ICS03.060 A11JR 中华人民共和国金融行业标准 JR/T0071.1—2020 金融行业网络安全等级保护实施指引 第1部分：基础和术语 Implementationguidelinesforclassifiedprotectionofcybersecurityoffinancial industry—Part1：Fundamentalsandvocabulary 2020-11-11发布 2020-11-11实施 中国人民银行 发布JR/T0071.1—2020 I目  次 前言.......................................................................................................................................................................II 引言.....................................................................................................................................................................III 1范围.....................................................................................................................................................................1 2规范性引用文件.................................................................................................................................................1 3术语和定义.........................................................................................................................................................1 4金融行业网络安全等级保护基础...................................................................................................................10JR/T0071.1—2020 II前  言 JR/T0071《金融行业网络安全等级保护实施指引》由以下6部分构成： ——第1部分：基础和术语； ——第2部分：基本要求； ——第3部分：岗位能力要求和评价指引； ——第4部分：培训指引； ——第5部分：审计要求； ——第6部分：审计指引。 本部分为JR/T0071的第1部分。 本部分按照GB/T1.1—2009给出的规则起草。 本部分由中国人民银行提出。 本部分由全国金融标准化技术委员会（SAC/TC180）归口。 本部分起草单位：中国人民银行科技司、中国银行保险监督管理委员会统计信息与风险监测部、中 国金融电子化公司、北京中金国盛认证有限公司。 本部分主要起草人：李伟、陈立吾、沈筱彦、车珍、昝新、夏磊、方怡、张海燕、唐辉、李凡、王 海涛、张璐、潘丽扬、邓昊、侯漫丽、孙国栋、刘文娟、赵方萌、乔媛、崔莹、陈雪峰、马成龙、杜巍、 李瑞锋。JR/T0071.1—2020 III引  言 网络安全等级保护是国家网络安全保障工作的一项基本制度，金融行业重要系统关系到国计民生， 是国家网络安全重点保护对象，因此需要一系列适合金融行业的等级保护标准体系作为支撑，以规范和 指导金融行业等级保护工作的实施。随着云计算、移动互联、物联网、大数据等新技术的广泛应用，金 融机构正根据自身发展的需要，持续推进IT架构的转型。为适应新技术、新应用和新架构情况下金融行 业网络安全等级保护工作的开展，现对JR/T0071进行修订。修订后的JR/T0071依据国家网络安全等级 保护相关要求，为金融行业的网络安全建设提供方法论、具体的建设措施及技术指导，完善金融行业网 络安全等级保护体系，更好适应新技术在金融行业的应用。JR/T0071.1—2020 1金融行业网络安全等级保护实施指引 第1部分：基础和术语 1范围 本部分规定了金融行业网络安全等级保护工作的基础框架和术语定义。 本部分适用于指导金融机构、测评机构和金融行业主管部门实施网络安全等级保护工作。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB17859—1999计算机信息系统安全保护等级划分准则 GB/T20269—2006信息安全技术信息系统安全管理要求 GB/T20271—2006信息安全技术信息系统安全通用技术要求 GB/T20272—2019信息安全技术操作系统安全技术要求 GB/T20279—2015信息安全技术网络和终端隔离产品安全技术要求 GB/T20282—2006信息安全技术信息系统安全工程管理要求 GB/T20984—2007信息安全技术信息安全风险评估规范 GB/T20988—2007信息安全技术信息系统灾难恢复规范 GB/T21052—2007信息安全技术信息系统物理安全技术要求 GB/T22239—2019信息安全技术网络安全等级保护基本要求 GB/T22240—2020信息安全技术网络安全等级保护定级指南 GB/T25070—2019信息安全技术网络安全等级保护安全设计技术要求 GB/T28448—2019信息安全技术网络安全等级保护测评要求 GB/T31167—2014信息安全技术云计算服务安全指南 JR/T0071.2—2020金融行业网络安全等级保护实施指引第2部分：基本要求 JR/T0071.3—2020金融行业网络安全等级保护实施指引第3部分：岗位能力要求和评价指引 JR/T0071.4—2020金融行业网络安全等级保护实施指引第4部分：培训指引 JR/T0071.5—2020金融行业网络安全等级保护实施指引第5部分：审计要求 JR/T0071.6—2020金融行业网络安全等级保护实施指引第6部分：审计指引 JR/T0072—2020金融行业网络安全等级保护测评指南 JR/T0073—2012金融行业信息安全等级保护测评服务安全指引 3术语和定义 下列术语和定义适用于本文件。 3.1特定等级保护类JR/T0071.1—2020 23.1.1 等级保护对象targetofclassifiedsecurity 网络安全等级保护工作直接作用的对象。 注：主要包括信息系统、通信网络设施和数据资源等。 [GB/T22240—2020，定义3.2] 3.1.2 等级测评testingandevaluationforclassifiedcybersecurityprotection 测评机构依据国家网络安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密 的网络安全等级保护状况进行检测评估的活动。 [GB/T28448—2019，定义3.6] 3.1.3 测评强度testingandevaluationintensity 测评工作实际投入力量的表征，可以由测评广度和深度来描述。 3.2通用技术类 3.2.1 信息系统安全securityofinformationsystem 信息系统所存储、传输和处理的信息的保密性、完整性和可用性的表征。 3.2.2 安全保证securityassurance 为确保安全要素的安全功能达到要求的安全性目标所采取的方法和措施。 3.2.3 用户鉴别userauthentication 用特定信息对用户身份的真实性进行确认。用于鉴别的信息一般是非公开的、难以仿造的。 [GB/T20271—2006，定义3.1.12] 3.2.4 客体object 信息的载体。 [GB17859—1999，定义3.3] 3.2.5 主体subject 引起信息在客体之间流动的人、进程或设备等。 [GB17859—1999，定义3.4] 3.2.6JR/T0071.1—2020 3敏感标记sensitivitylabel 表示客体安全级别并描述客体数据敏感性的一组信息，可信计算基中把敏感标记作为强制访问控制 决策的依据。 [GB17859—1999，定义3.5] 3.2.7 主、客体标记labelofsubjectandobject 为主、客体指定敏感标记。这些敏感标记是等级分类和非等级类别的组合，是实施强制访问控制的 依据。 [GB/T20271—2006，定义3.1.14] 3.2.8 访问控制accesscontrol 按确定的规则，对实体之间的访问活动进行控制的安全机制，能防止对资源的未授权使用。 [GB/T20269—2006，定义3.3] 3.2.9 安全属性securityattribute 实施安全策略时，与主体、客体相关的信息。 注1：对于自主访问控制，安全属性包括确定主、客体访问关系的相关信息。 注2：对于