标准规范下载简介
JR/T 0071.1-2020 金融行业网络安全等级保护实施指引 第1部分:基础和术语.pdf简介:
"JR/T 0071.1-2020《金融行业网络安全等级保护实施指引 第1部分:基础和术语》"是由中国金融行业标准委员会发布的网络安全管理标准。这个标准主要针对金融行业的网络安全等级保护提供实施指导,它是金融行业信息安全保障的重要依据。该标准的第一部分关注基础和术语,对网络安全等级保护的基本概念、相关术语进行了定义和阐述,旨在为金融行业的网络安全保护工作提供清晰的框架和术语体系。
它详细规定了网络安全等级保护的级别划分、实施流程、关键技术和管理要求,以及如何进行风险评估、安全设计、建设和运维等各个环节。这对于金融机构来说,有助于提升其网络安全防护能力,保障金融业务的稳定运行和客户信息安全。
JR/T 0071.1-2020 金融行业网络安全等级保护实施指引 第1部分:基础和术语.pdf部分内容预览:
下列术语和定义适用于本文件。
等级保护对象targetofclassifiedsecurity 网络安全等级保护工作直接作用的对象。 注:主要包括信息系统、通信网络设施和数据资源等。 [GB/T22240—2020,定义3.2]
等级测评testingandevaluationforclassifiedcybersecurityprotection 测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家 网络安全等级保护状况进行检测评估的活动。 [GB/T 28448—2019, 定义3. 6]
主体subject 引起信息在客体之间流动的人、进程或设备等。 [GB 17859—1999,定义3. 4]
abe 表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中把敏感标记作为强制访问控制 决策的依据。 [GB17859—1999T∕CCMA 0095-2020 非公路自卸车 操作使用规程,定义3.5] 3.2.7 主、客体标记labelofsubjectandobject 为主、客体指定敏感标记。这些敏感标记是等级分类和非等级类别的组合,是实施强制访问控制的 依据。 [GB/T20271—2006,定义3.1.14]
主、客体标记labelofsubjectandobject 为主、客体指定敏感标记。这些敏感标记是等级分类和非等级类别的组合,是实施强制访问控制的 依据。 [GB/T20271—2006,定义3.1.14]
访问控制accesscontrol 按确定的规则,对实体之间的访问活动进行控制的安全机制,能防止对资源的未授权使用。 [GB/T20269—2006,定义3.3]
自主访问控制discretionaryaccesscontrol 由客体的所有者主体自主地规定其所拥有客体的访问权限的方法。有访问权限的主体能按授权 指定客体实施访问,并能根据授权,对访问权限进行转移。 [GB/T20271—2006,定义3.1.16]
弱令weakpassword
可信路径trustedpath 为实现用户与SSF之间的可信通信,在SSF与用户之间建立和维护的保护通信数据免遭修 通信路径。
[GB/T20271—2006,定义3.1.20] 3.2.14 公开用户数据 publisheduserdata 信息系统中需要向所有用户公开的数据。该类数据需要进行完整性保护。 [GB/T20271—2006,定义3.1.21] 3.2.15 内部用户数据 internaluserdata 信息系统中具有一般使用价值或保密程度,需要进行一定保护的用户数据。该类数据的泄漏或破坏, 会带来一定的损失。 [GB/T20271—2006,定义3.1.22] 3.2.16 重要用户数据 importantuserdata 信息系统中具有重要使用价值或保密程度,需要进行重点保护的用户数据,该类数据的泄露或破坏, 会带来较大的损失。 [GB/T202712006,定义3.1.23] 3.2.17 关键用户数据keyuserdata 信息系统中具有很高使用价值或保密程度,需要进行特别保护的用户数据,该类数据的泄漏或破坏 会带来重大损失。 [GB/T20271—2006,定义3.1.24] 3.2.18 核心用户数据 nuclearuserdata 信息系统中具有最高使用价值或保密程度,需要进行绝对保护的用户数据,该类数据的泄漏或破坏 会带来灾难性损失。 [GB/T20271—2006,定义3.1.25] 3.2.19 设备物理安全facilityphysicalsecurity 为保证信息系统的安全可靠运行,降低或阻止人为或自然因素对硬件设备安全可靠运行带来的安全
核心用户数据nuclearuserdata 信息系统中具有最高使用价值或保密程度,需要进行绝对保护的用户数据,该类数据的泄漏或 带来灾难性损失。 [GB/T202712006,定义3.1.25]
设备物理安全facilityphysicalsecurity 为保证信息系统的安全可靠运行,降低或阻止人为或自然因素对硬件设备安全可靠运行带来的安全 风险,对硬件设备及部件所采取的适当安全措施。 [GB/T21052—2007,定义3.3]
设备物理安全facilityphysicalsecurity 为保证信息系统的安全可靠运行,降低或阻止人为或自然因素对硬件设备安全可靠运行带来的安全 风险,对硬件设备及部件所采取的适当安全措施。 [GB/T21052—2007,定义3.3]
系统物理安全systemphysicalsecurity 为保证信息系统的安全可靠运行,降低或阻止人为或自然因素从物理层面对信息系统保密性、完整 性、可用性带来的安全威胁,从系统的角度采取的适当安全措施。 [GB/T21052—2007,定义3.5]
系统物理安全systemphysicalsecurity 为保证信息系统的安全可靠运行,降低或阻止人为或自然因素从物理层面对信息系统保密性、完整 性、可用性带来的安全威胁,从系统的角度采取的适当安全措施。 [GB/T21052—2007,定义3.5]
灾难备份backupfordisasterrecovery 为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力 进行备份的过程。 [GB/T 20988—2007. 定义3.2]
灾难备份中心backupcenterfordisasterrecovery 用于灾难发生后接替主系统进行数据处理和支持关键业务功能运作的场所,可提供灾难备份系统 备用的基础设施和专业技术支持及运行维护管理能力,此场所内或周边可提供备用的生活设施。 [GB/T20988—2007,定义3.1]
分析业务功能及其相关信息系统资源、评估特定灾难对各种业务功能的影响的过程, [GB/T20988—2007,定义3.5]
灾难恢复预案disasterrecoveryplan 定义信息系统灾难恢复过程中所需的任务、行动、数据和资源的文件。用于指导相关人员在预定的 灾难恢复目标内恢复信息系统支持的关键业务功能。 [GB/T20988—2007,定义3.10]
灭难恢复能力 在灾难发生后利用灾难恢复资源和灾难恢复预案及时恢复和继续运作的能力。 [GB/T20988—2007,定义3.12]
演练exercise 为训练人员和提高灾难恢复能力而根据灾难恢复预案进行活动的过程。包括桌面演练、模拟 点演练和完整演练等。 [GB/T20988—2007.定义3.13]
恢复时间目标recoverytimeobjective;RTo 灾难发生后,信息系统或业务功能从停顿到必须恢复的时间要求, [GB/T 20988—2007.定义3.18]
恢复时间目标recoverytimeobjective;RTo 灾难发生后,信息系统或业务功能从停顿到必须恢复的时间要求 [GB/T 20988—2007.定义3.18]
恢复点目标recoverypointobjective;RPo 灾难发生后《跨座式单轨交通施工及验收规范 GB50614-2010》,系统和数据必须恢复到的时间点要求, [GB/T20988—2007,定义3.19]
为获得审计证据并对其进行客观的评价,以确定满足审计准则的程度所进行的系统的、独立的 文件的过程。
审计准则auditcriteria 审计人员进行审计工作时必须遵循的行为规范,是审计人员执行审计业务、获取审计证据、形成审 计结论、出具审计报告的标准。
计准火 auditcriterl 审计人员进行审计工作时必须遵循的行为规范,是审计人员执行审计业务、获取审计证据、形 结论、出具审计报告的标准。
审计结论auditconclusion 审计组综合审计目的和所有审计发现后得出的审计结果
审计人员auditor 有能力实施审计的人员
鉴别信息authenticationinformation 用以确认身份真实性的信息。 [GB/T 20269—2006,定义3.5]
敏感性sensitivity 表征资源价值或重要性的特性,也可能包含这一资源的脆弱性。 [GB/T20269—2006,定义3.6]
机密性confidentiality 数据所具有的特性DB13∕T 501-2003 建设工程地震安全性评价分类,即表示数据所达到的未提供或未泄露给非授权的个人、过程或其他实体的程度 [GB/T20984—2007,定义3.5]