JR∕T 0071.5—2020 金融行业网络安全等级保护实施指引 第5部分:审计要求(金融)
|
ID: |
0D7F3762573A4CFBA4880095E5DBDBFC |
|
文件大小(MB): |
0.27 |
|
页数: |
13 |
|
文件格式: |
|
|
日期: |
2021-12-24 |
|
购买: |
文本摘录(文本识别可能有误,但文件阅览显示及打印正常,pdf文件可进行文字搜索定位):
ICS 03.060,A 11 JR,中华人民共和国金融行业标准,JR/T 0071.5—2020,金融行业网络安全等级保护实施指引,第5 部分:审计要求,Implementation guidelines for classified protection of cybersecurity of financial,industry—Part 5:Audit requirements,2020 - 11 - 11 发布2020 - 11 - 11 实施,中国人民银行发布,JR/T 0071.5—2020,I,目 次,前言. II,引言.. III,1 范围.. 1,2 规范性引用文件 1,3 审计目标 1,4 审计人员要求. 1,5 审计信息管理要求.. 2,6 审计过程要求. 2,7 审计内容要求. 4,参考文献. 7,JR/T 0071.5—2020,II,前 言,JR/T 0071《金融行业网络安全等级保护实施指引》由以下6 部分构成:,——第1 部分:基础和术语;,——第2 部分:基本要求;,——第3 部分:岗位能力要求和评价指引;,——第4 部分:培训指引;,——第5 部分:审计要求;,——第6 部分:审计指引,本部分为JR/T 0071 的第5 部分,本部分按照GB/T 1.1—2009 给出的规则起草,本部分由中国人民银行提出,本部分由全国金融标准化技术委员会(SAC/TC 180)归口,本部分起草单位:中国人民银行科技司、中国银行保险监督管理委员会统计信息与风险监测部、中,国金融电子化公司、北京中金国盛认证有限公司,本部分主要起草人:李伟、陈立吾、沈筱彦、车珍、昝新、夏磊、方怡、张海燕、唐辉、李凡、王,海涛、张璐、侯漫丽、潘丽扬、邓昊、赵方萌、乔媛、孙国栋、刘文娟、崔莹、陈雪峰、马成龙、杜巍、,李瑞锋,JR/T 0071.5—2020,III,引 言,网络安全等级保护是国家网络安全保障工作的一项基本制度,金融行业重要系统关系到国计民生,是国家网络安全重点保护对象,因此需要一系列适合金融行业的等级保护标准体系作为支撑,以规范和,指导金融行业等级保护工作的实施。随着云计算、移动互联、物联网、大数据等新技术的广泛应用,金,融机构正根据自身发展的需要,持续推进IT架构的转型。为适应新技术、新应用和新架构情况下金融行,业网络安全等级保护工作的开展,现对JR/T 0071进行修订。修订后的JR/T 0071依据国家网络安全等级,保护相关要求,为金融行业的网络安全建设提供方法论、具体的建设措施及技术指导,完善金融行业网,络安全等级保护体系,更好适应新技术在金融行业的应用,JR/T 0071.5—2020,1,金融行业网络安全等级保护实施指引,第5 部分:审计要求,1 范围,本部分规定了金融机构网络安全等级保护工作实施审计的要求,本部分适用于指导金融机构、测评机构和金融行业网络安全等级保护主管部门实施网络安全等级保,护审计工作,2 规范性引用文件,下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件,凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件,GB/T 25058 信息安全技术网络安全等级保护实施指南,3 审计目标,通过网络安全等级保护审计,获取金融机构开展网络安全等级保护工作的相关证据,并对其进行客,观的评价,以确定各金融机构在定级、备案、建设整改、测评自查、安全检查等各项网络安全等级保护,工作中是否遵循了网络安全等级保护的要求,4 审计人员要求,4.1 审计原则,审计人员在审计过程中应遵循以下原则:,a) 道德行为:审计人员应诚信、正直并保守受审计机构的秘密,b) 公正表达:审计人员应真实、准确地报告审计结果,c) 职业能力:审计人员应具备必要的审计能力,d) 独立性:审计人员应不带偏见,与受审计机构没有利益上的冲突,在审计过程中保持客观的心,态,以保证审计发现和结论仅建立在审计证据的基础上,e) 基于证据:审计证据应建立在可获得的信息样本的基础上,4.2 能力要求,实施金融行业等级保护审计的审计人员应具备如下能力:,a) 熟悉网络安全等级保护相关政策、法规,b) 正确理解网络安全等级保护标准体系和主要标准内容,c) 熟悉等级保护工作的全过程,包括定级、备案、建设整改、测评自查、安全检查各个工作环节,的要求,JR/T 0071.5—2020,2,d) 掌握网络安全基础知识,熟悉审计的方法和流程,e) 具有综合分析和判断的能力,能够整体把握审计结论的客观性和准确性。具备较强的文字表达,能力,4.3 人员培训,实施金融行业网络安全等级保护审计的审计人员应参加金融行业网络安全等级保护主管部门组织,的相关标准培训,掌握金融行业网络安全等级保护工作开展的各项要求,4.4 人员记录,审计人员应提交其教育、工作经历、培训和审计经历的最新记录,作为审计机构安排审计工作时选,择审计人员的依据,5 审计信息管理要求,5.1 机密性要求,审计机构对在审计过程中获得的有关金融机构商业、技术以及审计过程等方面的信息负有保密责,任,审计人员应对审计时获得或产生的所有信息按照审计机构的要求识别是否需要实施保密。审计人员,及相关人员不应以任何形式和借口传播、扩散、泄露涉密信息,当法律要求将涉密信息提供给第三方时,除非另有规定,否则审计机构应事先将法律要求提供的信,息通知金融机构。当需要向其他机构(如公安部门、保密部门)提供保密信息时,审计机构应将此行动,告知金融机构,审计机构应对审计活动的信息实施密级管理,根据需要配置和使用相应的安全处理设备……
……