JR∕T 0071.6—2020 金融行业网络安全等级保护实施指引 第6部分:审计指引(金融)
|
ID: |
90A8A7F5463B417CA5DB5182F400E601 |
|
文件大小(MB): |
0.28 |
|
页数: |
16 |
|
文件格式: |
|
|
日期: |
2021-12-23 |
|
购买: |
文本摘录(文本识别可能有误,但文件阅览显示及打印正常,pdf文件可进行文字搜索定位):
ICS 03.060,A 11 JR,中华人民共和国金融行业标准,JR/T 0071.6—2020,金融行业网络安全等级保护实施指引,第6 部分:审计指引,Implementation guidelines for classified protection of cybersecurity of financial,industry—Part 6:Guidelines for audit work,2020 - 11 - 11 发布2020 - 11 - 11 实施,中国人民银行发布,JR/T 0071.6—2020,I,目 次,前言. II,引言.. III,1 范围.. 1,2 规范性引用文件 1,3 审计目标 1,4 审计方案要求. 1,5 审计程序 2,6 审计内容 8,参考文献.. 10,JR/T 0071.6—2020,II,前 言,JR/T 0071《金融行业网络安全等级保护实施指引》由以下6部分构成:,——第1 部分:基础和术语;,——第2 部分:基本要求;,——第3 部分:岗位能力要求和评价指引;,——第4 部分:培训指引;,——第5 部分:审计要求;,——第6 部分:审计指引,本部分为JR/T 0071 的第6 部分,本部分按照GB/T 1.1—2009 给出的规则起草,本部分由中国人民银行提出,本部分由全国金融标准化技术委员会(SAC/TC 180)归口,本部分起草单位:中国人民银行科技司、中国银行保险监督管理委员会统计信息与风险监测部、中,国金融电子化公司、北京中金国盛认证有限公司,本部分主要起草人:李伟、陈立吾、沈筱彦、车珍、昝新、夏磊、方怡、张海燕、唐辉、李凡、王,海涛、张璐、侯漫丽、潘丽扬、邓昊、赵方萌、乔媛、孙国栋、刘文娟、崔莹、陈雪峰、马成龙、杜巍、,李瑞锋,JR/T 0071.6—2020,III,引 言,网络安全等级保护是国家网络安全保障工作的一项基本制度,金融行业重要系统关系到国计民生,是国家网络安全重点保护对象,因此需要一系列适合金融行业的等级保护标准体系作为支撑,以规范和,指导金融行业等级保护工作的实施。随着云计算、移动互联、物联网、大数据等新技术的广泛应用,金,融机构正根据自身发展的需要,持续推进IT架构的转型。为适应新技术、新应用和新架构情况下金融行,业网络安全等级保护工作的开展,现对JR/T 0071进行修订。修订后的JR/T 0071依据国家网络安全等级,保护相关要求,为金融行业的网络安全建设提供方法论、具体的建设措施及技术指导,完善金融行业网,络安全等级保护体系,更好适应新技术在金融行业的应用,JR/T 0071.6—2020,1,金融行业网络安全等级保护实施指引,第6 部分:审计指引,1 范围,本部分规定了金融机构网络安全等级保护工作实施审计的指引,本部分适用于指导金融机构、测评机构和金融行业网络安全等级保护主管部门实施网络安全等级保,护审计工作,2 规范性引用文件,下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件,凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件,GB/T 25058 信息安全技术网络安全等级保护实施指南,3 审计目标,通过网络安全等级保护审计,获取金融机构开展网络安全等级保护工作的相关证据,并对其进行客,观的评价,以确定各金融机构在定级、备案、建设整改、测评自查、安全检查等各项网络安全等级保护,工作中是否遵循了网络安全等级保护的要求,4 审计方案要求,4.1 总则,根据受审计金融机构的规模、性质和复杂程度,金融行业网络安全等级保护主管部门应制定一个或,多个审计方案,规划受审计金融机构的整体审计工作,审计方案可包括一次或多次审计,策划和组织审计的类型和数目,以及在规定的时间内为有效和高,效地实施审计提供的所有必要活动,金融行业网络安全等级保护主管部门应对审计方案的管理进行授权。管理审计方案人员应制定、监,督、评审及改进审计方案,并确保受审计金融机构提供必要的资源,4.2 基本要素和主要内容,4.2.1 基本要素,审计方案的制定可基于以下考虑:,a) 法律法规和合同的要求,b) 网络安全等级保护主管部门的要求,c) 其他相关方的需求,d) 金融机构的风险,JR/T 0071.6—2020,2,4.2.2 主要内容,基于审计金融机构的规模、性质与复杂程度,审计方案的内容包括:,a) 审计的范围、目的和期限,b) 审计的频次,c) 审计的内容,d) 审计活动的数量和地点,e) 审计活动的重要性、复杂性、相似性,f) 审计参考的标准、法律法规、合同要求及其他审计准则,g) 以往的审计结论或以往审计方案的评审结果,h) 金融机构的变更情况,4.3 审计方案负责人员和所需资源,4.3.1 审计方案负责人员职责,审计方案负责人员应了解审计原则、审计人员能力和审计技术应用。他们应具有管理技能,了解与,受审计活动相关的技术和业务,负责管理审计方案的人员应:,a) 确定审计方案的目的和内容,b) 确定审计人员职责和审计程序,确保受审计金融机构提供必要的资源,c) 确保审计方案的实施,d) 确保保持审计方案记录,e) 制定、监督、评审和改进审计方案,4.3.2 所需资源,识别审计方案所需资源时应考虑:,a) 审计活动的制定、实施、管理和改进所必需的财务资源,b) 审计技术,c) 适合具体审计方案目的的审计人员,d) 审计方案的内容,e) 审计过程中的路途时间、食宿和其他审计所需要的资源,4.4 审计方案的实施,审计方案的实施应明确以下方面:,a) 与被审计机构沟通审……
……