【解读】等保标准下金融行业应急预案管理这样达标

百家 作者:绿盟科技 2017-07-05 10:10:34

银监会之前向各银行业金融机构下发通知,要求针对网络安全攻击场景开展应急演练。本文将梳理金融等保标准中对于应急预案管理要求,并对相关条款需采取的措施进行说明。

人民银行发布《金融行业信息系统信息安全等级保护实施指引》【JR/T 0071—2012,以下简称“金融等保”】是“金融行业信息系统等级保护”系列标准中的第一项标准。其中,金融行业增强安全保护类(F类)作为金融行业的增强性安全要求分布在S、A、G 类的要求中,该类要求是在结合等级保护及金融行业相关规定的基础上进行补充和完善。


关于网络信息、数据格式、系统策略和操作基准的技术说明对于事件响应非常关键。当威胁已经利用了某个漏洞制造了安全事件或安全事故后,应按照应急预案快速响应。

应急预案中涉及的应急事件处置,应依据《银监办发〔2009〕437号银行、证券跨行业信息系统突发事件应急处置工作指引》开展工作,也可以参考美国国家标准与技术研究所(NIST)发布的特别报告书(SP)800-61信息安全事件处理指南。本文重点对于应急预案部分进行解读。


金融等保中“应急预案管理”

相关条款原文:


应在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括应急组织机构、启动应急预案的条件、应急处理流程、系统恢复流程、事件信息收集、分析、报告制度、事后教育和培训等内容, 业务处理系统应急预案的编制工作应由相关业务部门和科技部门共同完成,并由预案涉及的相关机构签字盖章;


应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障;


应对系统相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次;


在与第三方合作的业务中,应建立并完善内部责任机制和与相关机构之间的协调机制,制定完整的应急预案及应急协调预案,并定期参加联合演练;


突发事件应急处置领导小组应统一领导计算机系统的应急管理工作,指挥、决策重大应急处置事宜,并协调应急资源,明确具体应急处置联络人,并将具体联系方式上报本行业信息安全监管部门;


金融机构应急领导小组应及时向新闻媒体发布相关信息,严格按照行业、机构的相关规定和要求对外发布信息,机构内其它部门或者个人不得随意接受新闻媒体采访或对外发表个人看法;


实施报告制度和启动应急预案的单位应当实行重大突发事件24小时值班制度;


应定期对原有的应急预案重新评估,并根据安全评估结果,定期修订、演练,并进行专项内部审计;


应急演练结束后,金融机构应撰写应急演练情况总结报告,总结报告包括但不限于:内容和目的、总体方案、参与人员、准备工作、主要过程和关键时间点记录、存在的问题、后续改进措施及实施计划、演练结论;


应每年至少进行一次重要信息系统专项灾备切换演练,每三年至少进行一次重要信息系统全面灾备切换演练,根据不同的应急恢复内容,确定演练的周期,并指定专人管理和维护应急预案,根据人员、信息资源等变动情况以及演练情况适时予以更新和完善,确保应急预案的有效性和灾难发生时的可获取性。


金融等保中“应急预案管理”

相关条款解读:

明确指定金融机构内部负责应急响应的部门,包含指定应急预案、应急处置、应急决策的工作小组,由负责应急预案工作的部门牵头开展应急预案制定的工作,应急预案定稿后需要签字盖章;

在统一的应急预案框架下制定不同事件场景的应急预案,建议应急预案至少包含网络、系统、应用三个方面,网络方面有网络扫描攻击、拒绝服务攻击等,系统方面有恶意代码、后门程序等,应用方面有SQL注入、网页篡改、网页挂马、钓鱼网站攻击等场景;

应急预案可由服务提供商、厂商、第三方合作伙伴等协助编写,但需要金融机构指定事件场景,审核应急预案中涉及的防护方式、启动预案条件及步骤、响应过程操作步骤、参与应急人员名单及联系方式;

应急预案需包含应急处置联络人的日常通信录与紧急通信录,指定紧急情况发生后的联系方式,如转由微信群进行紧急联络;

根据应急预案涉及的各方面内容,由负责应急预案工作的部门组织预案中各角色相关人员开展应急预案培训,至少每年举办一次;

金融机构审计部门需要对应急预案进行安全审计,如计划可行性、场景覆盖度、配置步骤准确性等。审计部门审计人员可以在历次内外部应急演练中熟悉应急预案内容,首次参演建议以观察员身份参与,其后参演可以逐步深入,直至熟悉整个预案及演练内容,再对应急预案的各方面做专项审计;

应急演练需要准备演练环境,网络管理员、系统管理员等相关参演人员需要比对演练环境与演练内容中的系统版本、参数,网络IP地址、应用账号密码的准确性,避免演练过程中断,影响演练效果;

定期开展演练有利于响应小组成员明确各自角色分工,熟悉响应流程和内容。针对金融机构内部自行定义的重要信息系统,专项灾备切换演练至少每年一次,全面灾备切换演练至少每三年一次;

应急演练或应急处置完成后,金融机构需要编写总结报告。总结报告包括但不限于:内容和目的、总体方案、参与人员、准备工作、主要过程和关键时间点记录、存在的问题、后续改进措施及实施计划、应急演练(应急处置)结论。


相关系列内容请点击题目阅读:

【策略】金融行业等保标准中对于数据安全要求的解读

【解读】金融行业等保标准中对网络安全的要求

【解读】金融行业等保6点要求规范日志管理




请点击屏幕右上方“…”

关注绿盟科技公众号
NSFOCUS-weixin

↑↑↑长按二维码,下载绿盟云APP

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接