信息安全技术 金融信息保护规范-编制说明

工作简况任务来源金融信息对于国家金融政策制定者、金融机构以及投资决策者具有特别重要的意义。为促进金融信息服务市场的有序健康发展，在国家互联网信息办公室的指导下，由北京济安金信科技有限公司、中国人民大学、中国科学院信息工程研究所等单位负责开展关于金融信息安全相关标准的研究制定。金融信息安全是国家信息安全的组成部分，信息资源、信息系统和信息网络等信息安全问题不仅影响金融信息服务，而且可能影响国家金融安全，因此特制定《信息安全技术金融信息保护的规范》。本标准从金融信息安全的角度出发，保障用户获得真实有效地信息,规定了金融信息服务提供商在金融信息采集、加工和处理以及提供时的保护要求；给出了建立和实施金融信息安全管理体系的要求；规定了根据金融信息的需要实施安全控制的要求。本标准的制定将有利于加强金融信息安全，保障金融信息服务质量。本标准适用于在中华人民共和国境内注册的或登记的国内外金融信息服务提供商。金融信息服务提供商应当自觉按照规范的具体要求，在信息安全技术的框架下提供金融信息服务。主要工作过程1）2015年10月，成立标准编制小组考虑到我国金融信息服务业现状，标准编制组广泛吸收了国内的金融信息服务提供商、研究机构、金融信息用户等参与到标准研制工作，成立标准编制组。2）2015年11月，调研国内外金融信息保护相关标准现状研究现有国内外金融信息安全、金融信息保护等相关标准，分析各自特点，学习借鉴，主要包括：JR/T0060-2010证券期货业信息系统安全等级保护基本要求JJR/T0067-2011证券期货业信息系统安全等级保护测评要求JR/T0071-2012金融行业信息系统信息安全等级保护实施指引JR/T0072-2012金融行业信息系统信息安全等级保护测评指南JR/T0073-2012金融行业信息安全等级保护测评服务安全指引GB/T27910-2011 金融服务信息安全指南JR/T0021-2004 上市公司信息披露电子化规范ISO17442:2012 Financialservices-LegalEntityIdentifier(LEI) 金融服务法人机构识别编码2005年《服务贸易总协定》2009年《外国机构在中国境内提供金融信息服务管理规定》2012年《信息安全技术公共及商用服务信息系统个人信息保护指南》2000年《互联网信息服务管理办法》2009年《新闻记者证管理办法》2016年《大数据标准化白皮书》2015年《可供网站转载新闻的新闻单位名单》2015年《关于规范网络转载版权秩序的通知》2010年《CriteriaforRegulatedInformationServices》ANSIX9.41金融服务行业安全服务管理2017年《互联网新闻信息服务管理规定》3）2016年1月，标准立项申报向全国信息安全标准化技术委员会（安标委）申报标准项目《中国金融信息服务数据标准制定》。4）2016年2月-5月，确定标准框架，完成标准初稿2016年2月-5月，编制组在研究我国已有金融信息服务相关规定和国内外标准基础上，结合我国工作需要及金融信息服务机构实际情况，编写标准总体框架并提出标准初稿。5）2016年6月，全国信安标委第一次会议周，汇报标准初稿2016年6月，参加全国信息安全标准化技术委员会北京会议周，对《中国金融信息服务数据标准制定》项目进行汇报。在会议周上，标准编制组与WG7成员单位就标准草案进行了讨论，听取了与会专家的意见。6）2016年7月-9月根据意见修改完善，形成新一版标准草案根据安标委北京会议周WG7工作组的意见，标准名称修改为《信息安全技术金融信息保护规范》。针对变更名称后的标准进行修改，形成新一版标准草案。7）2016年10月组织召开专家研讨会，征求专家意见2016年10月14日，起草单位组织召开标准草案专家研讨会。针对新一版标准草案进行讨论。会后标准编制组根据专家意见继续修改完善，形成新一版标准草案。8）2016年10月，全国信安标委第二次会议周2016年10月，全国信息安全标准化技术委员会在成都组织召开了2016年第二次会议周。在会议周上，标准编制组与WG7成员单位就标准草案进行了讨论，听取了与会专家的意见。本次会议周形成会议决议，该标准修改完善后形成新一版标准草案。9）2017年1月，标准编制组第二次征求意见2017年1月标准编制小组向合作单位、金融机构、研究机构等进行第二次意见收集。根据征求的意见标准编制小组开会讨论，决定是否采纳修改意见并形成新一版标准草案。10）2017年4月，全国信安标委第三次会议周，形成征求意见稿2017年4月，全国信息安全标准化技术委员会在武汉组织召开了2017年第一次会议周。在会议周上，标准编制组对标准推进工作进行了汇报，并提出形成《征求意见稿》。经过WG7成员单位讨论，本次会议周形成会议决议，标准修改完善后形成《征求意见稿》。二．编制原则和主要内容2.1 编制原则本标准的研究与编制工作遵循以下原则：一是充分吸收已有金融行业、信息安全技术等相关标准。《信息安全技术金融信息保护规范》标准编制组充分参考了国际、国内有关金融行业信息安全要求及规范。标准参考了下列文件：GB/T22081—2016信息技术安全技术信息安全管理实践指南（ISO/IEC27002:2013，IDT）GB/T27910—2011金融服务信息安全指南GB/T29765—2013信息安全技术数据备份与恢复产品技术要求与测试评价方法GB/T31168—2014信息安全技术云计算服务安全能力要求JR/T0071—2012金融行业信息系统信息安全等级保护实施指引ISO/IEC27033信息技术安全技术网络安全（Informationtechnology—Securitytechniques—Networksecurity）二是考虑可操作性和实用性。为了确保标准的可操作性和实用性，标准编制从两方面着手，一方面标准编制组广泛吸收了国内多家金融信息服务提供商作为标准编制合作单位；另一方面标准制定过程中，也不断地借鉴国内外金融信息服务提供商的安全行为规范要求标准来扩充标准的内容，为标准合理性和可操作性提供支撑。2.2主要内容本标准从信息安全的角度，规定了金融信息在采集、加工和处理以及提供时的保护要求；并给出了建立和实施金融信息安全管理体系的要求，规定了根据金融信息的需要应实施安全控制的要求。本标准适用于金融信息服务提供商，也可以为相关主管部门、金融信息服务提供方和金融信息用户提供参考。金融信息服务提供商在金融信息保护方面应满足完整性、一致性、时效性、安全性、可用性、可信性、可追溯性等基本条件；并保证金融信息系统、金融信息处理及服务、金融信息服务管理等方面的安全。主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果无。采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的对比情况，或与测试的国外样品、样机的有关数据对比情况金融信息是金融行业的重要内容，由于缺少金融信息保护规范，使我国现有的金融信息服务在安全性和规范性方面尚有不足。这种情况下，通过制定本标准，可建立一套金融信息安全保障体系，有效防范和化解安全风险，统一安全问题处理规范和流程，增强金融信息安全整体防范能力，保证金融系统平稳工作及各项业务持续运行。因此，本标准引用已有的国际标准、国家标准以及金融行业标准,研究了ISO/IEC27002:2013，GB/T22081-2016等标准，结合金融信息服务的实际要求，制定出符合行业习惯的金融信息保护标准，这与当前的国际国内金融行业和信息行业安全标准是一致的，并可以在未来同步制定为国际标准。与有关的现行法律、法规和强制性国家标准的关系《信息安全技术金融信息保护规范》符合现有法律法规的要求。《信息安全技术金融信息保护规范》与以下现有标准不矛盾、不冲突。GB/T22081—2016信息技术安全技术信息安全管理实践指南（ISO/IEC27002:2013，IDT）GB/T27910—2011金融服务信息安全指南GB/T29765—2013信息安全技术数据备份与恢复产品技术要求与测试评价方法GB/T31168—2014信息安全技术云计算服务安全能力要求JR/T0071—2012金融行业信息系统信息安全等级保护实施指引ISO/IEC27033信息技术安全技术网络安全（Informationtechnology—Securitytechniques—Networksecurity）金融信息安全是国家信息安全的核心组成部分，本标准参考了金融行业及信息行业标准，制定出了适用于金融行业的信息安全和保护规范，填补了在金融行业信息安全标准的空白。重大分歧意见的处理经过和依据《信息安全技术金融信息保护规范》编制过程中未出现重大分歧。其他详见意见汇总处理表。国家标准作为强制性国家标准或推荐性国家标准的建议建议《信息安全技术金融信息保护规范》作为推荐性国家标准发布实施。贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法等内容）《信息安全技术金融信息保护规范》的实施主体为提供金融信息服务的机构。本标准为金融信息的数据标准化和保护规范化提供基础和保障，有利于建立金融信息保护统一的数据标准及安全规范，保障金融信息服务的质量，提升内容的深度和广度，同时也为金融信息质量的有效评估和相关部门对金融信息服务的有效监管提供了基础。