11月11日，中國人民銀行發布《金融行業網絡安全等級保護實施指引》(以下簡稱“實施指引”)系列標準，以及《金融行業網絡安全等級保護測評指南》(以下簡稱“評測指南”)標準，自發布之日起實施。

　　其中，《實施指引》系列共包括《基礎和術語》、《基本要求》、《崗位能力要求和評價指引》、《培訓指引》、《審計要求》、《審計指引》六個部分，其中基本要求部分為標準主要內容。網絡安全保障框架：兩要求、兩體系網絡安全等級保護是國家網絡安全保障工作的一項基本制度。隨著云計算、移動互聯、物聯網、大數據等新技術的廣泛應用，金融機構正根據自己需要不斷推進IT架構轉型。據移動支付網了解，《實施指引》依據國家網絡安全等級保護相關要求，為金融行業的網絡安全建設提供方法論、具體的建設措施及技術指導，完善金融行業網絡安全等級保護體系?！秾嵤┲敢分赋?，金融行業網絡安全保障總體框架包含技術、管理要求以及技術、管理體系，遵循交互、綜合保障的原則。

　　其中，技術要求涉及安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心五方面要求;管理要求涉及安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理五方面要求。技術體系以“一個中心，三重防護”為核心理念，劃分安全計算環境、安全區域邊界、安全通信網絡與安全管理中心;管理體系遵從生命周期法則，從建立、實施和執行、監管和審計、保持和改進四個過程進行科學化管理，通過循環改進形成“生命環”的管理辦法。新增“金融行業增強性安全要求(F類)”《實施指引》完整的給出了從第二級到第四級的安全要求，由于業務目標不同、使用技術不同、應用場景不同，不同的等級保護對象會以不同的形式出現。為方便實現對不同等級和不同形態的等級保護對象的共性化和個性化保護，等級保護要求分為安全通用要求和安全擴展要求。無論等級保護對象以何種形式出現，都應根據相應保護等級實現相應級別的安全通用要求，另外根據使用的特定技術或特定場景選擇性實現安全擴展要求?！秾嵤┲敢方o出了針對云計算、移動互聯、物聯網、大數據系統的安全擴展要求。另外，新增了“金融行業增強性安全要求(F類)”，要求在結合金融行業相關規定的基礎上對等級保護要求進行補充和完善，F2、F3、F4分別對應二級、三級、四級增強性要求。從第二級安全要求開始，每一級對個人信息保護都做出了要求，每一級都包括同樣的7條說明，只不過在“金融行業增強性安全要求(F類)”等級中做出了區分。

　　另外，在《實施指引》中對自行軟件開發、外包軟件開發、服務供應商選擇、環境管理、設備維護管理等等方面都提出了細致的要求。在外包軟件開發中明確要求，禁止外包服務商轉包并嚴格控制分包。在開發時，應要求開發人員和測試人員分離，開發人員不能兼任系統管理員或業務操作員，并要求在軟件開發過程中對代碼規范、代碼質量、代碼安全性進行審查。測評指南非常詳細標準出臺最重要的一部分是什么?所有人都會說是落地。不落地的標準等于不存在的標準，為幫助《實施指引》落地，《測評指南》與《實施指引》同時發布、實施。

　　在《測評指南》中增加了“云計算安全測評擴展要求”、“移動互聯安全測評擴展要求、”“物聯網安全測評擴展要求”。增加了“大數據可參考安全評估方法”，對金融行業大數據平臺提出分級要求?！稖y評指南》適用于指導金融機構、測評機構和金融行業網絡安全等級保護主管部門對等級保護對象的安全狀況進行安全測評。據移動支付網了解，與金融機構系統特色相結合，《測評指南》同樣新增“金融行業增強安全保護類(F類)”要求，與《實施指引》同樣采用F2、F3、F4進行分級表示。（來源：銀行科技研究社）