说明:收录25万 73个行业的国家标准 支持批量下载
文库搜索
切换导航
文件分类
频道
联系我们
问题反馈
文件分类
联系我们
问题反馈
批量下载
ICS03.060 A11JR 中华人民共和国金融行业标准 JR/T0071.6—2020 金融行业网络安全等级保护实施指引 第6部分:审计指引 Implementationguidelinesforclassifiedprotectionofcybersecurityoffinancial industry—Part6:Guidelinesforauditwork 2020-11-11发布 2020-11-11实施 中国人民银行 发布JR/T0071.6—2020 I目 次 前言.......................................................................................................................................................................II 引言.....................................................................................................................................................................III 1范围.....................................................................................................................................................................1 2规范性引用文件.................................................................................................................................................1 3审计目标.............................................................................................................................................................1 4审计方案要求.....................................................................................................................................................1 5审计程序.............................................................................................................................................................2 6审计内容.............................................................................................................................................................8 参考文献...............................................................................................................................................................10JR/T0071.6—2020 II前 言 JR/T0071《金融行业网络安全等级保护实施指引》由以下6部分构成: ——第1部分:基础和术语; ——第2部分:基本要求; ——第3部分:岗位能力要求和评价指引; ——第4部分:培训指引; ——第5部分:审计要求; ——第6部分:审计指引。 本部分为JR/T0071的第6部分。 本部分按照GB/T1.1—2009给出的规则起草。 本部分由中国人民银行提出。 本部分由全国金融标准化技术委员会(SAC/TC180)归口。 本部分起草单位:中国人民银行科技司、中国银行保险监督管理委员会统计信息与风险监测部、中 国金融电子化公司、北京中金国盛认证有限公司。 本部分主要起草人:李伟、陈立吾、沈筱彦、车珍、昝新、夏磊、方怡、张海燕、唐辉、李凡、王 海涛、张璐、侯漫丽、潘丽扬、邓昊、赵方萌、乔媛、孙国栋、刘文娟、崔莹、陈雪峰、马成龙、杜巍、 李瑞锋。JR/T0071.6—2020 III引 言 网络安全等级保护是国家网络安全保障工作的一项基本制度,金融行业重要系统关系到国计民生, 是国家网络安全重点保护对象,因此需要一系列适合金融行业的等级保护标准体系作为支撑,以规范和 指导金融行业等级保护工作的实施。随着云计算、移动互联、物联网、大数据等新技术的广泛应用,金 融机构正根据自身发展的需要,持续推进IT架构的转型。为适应新技术、新应用和新架构情况下金融行 业网络安全等级保护工作的开展,现对JR/T0071进行修订。修订后的JR/T0071依据国家网络安全等级 保护相关要求,为金融行业的网络安全建设提供方法论、具体的建设措施及技术指导,完善金融行业网 络安全等级保护体系,更好适应新技术在金融行业的应用。JR/T0071.6—2020 1金融行业网络安全等级保护实施指引 第6部分:审计指引 1范围 本部分规定了金融机构网络安全等级保护工作实施审计的指引。 本部分适用于指导金融机构、测评机构和金融行业网络安全等级保护主管部门实施网络安全等级保 护审计工作。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T25058信息安全技术网络安全等级保护实施指南 3审计目标 通过网络安全等级保护审计,获取金融机构开展网络安全等级保护工作的相关证据,并对其进行客 观的评价,以确定各金融机构在定级、备案、建设整改、测评自查、安全检查等各项网络安全等级保护 工作中是否遵循了网络安全等级保护的要求。 4审计方案要求 4.1总则 根据受审计金融机构的规模、性质和复杂程度,金融行业网络安全等级保护主管部门应制定一个或 多个审计方案,规划受审计金融机构的整体审计工作。 审计方案可包括一次或多次审计,策划和组织审计的类型和数目,以及在规定的时间内为有效和高 效地实施审计提供的所有必要活动。 金融行业网络安全等级保护主管部门应对审计方案的管理进行授权。管理审计方案人员应制定、监 督、评审及改进审计方案,并确保受审计金融机构提供必要的资源。 4.2基本要素和主要内容 4.2.1基本要素 审计方案的制定可基于以下考虑: a)法律法规和合同的要求。 b)网络安全等级保护主管部门的要求。 c)其他相关方的需求。 d)金融机构的风险。JR/T0071.6—2020 24.2.2主要内容 基于审计金融机构的规模、性质与复杂程度,审计方案的内容包括: a)审计的范围、目的和期限。 b)审计的频次。 c)审计的内容。 d)审计活动的数量和地点。 e)审计活动的重要性、复杂性、相似性。 f)审计参考的标准、法律法规、合同要求及其他审计准则。 g)以往的审计结论或以往审计方案的评审结果。 h)金融机构的变更情况。 4.3审计方案负责人员和所需资源 4.3.1审计方案负责人员职责 审计方案负责人员应了解审计原则、审计人员能力和审计技术应用。他们应具有管理技能,了解与 受审计活动相关的技术和业务。 负责管理审计方案的人员应: a)确定审计方案的目的和内容。 b)确定审计人员职责和审计程序,确保受审计金融机构提供必要的资源。 c)确保审计方案的实施。 d)确保保持审计方案记录。 e)制定、监督、评审和改进审计方案。 4.3.2所需资源 识别审计方案所需资源时应考虑: a)审计活动的制定、实施、管理和改进所必需的财务资源。 b)审计技术。 c)适合具体审计方案目的的审计人员。 d)审计方案的内容。 e)审计过程中的路途时间、食宿和其他审计所需要的资源。 4.4审计方案的实施 审计方案的实施应明确以下方面: a)与被审计机构沟通审计方案。 b)审计及其他与审计方案有关的活动的协调和日程安排。 c)向审计组提供必需的资源。 d)确保按审计方案进行审计。 e)确保审计活动记录的完整性。 f)确保审计报告的评审和批准,并确保分发给审计相关方。 5审计程序JR/T0071.6—2020 35.1活动流程 审计组应在审计前策划完整的审计活动流程,审计活动流程参见图1。 启动审计 ——指定审计组长 ——确定审计目的、范围和准则 ——确定审计的可行性 ——选择审计组 ——与受审计金融机构建立初步 联系 评审文件 评审相关管理制度文件,包括记录,确 定其针对审计准则的适宜性和充分性 准备现场审计 ——编制审计计划 ——审计组工作分配 ——准备工作文件 实施现场审计 ——举行首次
JR-T0071_6-2020 金融行业网络安全等级保护实施指引 第6部分:审计指引
文档预览
中文文档
16 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
赞助2元下载(无需注册)
温馨提示:本文档共16页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
下载文档到电脑,方便使用
赞助2元下载
本文档由 思安 于
2022-12-11 23:28:37
上传分享
举报
下载
原文档
(263.8 KB)
分享
友情链接
美创 数据安全全流程审计和溯源技术的应用.pdf
ISO 13119 2022 Health informatics — Clinical knowledge resources — Metadata.pdf
GB-T 3714-2017 碳酸锰矿.pdf
GB-T 41831-2022 项目管理专业人员能力评价要求.pdf
DB43-T 1315-2023 森林城市评价指标 湖南省.pdf
YD-T 3763.8-2021 研发运营一体化(DevOps)能力成熟度模型 第8部分:系统和工具技术要求.pdf
DB51-T 2161-2016 实验室人力资源管理指南 四川省.pdf
DB2201-T 31-2023 政务云服务与接入安全管理规范 长春市.pdf
GB-T 40211-2021 工业通信网络 网络和系统安全 术语、概念和模型 ISO 62443-1-1-2009.pdf
GB-T 33207-2016 无损检测 在役金属管内氧化皮堆积的磁性检测方法.pdf
DB51-T 2798-2021 公路旅游标志设置规范 四川省.pdf
GB-T 29070-2012 无损检测 工业计算机层析成像 CT 检测 通用要求.pdf
GM-T 0010-2023 SM2密码算法加密签名消息语法规范.pdf
GM-T 0009-2012 SM2密码算法使用规范.pdf
GB 50058-2014 爆炸危险环境电力装置设计规范.pdf
GB-T 15320-2001节能产品评价导则.pdf
TTAF 180.3—2023 小程序个人信息保护规范 第3部分:全流程开发管理.pdf
T-CAMA 01—2017 农机深松作业远程监测系统技术要求.pdf
GB-T 5195.1-2017 萤石 氟化钙含量的测定 EDTA滴定法和蒸馏-电位滴定法.pdf
JR-T0197-2020 金融数据安全 数据安全分级指南.pdf
交流群
-->
1
/
3
16
评价文档
赞助2元 点击下载(263.8 KB)
回到顶部
×
微信扫码支付
2
元 自动下载
官方客服微信:siduwenku
支付 完成后 如未跳转 点击这里 下载
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们
微信(点击查看客服)
,我们将及时删除相关资源。