JR∕T 0071.6—2020 金融行业网络安全等级保护实施指引 第6部分:审计指引(金融).pdf
《JR∕T 0071.6—2020 金融行业网络安全等级保护实施指引 第6部分:审计指引(金融).pdf》由会员分享,可在线阅读,更多相关《JR∕T 0071.6—2020 金融行业网络安全等级保护实施指引 第6部分:审计指引(金融).pdf(16页珍藏版)》请在咨信网上搜索。
1、ICS 03.060A 11JR中 华 人 民 共 和 国 金 融 行 业 标 准JR/T 0071.62020金融行业网络安全等级保护实施指引第 6 部分:审计指引Implementation guidelines for classified protection of cybersecurity of financialindustryPart 6:Guidelines for audit work2020 - 11 - 11 发布2020 - 11 - 11 实施中国人民银行发 布JR/T 0071.62020I目次前言.II引言.III1 范围.12 规范性引用文件.13 审计目标.
2、14 审计方案要求.15 审计程序.26 审计内容.8参考文献.10JR/T 0071.62020II前言JR/T 0071金融行业网络安全等级保护实施指引由以下6部分构成:第 1 部分:基础和术语;第 2 部分:基本要求;第 3 部分:岗位能力要求和评价指引;第 4 部分:培训指引;第 5 部分:审计要求;第 6 部分:审计指引。本部分为 JR/T 0071 的第 6 部分。本部分按照 GB/T 1.12009 给出的规则起草。本部分由中国人民银行提出。本部分由全国金融标准化技术委员会(SAC/TC 180)归口。本部分起草单位:中国人民银行科技司、中国银行保险监督管理委员会统计信息与风险监
3、测部、中国金融电子化公司、北京中金国盛认证有限公司。本部分主要起草人:李伟、陈立吾、沈筱彦、车珍、昝新、夏磊、方怡、张海燕、唐辉、李凡、王海涛、张璐、侯漫丽、潘丽扬、邓昊、赵方萌、乔媛、孙国栋、刘文娟、崔莹、陈雪峰、马成龙、杜巍、李瑞锋。JR/T 0071.62020III引言网络安全等级保护是国家网络安全保障工作的一项基本制度,金融行业重要系统关系到国计民生,是国家网络安全重点保护对象, 因此需要一系列适合金融行业的等级保护标准体系作为支撑, 以规范和指导金融行业等级保护工作的实施。随着云计算、移动互联、物联网、大数据等新技术的广泛应用,金融机构正根据自身发展的需要,持续推进IT架构的转型。
4、为适应新技术、新应用和新架构情况下金融行业网络安全等级保护工作的开展,现对JR/T 0071进行修订。修订后的JR/T 0071依据国家网络安全等级保护相关要求,为金融行业的网络安全建设提供方法论、具体的建设措施及技术指导,完善金融行业网络安全等级保护体系,更好适应新技术在金融行业的应用。JR/T 0071.620201金融行业网络安全等级保护实施指引第 6 部分:审计指引1 范围本部分规定了金融机构网络安全等级保护工作实施审计的指引。本部分适用于指导金融机构、 测评机构和金融行业网络安全等级保护主管部门实施网络安全等级保护审计工作。2 规范性引用文件下列文件对于本文件的应用是必不可少的。 凡
5、是注日期的引用文件, 仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 25058信息安全技术 网络安全等级保护实施指南3 审计目标通过网络安全等级保护审计, 获取金融机构开展网络安全等级保护工作的相关证据, 并对其进行客观的评价,以确定各金融机构在定级、备案、建设整改、测评自查、安全检查等各项网络安全等级保护工作中是否遵循了网络安全等级保护的要求。4 审计方案要求4.1 总则根据受审计金融机构的规模、 性质和复杂程度, 金融行业网络安全等级保护主管部门应制定一个或多个审计方案,规划受审计金融机构的整体审计工作。审计方案可包括一次或多次审
6、计, 策划和组织审计的类型和数目, 以及在规定的时间内为有效和高效地实施审计提供的所有必要活动。金融行业网络安全等级保护主管部门应对审计方案的管理进行授权。 管理审计方案人员应制定、 监督、评审及改进审计方案,并确保受审计金融机构提供必要的资源。4.2 基本要素和主要内容4.2.1 基本要素审计方案的制定可基于以下考虑:a)法律法规和合同的要求。b)网络安全等级保护主管部门的要求。c)其他相关方的需求。d)金融机构的风险。JR/T 0071.6202024.2.2 主要内容基于审计金融机构的规模、性质与复杂程度,审计方案的内容包括:a)审计的范围、目的和期限。b)审计的频次。c)审计的内容。d
7、)审计活动的数量和地点。e)审计活动的重要性、复杂性、相似性。f)审计参考的标准、法律法规、合同要求及其他审计准则。g)以往的审计结论或以往审计方案的评审结果。h)金融机构的变更情况。4.3 审计方案负责人员和所需资源4.3.1 审计方案负责人员职责审计方案负责人员应了解审计原则、审计人员能力和审计技术应用。他们应具有管理技能,了解与受审计活动相关的技术和业务。负责管理审计方案的人员应:a)确定审计方案的目的和内容。b)确定审计人员职责和审计程序,确保受审计金融机构提供必要的资源。c)确保审计方案的实施。d)确保保持审计方案记录。e)制定、监督、评审和改进审计方案。4.3.2 所需资源识别审计
8、方案所需资源时应考虑:a)审计活动的制定、实施、管理和改进所必需的财务资源。b)审计技术。c)适合具体审计方案目的的审计人员。d)审计方案的内容。e)审计过程中的路途时间、食宿和其他审计所需要的资源。4.4 审计方案的实施审计方案的实施应明确以下方面:a)与被审计机构沟通审计方案。b)审计及其他与审计方案有关的活动的协调和日程安排。c)向审计组提供必需的资源。d)确保按审计方案进行审计。e)确保审计活动记录的完整性。f)确保审计报告的评审和批准,并确保分发给审计相关方。5 审计程序JR/T 0071.6202035.1 活动流程审计组应在审计前策划完整的审计活动流程,审计活动流程参见图 1。启
9、动审计指定审计组长确定审计目的、范围和准则确定审计的可行性选择审计组与受审计金融机构建立初步联系评审文件评审相关管理制度文件, 包括记录, 确定其针对审计准则的适宜性和充分性准备现场审计编制审计计划审计组工作分配准备工作文件实施现场审计举行首次会议收集和验证信息形成审计发现准备审计结论举行末次会议编制、批准和分发审计报告编制审计报告批准和分发审计报告完成审计实施审计后续活动图 1 审计活动流程JR/T 0071.6202045.2 启动审计5.2.1 指定审计组长负责管理审计方案的人员应为审计活动指定的审计组长。5.2.2 确定审计目的、范围和准则审计应基于形成审计文件的目的、范围和准则。审计
10、目的可包括:a)确定受审计金融机构网络安全等级保护体系与审计准则的符合程度。b)评价受审计金融机构满足法律法规和合同要求的能力。c)评价网络安全等级保护体系实现规定目标的有效性。d)识别网络安全等级保护体系潜在的改进方面。审计范围描述审计的内容和界限,例如:实际位置、受审计的活动和过程等。审计准则确定审计符合性的依据,包括所适用的方针、程序、标准、法律法规、等级保护要求、合同要求或行业规范等。5.2.3 确定审计的可行性审计机构应判断审计的可行性,考虑下列因素的可获得性:a)策划审计所需的充分和适当的信息。b)受审计金融机构的充分合作。c)充分的时间和资源。当审计不可行时, 应在与受审计金融机
11、构协商后向金融行业网络安全等级保护主管部门建议替代方案。5.2.4 选择审计组当已明确审计可行时,审计机构应选择审计组,同时考虑实现审计目的。当只有一名审计人员时,审计人员应承担审计组长的职责。当决定审计组的规模和组成时,应考虑下列因素:a)审计目的、范围、准则以及预计的审计时间。b)为达到审计目的,审计组所需的整体能力。c)法律法规、合同的要求。d)确保审计组独立于受审计的活动并避免利益冲突。e)审计组成员与受审计金融机构的有效协作能力以及审计组成员之间共同工作的能力。保证审计组整体能力的过程应包括下列步骤:a)识别为达到审计目的所需的知识和技能。b)选择审计组成员以使审计组具备所有必要的知
12、识和技能。c)若审计组中的审计人员没有完全具备审计所需的知识和技能,可通过技术专家予以满足。5.2.5 与受审计金融机构建立初步联系审计机构与受审计金融机构就审计的事宜建立初步联系, 可以是正式或非正式的, 但应由负责管理审计方案的人员或审计组长进行。初步联系的目的是:JR/T 0071.620205a)与受审计金融机构的代表建立沟通渠道。b)提供建议的时间安排和审计组的信息。c)要求获得审计需要的相关文件,包括记录。d)确定适用的现场安全规则。e)对审计作出安排。5.3 评审文件在现场审计前应评审受审计金融机构的网络安全管理相关文件, 以确定管理制度所述的内容与审计准则的符合性。 评审文件可
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- JRT 0071.62020 金融行业网络安全等级保护实施指引 第6部分:审计指引金融 JR 0071.6 2020 金融 行业 网络安全 等级 保护 实施 指引 部分 审计
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
链接地址:https://www.zixin.com.cn/doc/93308.html