4-11)
测评单元(L4-CES4-12)
测评单元(L4-CES4-13)
8.4.3.3 抗数据重放
测评单元(L4-CES4-14)
测评单元(L4-CES4-15)
8.4.3.4 数据融合处理
测评单元(L4-CES4-16)
测评单元(L4-CES4-17)
8.4.3.5 访问控制
测评单元(L4-CES4-18)
8.4.4 安全运维管理
8.4.4.1 感知节点管理
测评单元(L4-MMS4-01)
测评单元(L4-MMS4-02)
测评单元(L4-MMS4-03)
测评单元(L4-MMS4-04)
测评单元(L4-MMS4-05)
测评单元(L4-MMS4-06)
测评单元(L4-MMS4-07)
9 整体测评
9.1 概述
9.2 安全控制点测评
9.3 安全控制点间测评
9.4 区域间测评
10 测评结论
10.1 风险分析和评价
10.2 等级测评结论
附 录 A(资料性附录)测评力度
A.1 概述
A.2 等级测评力度
附 录 B(资料性附录)大数据可参考安全评估方法
B.1 第二级安全评估方法
B.2 第三级安全评估方法
B.2.1 安全物理环境
B.2.1.1 测评单元(BDS-L3-01)
B.2.2 安全通信网络
B.2.2.1 测评单元(BDS-L3-01)
B.2.2.2 测评单元(BDS-L3-02)
B.2.3 安全计算环境
B.2.3.1 测评单元(BDS-L3-01)
B.2.3.2 测评单元(BDS-L3-02)
B.2.3.3 测评单元(BDS-L3-03)
B.2.3.4 测评单元(BDS-L3-04)
B.2.3.5 测评单元(BDS-L3-05)
B.2.3.6 测评单元(BDS-L3-06)
B.2.3.7 测评单元(BDS-L3-07)
B.2.3.8 测评单元(BDS-L3-08)
B.2.3.9 测评单元(BDS-L3-09)
B.2.3.10 测评单元(BDS-L3-10)
B.2.3.11 测评单元(BDS-L3-11)
B.2.3.12 测评单元(BDS-L3-12)
B.2.3.13 测评单元(BDS-L3-13)
B.2.3.14 测评单元(BDS-L3-14)
B.2.3.15 测评单元(BDS-L3-15)
B.2.3.16 测评单元(BDS-L3-16)
B.2.3.17 测评单元(BDS-L3-17)
B.2.3.18 测评单元(BDS-L3-18)
B.2.4 安全建设管理
B.2.4.1 测评单元(BDS-L3-01)
B.2.4.2 测评单元(BDS-L3-02)
B.2.4.3 测评单元(BDS-L3-03)
B.2.4.4 测评单元(BDS-L3-04)
B.2.5 安全运维管理
B.2.5.1 测评单元(BDS-L3-01)
B.2.5.2 测评单元(BDS-L3-02)
B.2.5.3 测评单元(BDS-L3-03)
B.2.5.4 测评单元(BDS-L3-04)
B.2.5.5 测评单元(BDS-L3-05)
B.2.5.6 测评单元(BDS-L3-06)
B.2.5.7 测评单元(BDS-L3-07)
B.3 第四级安全评估方法
B.3.1 安全物理环境
B.3.1.1 测评单元(BDS-L4-01)
B.3.2 安全通信网络
B.3.2.1 测评单元(BDS-L4-01)
B.3.2.2 测评单元(BDS-L4-02)
B.3.3 安全计算环境
B.3.3.1 测评单元(BDS-L4-01)
B.3.3.2 测评单元(BDS-L4-02)
B.3.3.3 测评单元(BDS-L4-03)
B.3.3.4 测评单元(BDS-L4-04)
B.3.3.5 测评单元(BDS-L4-05)
B.3.3.6 测评单元(BDS-L4-06)
B.3.3.7 测评单元(BDS-L4-07)
B.3.3.8 测评单元(BDS-L4-08)
B.3.3.9 测评单元(BDS-L4-09)
B.3.3.10 测评单元(BDS-L4-10)
B.3.3.11 测评单元(BDS-L4-11)
B.3.3.12 测评单元(BDS-L4-12)
B.3.3.13 测评单元(BDS-L4-13)
B.3.3.14 测评单元(BDS-L4-14)
B.3.3.15 测评单元(BDS-L4-15)
B.3.3.16 测评单元(BDS-L4-16)
B.3.3.17 测评单元(BDS-L4-17)
B.3.3.18 测评单元(BDS-L4-18)
B.3.4 安全建设管理
B.3.4.1 测评单元(BDS-L4-01)
B.3.4.2 测评单元(BDS-L4-02)
B.3.4.3 测评单元(BDS-L4-03)
B.3.4.4 测评单元(BDS-L4-04)
B.3.5 安全运维管理
B.3.5.1 测评单元(BDS-L4-01)
B.3.5.2 测评单元(BDS-L4-02)
B.3.5.3 测评单元(BDS-L4-03)
B.3.5.4 测评单元(BDS-L4-04)
B.3.5.5 测评单元(BDS-L4-05)
B.3.5.6 测评单元(BDS-L4-06)
B.3.5.7 测评单元(BDS-L4-07)
附 录 C(规范性附录)测评单元编号说明
C.1 测评单元编码规则
C.2 大数据可参考安全评估方法编号说明
C.3 专用缩略语
参 考 文 献
ICS 03.060
A 11
JR
中 华 人 民 共 和 国 金 融 行 业 标 准
JR/T 0072—2020
代替 JR/T 0072—2012
金融行业网络安全等级保护测评指南
Testing and evaluation guidelines for classified protection of cybersecurity of
financial industry
2020 - 11 - 11 发布
2020 - 11 - 11 实施
中 国 人 民 银 行 发 布
JR/T 0072—2020
目 次
前言....................................................................................................................................................................... II
引言..................................................................................................................................................................... III
1 范围..................................................................................................................................................................... 1
2 规范性引用文件................................................................................................................................................. 1
3 术语和定义......................................................................................................................................................... 1
4 缩略语................................................................................................................................................................. 5
5 等级测评概述..................................................................................................................................................... 5
5.1 等级测评方法............................................................................................................................................. 5
5.2 单项测评和整体测评................................................................................................................................. 5
6 第二级测评要求................................................................................................................................................. 6
6.1 安全测评通用要求..................................................................................................................................... 6
6.2 云计算安全测评扩展要求.......................................................................................................................54
6.3 移动互联安全测评扩展要求...................................................................................................................61
6.4 物联网安全测评扩展要求.......................................................................................................................64
7 第三级测评要求............................................................................................................................................... 70
7.1 安全测评通用要求................................................................................................................................... 70
7.2 云计算安全测评扩展要求.....................................................................................................................149
7.3 移动互联安全测评扩展要求.................................................................................................................165
7.4 物联网安全测评扩展要求.....................................................................................................................171
8 第四级测评要求............................................................................................................................................. 181
8.1 安全测评通用要求................................................................................................................................. 181
8.2 云计算安全测评扩展要求.....................................................................................................................267
8.3 移动互联安全测评扩展要求.................................................................................................................288
8.4 物联网安全测评扩展要求.....................................................................................................................295
9 整体测评......................................................................................................................................................... 305
9.1 概述......................................................................................................................................................... 305
9.2 安全控制点测评..................................................................................................................................... 305
9.3 安全控制点间测评................................................................................................................................. 305
9.4 区域间测评............................................................................................................................................. 305
10 测评结论....................................................................................................................................................... 305
10.1 风险分析和评价...................................................................................................................................305
10.2 等级测评结论....................................................................................................................................... 306
附录 A(资料性附录)测评力度......................................................................................................................307
附录 B(资料性附录)大数据可参考安全评估方法......................................................................................309
附录 C(规范性附录)测评单元编号说明......................................................................................................330
参考文献............................................................................................................................................................. 331
I
JR/T 0072—2020
前 言
本标准按照GB/T 1.1—2009给出的规则起草。
本标准代替JR/T 0072—2012《金融行业信息系统信息安全等级保护测评指南》,与JR/T 0072—2012
相比,主要技术变化如下:
——修改了“等级测评概述”(见第 5 章,2012 年版第 3 章);
——删除了“等级测评过程”(见 2012 年版第 4 章);
——删除了“测评准备”(见 2012 年版第 5 章);
——删除了“测评方案”(见 2012 年版第 6 章);
——修改了“第二级测评要求”的“安全测评通用要求”中“安全物理环境”“安全通信网络”“安
全区域边界”“安全计算环境”“安全管理中心”“安全管理制度”“安全管理机构”“安全管理人员”
“安全建设管理”“安全运维管理”相关要求项(见 6.1,2012 年版 7.1.1);
——增加了“第二级测评要求”中“云计算安全测评扩展要求”“移动互联安全测评扩展要求”“物
联网安全测评扩展要求”(见第 6 章);
——修改了“第三级测评要求”的“安全测评通用要求”中“安全物理环境”“安全通信网络”“安
全区域边界”“安全计算环境”“安全管理中心”“安全管理制度”“安全管理机构”“安全管理人员”
“安全建设管理”“安全运维管理”相关要求项(见 7.1,2012 年版 7.1.2);
——增加了“第三级测评要求”中“云计算安全测评扩展要求”“移动互联安全测评扩展要求”“物
联网安全测评扩展要求”(见第 7 章);
——修改了“第四级测评要求”的“安全测评通用要求”中“安全物理环境”“安全通信网络”“安
全区域边界”“安全计算环境”“安全管理中心”“安全管理制度”“安全管理机构”“安全管理人员”
“安全建设管理”“安全运维管理”相关要求项(见 8.1,2012 年版 7.1.3);
——增加了“第四级测评要求”中“云计算安全测评扩展要求”“移动互联安全测评扩展要求”“物
联网安全测评扩展要求”(见第 8 章);
——删除了“分析与报告编制”(见 2012 年版第 8 章);
——删除了“现场单元测评检查表”(见 2012 年版附录 A);
——增加了“测评力度”(见附录 A);
——增加了“大数据可参考安全评估方法”,对金融行业大数据平台提出分级要求(见附录 B);
——增加了“测评单元编号说明”(见附录 C)。
本标准由中国人民银行提出。
本标准由全国金融标准化技术委员会(SAC/TC 180)归口。
本标准起草单位:中国人民银行科技司、中国银行保险监督管理委员会统计信息与风险监测部、中
国金融电子化公司、北京中金国盛认证有限公司、银行卡检测中心、中国平安保险(集团)股份有限公
司、北京天融信网络安全技术有限公司、华为技术有限公司。
本标准主要起草人:李伟、陈立吾、沈筱彦、车珍、昝新、夏磊、方怡、张海燕、唐辉、李凡、王
海涛、张璐、潘丽扬、邓昊、侯漫丽、孙国栋、刘文娟、赵方萌、马成龙、杜巍、崔莹、陈雪峰、渠韶
光、高强裔、李博文、李金华、金朝、任勇强、岳源、朱京城、赵江、于惊涛、胡珊、谢虹、杨剑、李
建彬、于国强、肖松、白阳、张宇、赵华。
本标准所代替标准的历次版本发布情况为:
——JR/T 0072—2012。
II
JR/T 0072—2020
引 言
网络安全等级保护是国家网络安全保障工作的一项基本制度,金融行业重要系统关系到国计民生,
是国家网络安全重点保护对象,因此需要一系列适合金融行业的等级保护标准体系作为支撑,以规范和
指导金融行业等级保护工作的实施。随着云计算、移动互联、物联网、大数据等新技术的广泛应用,金
融机构正根据自身发展的需要,持续推进IT架构的转型。为适应新技术、新应用和新架构情况下金融行
业网络安全等级保护工作的开展,对JR/T 0071进行了修订,同时,作为测评指标进行引用的JR/T 0072
也启动了修订工作。修订后的JR/T 0072依据JR/T 0071基本要求调整的内容,针对共性安全保护需求提
出安全测评通用要求,针对云计算、移动互联、物联网等新技术、新应用领域的个性安全保护需求提出
安全测评扩展要求。
III
JR/T 0072—2020
金融行业网络安全等级保护测评指南
1 范围
本标准规定了金融行业对第二级、第三级和第四级的等级保护对象的安全测评通用要求和安全测评扩
展要求。
本标准适用于指导金融机构、测评机构和金融行业网络安全等级保护主管部门对等级保护对象的安全
状况进行安全测评。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的文件,其最新版本(包括所有的修改版)适用于本文件。
GB/T 22239—2019 信息安全技术 网络安全等级保护基本要求
GB/T 28448—2019 信息安全技术 网络安全等级保护测评要求
GB/T 28449—2018 信息安全技术 网络安全等级保护测评过程指南
GB/T 31167—2014 信息安全技术 云计算服务安全指南
GB/T 31168—2014 信息安全技术 云计算服务安全能力要求
GB/T 32400—2015 云计算概览与词汇
GM/T 0054—2018 信息系统密码应用基本要求
JR/T 0071.2—2020 金融行业网络安全等级保护实施指引 第2部分:基本要求
JR/T 0171—2020 个人金融信息保护技术规范
3 术语和定义
下列术语和定义适用于本文件。
3.1
访谈 interview
测评人员通过引导等级保护对象相关人员进行有目的的(有针对性的)交流以帮助测评人员理解、澄
清或取得证据的过程。
[GB/T 28448—2019,定义3.1]
3.2
核查 examine
测评人员通过对测评对象(如制度文档、各类设备及相关安全配置等)进行观察、查验和分析,以帮
助测评人员理解、澄清或取得证据的过程。
[GB/T 28448—2019,定义 3.2]
3.3
测试 test
测评人员使用预定的方法/工具使测评对象(各类设备或安全配置)产生特定的结果,将运行结果与预
期的结果进行比对的过程。
[GB/T 28448—2019,定义 3.3]
3.4
1
JR/T 0072—2020
评估 evaluate
对测评对象可能存在的威胁及其可能产生的后果进行综合评价和预测的过程。
[GB/T 28448—2019,定义 3.4]
3.5
3.6
测评对象 target of testing and evaluation
等级测评过程中不同测评方法作用的对象,主要涉及相关配套制度文档、设备设施及人员等。
[GB/T 28448—2019,定义 3.5]
等级测评 testing and evaluation for classified cybersecurity protection
测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密的
网络安全等级保护状况进行检测评估的活动。
[GB/T 28448—2019,定义 3.6]
3.7
3.8
3.9
云计算 cloud computing
通过网络访问可扩展的、灵活的物理或虚拟共享资源池,并按需自助获取和管理资源的模式。
注:资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。
[GB/T 31167—2014,定义3.1]
云服务 cloud service
通过云计算已定义的接口提供的一种或多种能力。
[GB/T 32400—2015,定义 3.2.8]
云服务商 cloud service provider
云计算服务的供应方。
注:云服务商管理、运营、支撑云计算的计算基础设施及软件,通过网络交付云计算的资源。
[GB/T 31167—2014,定义 3.3]
3.10
3.11
3.12
3.13
云服务客户 cloud service customer
为使用云计算服务同云服务商建立业务关系的参与方。
[GB/T 31168—2014,定义 3.4]
云计算平台/系统 cloud computing platform/system
云服务商提供的云计算基础设施及其上的服务软件的集合。
[GB/T 22239—2019,定义 3.6]
团体云 community cloud
由一组特定的云服务客户使用和共享,且资源被云服务商或使用者控制的一种云部署和云服务模式。
虚拟机 virtual machine
通过各种虚拟化技术,为用户提供的与原有物理服务器相同的操作系统和应用程序运行环境的统称。
注:虚拟机通常使用物理服务器的资源,在用户看来它与物理服务器的使用方式完全相同。
2
相关推荐
2023年江西萍乡中考道德与法治真题及答案.doc
2012年重庆南川中考生物真题及答案.doc
2013年江西师范大学地理学综合及文艺理论基础考研真题.doc
2020年四川甘孜小升初语文真题及答案I卷.doc
2020年注册岩土工程师专业基础考试真题及答案.doc
2023-2024学年福建省厦门市九年级上学期数学月考试题及答案.doc
2021-2022学年辽宁省沈阳市大东区九年级上学期语文期末试题及答案.doc
2022-2023学年北京东城区初三第一学期物理期末试卷及答案.doc
2018上半年江西教师资格初中地理学科知识与教学能力真题及答案.doc
2012年河北国家公务员申论考试真题及答案-省级.doc
2020-2021学年江苏省扬州市江都区邵樊片九年级上学期数学第一次质量检测试题及答案.doc
2022下半年黑龙江教师资格证中学综合素质真题及答案.doc
