JR∕T 0071.4—2020 金融行业网络安全等级保护实施指引 第4部分:培训指引(金融)
ID: |
D68DE69172804BBB8FF09167015EE201 |
文件大小(MB): |
0.22 |
页数: |
10 |
文件格式: |
|
日期: |
2021-12-23 |
购买: |
文本摘录(文本识别可能有误,但文件阅览显示及打印正常,pdf文件可进行文字搜索定位):
ICS 03.060,A 11 JR,中华人民共和国金融行业标准,JR/T 0071.4—2020,金融行业网络安全等级保护实施指引,第4 部分:培训指引,Implementation guidelines for classified protection of cybersecurity of financial,industry—Part 4:Guidelines for training,2020 - 11 - 11 发布2020 - 11 - 11 实施,中国人民银行发布,JR/T 0071.4—2020,I,目 次,前言. II,引言.. III,1 范围.. 1,2 规范性引用文件 1,3 培训目标 1,4 培训原则 1,5 培训计划 1,6 培训对象 2,7 培训内容要求. 2,8 培训实施 3,9 培训考核 3,10 培训档案管理.. 3,参考文献. 4,JR/T 0071.4—2020,II,前 言,JR/T 0071《金融行业网络安全等级保护实施指引》由以下6部分构成:,——第1 部分:基础和术语;,——第2 部分:基本要求;,——第3 部分:岗位能力要求和评价指引;,——第4 部分:培训指引;,——第5 部分:审计要求;,——第6 部分:审计指引,本部分为JR/T 0071 的第4 部分,本部分按照GB/T 1.1—2009 给出的规则起草,本部分由中国人民银行提出,本部分由全国金融标准化技术委员会(SAC/TC 180)归口,本部分起草单位:中国人民银行科技司、中国银行保险监督管理委员会统计信息与风险监测部、中,国金融电子化公司、北京中金国盛认证有限公司,本部分主要起草人:李伟、陈立吾、沈筱彦、车珍、昝新、夏磊、方怡、张海燕、唐辉、李凡、王,海涛、张璐、潘丽扬、邓昊、孙国栋、刘文娟、侯漫丽、赵方萌、乔媛、崔莹、陈雪峰、马成龙、杜巍、,李瑞锋,JR/T 0071.4—2020,III,引 言,网络安全等级保护是国家网络安全保障工作的一项基本制度,金融行业重要系统关系到国计民生,是国家网络安全重点保护对象,因此需要一系列适合金融行业的等级保护标准体系作为支撑,以规范和,指导金融行业等级保护工作的实施。随着云计算、移动互联、物联网、大数据等新技术的广泛应用,金,融机构正根据自身发展的需要,持续推进IT架构的转型。为适应新技术、新应用和新架构情况下金融行,业网络安全等级保护工作的开展,现对JR/T 0071进行修订。修订后的JR/T 0071依据国家网络安全等级,保护相关要求,为金融行业的网络安全建设提供方法论、具体的建设措施及技术指导,完善金融行业网,络安全等级保护体系,更好适应新技术在金融行业的应用,JR/T 0071.4—2020,1,金融行业网络安全等级保护实施指引,第4 部分:培训指引,1 范围,本部分规定了网络安全培训的培训目标、培训原则、培训计划、培训对象、培训内容要求、培训实,施、培训考核和培训档案管理,本部分适用于实施网络安全等级保护的金融机构、测评机构和金融行业网络安全等级保护主管部,门,2 规范性引用文件,下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件,凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件,GB/T 20269 信息安全技术信息系统安全管理要求,GB/T 22239 信息安全技术网络安全等级保护基本要求,GB/T 25058 信息安全技术网络安全等级保护实施指南,GB/T 28448 信息安全技术网络安全等级保护测评要求,3 培训目标,按照GB/T 20269、GB/T 22239、GB/T 25058、GB/T 28448 的要求,金融机构应开展网络安全培训,工作。通过实施金融行业网络安全培训,使金融机构相关人员具备网络安全等级保护基本知识、网络安,全基本知识和技能,为金融机构有效实施网络安全等级保护工作提供人力资源保障,4 培训原则,培训应遵循以下原则:,a) 个人技能培训与企业培训相结合,b) 短期培训为主,长期培训为辅,c) 以网络安全等级保护相关岗位需求为牵引,开展多样化培训,5 培训计划,培训计划应包含以下内容:,a) 年度培训计划:为贯彻落实网络安全等级保护制度要求,金融机构应制定网络安全年度培训计,划,重点针对网络安全等级保护相关管理人员和新入职人员进行培训。网络安全年度培训应纳,入机构总体年度培训计划,JR/T 0071.4—2020,2,b) 计划要求:培训计划应明确培训目标、培训内容、培训时间、参与培训人员、培训方式、培训,所需资源、培训经费预算和考核要求等,6 培训对象,以机构网络安全等级保护相应岗位要求为基础,培训对象主要包括管理层人员、网络安全等级保护,实施人员及相关其他人员(或部门):,a) 机构管理层:主要包括董事会成员、首席执行官、审计委员会、法律部门等,b) 雇员,c) 特定网络安全角色,包括:,1) 安全主管,2) 网络安全内审员,3) 安全操作人员,d) 网络安全等级保护工作相关人员,包括:,1) 网络安全等级保护工作管理人员,2) 网络安全等级保护工作实施人员,3) 网络安全等级保护工作测评人员,7 培训内容要求,金融机构应根据实施网络安全等级保护各岗位的要求,实施相应的培训,包括:,a) 针对全员培训,培训内容包括:,1) 网络安全意识教育,2) 网络安全等级保护政策文件,3) 网络安全法律法规、标准,b) 针对审计委员会,开展网络安全审计知识培训,c) 针对安全主管开展培训,培训内容包括:,1) 网络安全规划能力,2) ……
……