文库搜索
切换导航
首页
频道
联系我们
国家标准目录
国际ISO标准目录
行业标准目录
地方标准目录
首页
联系我们
国家标准目录
国际ISO标准目录
行业标准目录
地方标准目录
批量下载
ICS03.060 A11JR 中华人民共和国金融行业标准 JR/T0071.6—2020 金融行业网络安全等级保护实施指引 第6部分:审计指引 Implementationguidelinesforclassifiedprotectionofcybersecurityoffinancial industry—Part6:Guidelinesforauditwork 2020-11-11发布 2020-11-11实施 中国人民银行 发布JR/T0071.6—2020 I目 次 前言.......................................................................................................................................................................II 引言.....................................................................................................................................................................III 1范围.....................................................................................................................................................................1 2规范性引用文件.................................................................................................................................................1 3审计目标.............................................................................................................................................................1 4审计方案要求.....................................................................................................................................................1 5审计程序.............................................................................................................................................................2 6审计内容.............................................................................................................................................................8 参考文献...............................................................................................................................................................10JR/T0071.6—2020 II前 言 JR/T0071《金融行业网络安全等级保护实施指引》由以下6部分构成: ——第1部分:基础和术语; ——第2部分:基本要求; ——第3部分:岗位能力要求和评价指引; ——第4部分:培训指引; ——第5部分:审计要求; ——第6部分:审计指引。 本部分为JR/T0071的第6部分。 本部分按照GB/T1.1—2009给出的规则起草。 本部分由中国人民银行提出。 本部分由全国金融标准化技术委员会(SAC/TC180)归口。 本部分起草单位:中国人民银行科技司、中国银行保险监督管理委员会统计信息与风险监测部、中 国金融电子化公司、北京中金国盛认证有限公司。 本部分主要起草人:李伟、陈立吾、沈筱彦、车珍、昝新、夏磊、方怡、张海燕、唐辉、李凡、王 海涛、张璐、侯漫丽、潘丽扬、邓昊、赵方萌、乔媛、孙国栋、刘文娟、崔莹、陈雪峰、马成龙、杜巍、 李瑞锋。JR/T0071.6—2020 III引 言 网络安全等级保护是国家网络安全保障工作的一项基本制度,金融行业重要系统关系到国计民生, 是国家网络安全重点保护对象,因此需要一系列适合金融行业的等级保护标准体系作为支撑,以规范和 指导金融行业等级保护工作的实施。随着云计算、移动互联、物联网、大数据等新技术的广泛应用,金 融机构正根据自身发展的需要,持续推进IT架构的转型。为适应新技术、新应用和新架构情况下金融行 业网络安全等级保护工作的开展,现对JR/T0071进行修订。修订后的JR/T0071依据国家网络安全等级 保护相关要求,为金融行业的网络安全建设提供方法论、具体的建设措施及技术指导,完善金融行业网 络安全等级保护体系,更好适应新技术在金融行业的应用。JR/T0071.6—2020 1金融行业网络安全等级保护实施指引 第6部分:审计指引 1范围 本部分规定了金融机构网络安全等级保护工作实施审计的指引。 本部分适用于指导金融机构、测评机构和金融行业网络安全等级保护主管部门实施网络安全等级保 护审计工作。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T25058信息安全技术网络安全等级保护实施指南 3审计目标 通过网络安全等级保护审计,获取金融机构开展网络安全等级保护工作的相关证据,并对其进行客 观的评价,以确定各金融机构在定级、备案、建设整改、测评自查、安全检查等各项网络安全等级保护 工作中是否遵循了网络安全等级保护的要求。 4审计方案要求 4.1总则 根据受审计金融机构的规模、性质和复杂程度,金融行业网络安全等级保护主管部门应制定一个或 多个审计方案,规划受审计金融机构的整体审计工作。 审计方案可包括一次或多次审计,策划和组织审计的类型和数目,以及在规定的时间内为有效和高 效地实施审计提供的所有必要活动。 金融行业网络安全等级保护主管部门应对审计方案的管理进行授权。管理审计方案人员应制定、监 督、评审及改进审计方案,并确保受审计金融机构提供必要的资源。 4.2基本要素和主要内容 4.2.1基本要素 审计方案的制定可基于以下考虑: a)法律法规和合同的要求。 b)网络安全等级保护主管部门的要求。 c)其他相关方的需求。 d)金融机构的风险。JR/T0071.6—2020 24.2.2主要内容 基于审计金融机构的规模、性质与复杂程度,审计方案的内容包括: a)审计的范围、目的和期限。 b)审计的频次。 c)审计的内容。 d)审计活动的数量和地点。 e)审计活动的重要性、复杂性、相似性。 f)审计参考的标准、法律法规、合同要求及其他审计准则。 g)以往的审计结论或以往审计方案的评审结果。 h)金融机构的变更情况。 4.3审计方案负责人员和所需资源 4.3.1审计方案负责人员职责 审计方案负责人员应了解审计原则、审计人员能力和审计技术应用。他们应具有管理技能,了解与 受审计活动相关的技术和业务。 负责管理审计方案的人员应: a)确定审计方案的目的和内容。 b)确定审计人员职责和审计程序,确保受审计金融机构提供必要的资源。 c)确保审计方案的实施。 d)确保保持审计方案记录。 e)制定、监督、评审和改进审计方案。 4.3.2所需资源 识别审计方案所需资源时应考虑: a)审计活动的制定、实施、管理和改进所必需的财务资源。 b)审计技术。 c)适合具体审计方案目的的审计人员。 d)审计方案的内容。 e)审计过程中的路途时间、食宿和其他审计所需要的资源。 4.4审计方案的实施 审计方案的实施应明确以下方面: a)与被审计机构沟通审计方案。 b)审计及其他与审计方案有关的活动的协调和日程安排。 c)向审计组提供必需的资源。 d)确保按审计方案进行审计。 e)确保审计活动记录的完整性。 f)确保审计报告的评审和批准,并确保分发给审计相关方。 5审计程序JR/T0071.6—2020 35.1活动流程 审计组应在审计前策划完整的审计活动流程,审计活动流程参见图1。 启动审计 ——指定审计组长 ——确定审计目的、范围和准则 ——确定审计的可行性 ——选择审计组 ——与受审计金融机构建立初步 联系 评审文件 评审相关管理制度文件,包括记录,确 定其针对审计准则的适宜性和充分性 准备现场审计 ——编制审计计划 ——审计组工作分配 ——准备工作文件 实施现场审计 ——举行首次
JR-T0071_6-2020 金融行业网络安全等级保护实施指引 第6部分:审计指引
文档预览
中文文档
16 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
赞助2元下载(无需注册)
温馨提示:本文档共16页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
下载文档到电脑,方便使用
赞助2元下载
本文档由 思安 于
2022-12-11 23:28:37
上传分享
举报
下载
原文档
(263.8 KB)
分享
友情链接
LY-T 1286-2022 刨花干燥机节能监测方法.pdf
GM-T 0031-2014 安全电子签章密码技术规范.pdf
T-BAX 0001.1—2021 安防监控中心值机工作与服务要求 :第1部分 值机工作要求.pdf
SAE_2001-01-2902_Factors Affecting Fuel System Certification Against Lightning Hazards.pdf
民航 MH-T 2014-2023 民用无人驾驶航空器系统物流运行通用要求 第1部分:海岛场景.pdf
T-CPUMT 008—2022 工业信息安全漏洞分类分级指南.pdf
GB-T 33301-2016 燃煤工业锅炉及窑炉节能量计算方法.pdf
GB-T 31595-2015 公共安全 业务连续性管理体系 指南.pdf
GM-T 0001.3-2012 祖冲之序列密码算法:第3部分:基于祖冲之算法的完整性算法.pdf
ISO 27001 信息安全管理体系实施案例及文件集 .pdf
GB-T 35799-2018 化妆品中吡咯烷酮羧酸钠的测定 高效液相色谱法.pdf
GB-T 29862-2013 纺织品 纤维含量的标识.pdf
GB-T 40364-2021 人类生物样本库基础术语.pdf
DB3306-T 045-2022 公共图书馆数字媒体服务规范 绍兴市.pdf
JR-T 0059-2010 证券期货经营机构信息系统备份能力标准.pdf
DB63-T372-2018 气象灾害分级指标 青海省.pdf
OWASP API安全-十大关键API安全风险 2019中文版.pdf
数据安全管理总纲.pdf
GB-T 14055.1-2008 中子参考辐射 第1部分:辐射特性和产生方法.pdf
GB-T 42453-2023 信息安全技术 网络安全态势感知通用技术要求.pdf
1
/
3
16
评价文档
赞助2元 点击下载(263.8 KB)
回到顶部
×
微信扫码支付
2
元 自动下载
点击进入官方售后微信群
支付 完成后 如未跳转 点击这里下载
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们
微信(点击查看客服)
,我们将及时删除相关资源。