JR∕T 0071.3—2020 金融行业网络安全等级保护实施指引 第3部分:岗位能力要求和评价指引(金融)

ID

20A240FEA300419FB4E35F78BD3EF00C

文件大小(MB)

0.43

页数:

14

文件格式:

pdf

日期:

2021-12-25

购买:

购买或下载

文本摘录(文本识别可能有误,但文件阅览显示及打印正常,pdf文件可进行文字搜索定位):

ICS 03.060,A 11 JR,中华人民共和国金融行业标准,JR/T 0071.3—2020,金融行业网络安全等级保护实施指引,第3 部分:岗位能力要求和评价指引,Implementation guidelines for classified protection of cybersecurity of financial,industry—Part 3:Post competency requirements and guidelines for evaluation,2020 - 11 - 11 发布2020 - 11 - 11 实施,中国人民银行发布,JR/T 0071.3—2020,I,目 次,前言. II,引言.. III,1 范围.. 1,2 规范性引用文件 1,3 网络安全管理组织架构 1,4 网络安全岗位和职责. 2,5 网络安全岗位的能力要求..5,6 网络安全人员能力评价 6,参考文献. 8,JR/T 0071.3—2020,II,前 言,JR/T 0071《金融行业网络安全等级保护实施指引》由以下6部分构成:,——第1 部分:基础和术语;,——第2 部分:基本要求;,——第3 部分:岗位能力要求和评价指引;,——第4 部分:培训指引;,——第5 部分:审计要求;,——第6 部分:审计指引,本部分为JR/T 0071 的第3 部分,本部分按照GB/T 1.1—2009 给出的规则起草,本部分由中国人民银行提出,本部分由全国金融标准化技术委员会(SAC/TC 180)归口,本部分起草单位:中国人民银行科技司、中国银行保险监督管理委员会统计信息与风险监测部、中,国金融电子化公司、北京中金国盛认证有限公司,本部分主要起草人:李伟、陈立吾、沈筱彦、车珍、昝新、夏磊、方怡、张海燕、唐辉、李凡、王,海涛、张璐、潘丽扬、邓昊、侯漫丽、孙国栋、刘文娟、乔媛、崔莹、陈雪峰、马成龙、杜巍、李瑞锋、,赵方萌,JR/T 0071.3—2020,III,引 言,网络安全等级保护是国家网络安全保障工作的一项基本制度,金融行业重要系统关系到国计民生,是国家网络安全重点保护对象,因此需要一系列适合金融行业的等级保护标准体系作为支撑,以规范和,指导金融行业等级保护工作的实施。随着云计算、移动互联、物联网、大数据等新技术的广泛应用,金,融机构正根据自身发展的需要,持续推进IT架构的转型。为适应新技术、新应用和新架构情况下金融行,业网络安全等级保护工作的开展,现对JR/T 0071进行修订。修订后的JR/T 0071依据国家网络安全等级,保护相关要求,为金融行业的网络安全建设提供方法论、具体的建设措施及技术指导,完善金融行业网,络安全等级保护体系,更好适应新技术在金融行业的应用,JR/T 0071.3—2020,1,金融行业网络安全等级保护实施指引,第3 部分:岗位能力要求和评价指引,1 范围,本部分规定了金融机构网络安全岗位设置要求、网络安全岗位能力要求以及网络安全人员能力评价,要求,本部分适用于指导金融机构按照网络安全等级保护要求设置网络安全岗位、制定网络安全岗位能力,要求以及实施网络安全人员能力评价,2 规范性引用文件,下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件,凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件,GB/T 20269 信息安全技术信息系统安全管理要求,GB/T 22239 信息安全技术网络安全等级保护基本要求,GB/T 25058 信息安全技术网络安全等级保护实施指南,GB/T 28448 信息安全技术网络安全等级保护测评要求,3 网络安全管理组织架构,按照GB/T 20269、GB/T 22239、GB/T 25058、GB/T 28448的要求,网络安全管理组织架构如图1所,示,JR/T 0071.3—2020,2,图1 网络安全管理组织架构图,4 网络安全岗位和职责,4.1 岗位和职责,金融机构网络安全等级保护工作应遵循国家相关标准和要求,建设网络安全保障体系,确保金融机,构信息资产的保密性、完整性和可用性;应划分职责并分配给相应岗位,确保所有重要的工作以有效方,式执行并完成,网络安全岗位涉及两类人员:,a) 承担网络安全职责的原有信息化工作人员,b) 为网络安全工作单独设置的特定网络安全岗位人员,4.2 网络安全管理委员会(领导小组),金融机构应设立一个由高级管理层、信息科技部门和主要业务部门代表组成的网络安全管理委员会,(或称信息安全领导小组),网络安全管理委员会应负责监督各项网络安全职责的落实,定期向董事会和高级管理层汇报网络安,全战略规划的执行、网络安全预算和实际支出、网络安全的整体情况等,具体职责包括但不限于下列内,容:,a) 审核并批准金融机构网络安全战略规划,b) 作出与网络安全有关的重大事项的决策,包括网络安全组织架构调整、网络安全重大战略变更,等,c) 负责指挥、协调金融机构重大网络安全事件的处理,JR/T 0071.3—2020,3,d) 负责沟通协调网络安全工作中的重大事项,e) 负责保障网络安全工作开展所需的资金、人员和设施等资源,4.3 安全主管(网络安全办公室),金融机构应设立安全主管(或建立网络安全办公室,可设在信息科技部门),安全主管应具备基本的网络安全意识,认识到网络安全工作的重要性,并提供足够的资源来支持金,融机构网络安全工作的顺利开展,具体职责包括但不限于下列内容:,a) 组织落实网络安全管理委员会在网络安全管理方面的决策,b) 负责组织网络安全保障体系的建……

……