ICS03.060 A11JR 中华人民共和国金融行业标准 JR/T0071.5—2020 金融行业网络安全等级保护实施指引 第5部分：审计要求 Implementationguidelinesforclassifiedprotectionofcybersecurityoffinancial industry—Part5：Auditrequirements 2020-11-11发布 2020-11-11实施 中国人民银行 发布JR/T0071.5—2020 I目  次 前言.......................................................................................................................................................................II 引言.....................................................................................................................................................................III 1范围.....................................................................................................................................................................1 2规范性引用文件.................................................................................................................................................1 3审计目标.............................................................................................................................................................1 4审计人员要求.....................................................................................................................................................1 5审计信息管理要求.............................................................................................................................................2 6审计过程要求.....................................................................................................................................................2 7审计内容要求.....................................................................................................................................................4 参考文献.................................................................................................................................................................7JR/T0071.5—2020 II前  言 JR/T0071《金融行业网络安全等级保护实施指引》由以下6部分构成： ——第1部分：基础和术语； ——第2部分：基本要求； ——第3部分：岗位能力要求和评价指引； ——第4部分：培训指引； ——第5部分：审计要求； ——第6部分：审计指引。 本部分为JR/T0071的第5部分。 本部分按照GB/T1.1—2009给出的规则起草。 本部分由中国人民银行提出。 本部分由全国金融标准化技术委员会（SAC/TC180）归口。 本部分起草单位：中国人民银行科技司、中国银行保险监督管理委员会统计信息与风险监测部、中 国金融电子化公司、北京中金国盛认证有限公司。 本部分主要起草人：李伟、陈立吾、沈筱彦、车珍、昝新、夏磊、方怡、张海燕、唐辉、李凡、王 海涛、张璐、侯漫丽、潘丽扬、邓昊、赵方萌、乔媛、孙国栋、刘文娟、崔莹、陈雪峰、马成龙、杜巍、 李瑞锋。JR/T0071.5—2020 III引  言 网络安全等级保护是国家网络安全保障工作的一项基本制度，金融行业重要系统关系到国计民生， 是国家网络安全重点保护对象，因此需要一系列适合金融行业的等级保护标准体系作为支撑，以规范和 指导金融行业等级保护工作的实施。随着云计算、移动互联、物联网、大数据等新技术的广泛应用，金 融机构正根据自身发展的需要，持续推进IT架构的转型。为适应新技术、新应用和新架构情况下金融行 业网络安全等级保护工作的开展，现对JR/T0071进行修订。修订后的JR/T0071依据国家网络安全等级 保护相关要求，为金融行业的网络安全建设提供方法论、具体的建设措施及技术指导，完善金融行业网 络安全等级保护体系，更好适应新技术在金融行业的应用。JR/T0071.5—2020 1金融行业网络安全等级保护实施指引 第5部分：审计要求 1范围 本部分规定了金融机构网络安全等级保护工作实施审计的要求。 本部分适用于指导金融机构、测评机构和金融行业网络安全等级保护主管部门实施网络安全等级保 护审计工作。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T25058信息安全技术网络安全等级保护实施指南 3审计目标 通过网络安全等级保护审计，获取金融机构开展网络安全等级保护工作的相关证据，并对其进行客 观的评价，以确定各金融机构在定级、备案、建设整改、测评自查、安全检查等各项网络安全等级保护 工作中是否遵循了网络安全等级保护的要求。 4审计人员要求 4.1审计原则 审计人员在审计过程中应遵循以下原则： a)道德行为：审计人员应诚信、正直并保守受审计机构的秘密。 b)公正表达：审计人员应真实、准确地报告审计结果。 c)职业能力：审计人员应具备必要的审计能力。 d)独立性：审计人员应不带偏见，与受审计机构没有利益上的冲突，在审计过程中保持客观的心 态，以保证审计发现和结论仅建立在审计证据的基础上。 e)基于证据：审计证据应建立在可获得的信息样本的基础上。 4.2能力要求 实施金融行业等级保护审计的审计人员应具备如下能力： a)熟悉网络安全等级保护相关政策、法规。 b)正确理解网络安全等级保护标准体系和主要标准内容。 c)熟悉等级保护工作的全过程，包括定级、备案、建设整改、测评自查、安全检查各个工作环节 的要求。JR/T0071.5—2020 2d)掌握网络安全基础知识，熟悉审计的方法和流程。 e)具有综合分析和判断的能力，能够整体把握审计结论的客观性和准确性。具备较强的文字表达 能力。 4.3人员培训 实施金融行业网络安全等级保护审计的审计人员应参加金融行业网络安全等级保护主管部门组织 的相关标准培训，掌握金融行业网络安全等级保护工作开展的各项要求。 4.4人员记录 审计人员应提交其教育、工作经历、培训和审计经历的最新记录，作为审计机构安排审计工作时选 择审计人员的依据。 5审计信息管理要求 5.1机密性要求 审计机构对在审计过程中获得的有关金融机构商业、技术以及审计过程等方面的信息负有保密责 任，审计人员应对审计时获得或产生的所有信息按照审计机构的要求识别是否需要实施保密。审计人员 及相关人员不应以任何形式和借口传播、扩散、泄露涉密信息。 当法律要求将涉密信息提供给第三方时，除非另有规定，否则审计机构应事先将法律要求提供的信 息通知金融机构。当需要向其他机构（如公安部门、保密部门）提供保密信息时，审计机构应将此行动 告知金融机构。 审计机构应对审计活动的信息实施密级管理，根据需要配置和使用相应的安全处理设备和设施。安 全处理设备和设施主要用于涉密信息的建立、保管、储存、复制以及最终处置。 5.2完整性要求 包含金融机构信息的介质（例如纸质文件或光盘）在物理运送时，应使用可靠的传输途径防止未授 权的访问、信息篡改、不当使用或毁坏。必要时应采取专门的控制，以保护关键信息免遭未授权泄露或 篡改，例如手工交付、使用防篡改包装等。 应对包含在电子消息发送中的信息给予适当的保护，防止信息遭受未授权访问、