2019年5月10日，国家等级保护2.0的主要标准发布，并于2019年12月1日起实施。由于金融行业信息系统有其特殊性，从国标等保2.0发布开始，中国人民银行便牵头相关单位起草编制金融行业等保2.0标准（以下简称金融等保2.0），历时一年多，系列标准于2020年11月11日发布并实施。

为什么要制定金融行业等保2.0标准？

或许大家会有疑问，既然已有国标等保2.0，为什么还要制定金融行业的等保2.0。众所周知，网络安全等级保护是国家网络安全保障工作的一项基本制度，而金融行业重要系统属于国家关键基础设施，更是关系到国计民生，是国家网络安全重点保护对象。

金融行业信息系统涉及资金支付交易，本身对数据完整性、可用性、不可否认性有区别于一般行业的特殊要求，因此需要一系列适合金融行业的等级保护标准作为支撑，以规范和指导金融行业等级保护工作的实施。金融等保2.0结合了行业自身特点，在国标等保2.0基础上进行了扩充与增强，以适应金融行业的网络安全要求。

金融行业等保2.0标准的主要内容

金融等保2.0包括《金融行业网络安全等级保护实施指引》（以下简称“实施指引”）、《金融行业网络安全等级保护测评指南》（以下简称“测评指南”）。

1.实施指引

“实施指引”可看作是一套标准，分为六个部分：《基础和术语》《基本要求》《岗位能力要求和评价指引》《培训指引》《审计要求》、《审计指引》，每一部分都可以独立使用，主要用来指导金融机构、测评机构和金融行业主管部门实施网络安全等级保护工作。

1) 《基础和术语》规定了金融行业网络安全等级保护工作的基础框架和术语定义。

2) 《基本要求》规范了金融行业网络安全保障框架和不同安全等级对应的安全要求（基本要求为金融行业等保2.0的基线要求）。

3) 《岗位能力要求和评价指引》规定了金融机构网络安全岗位设置要求、网络安全岗位能力要求以及网络安全人员能力评价要求。

4) 《培训指引》规定了网络安全培训的培训目标、培训原则、培训计划、培训对象、培训内容要求，培训实施、培训考核和培训档案管理。

5) 《审计要求》规定了金融机构网络安全等级保护工作实施审计的要求。

6) 《审计指引》规定了金融机构网络安全等级保护工作实施审计的指引。

2.评测指南

“评测指南”规定了金融行业第二、三、四级等级保护对象的安全测评通用要求和安全测评扩展要求，适用于指导金融机构、测评机构和金融行业网络安全等级保护主管部门开展安全测评工作。而实际上，“评测指南”用得最多的是测评机构，作为评判被测评系统是否满足相应安全级别的参考标准。

值得一提的是，金融等保2.0并没有给出第一级系统的基本要求与测评要求。由于第一级系统属于自主保护级别，无需进行备案。金融行业一级系统可以参考《信息安全技术 网络安全等级保护定级指南》（GB/T 22240-2020）要求进行定级，定为一级的系统可以自主测评与自主保护。

中国金融认证中心（CFCA）具备国家网络安全等级保护工作协调小组办公室颁发的“网络安全等级保护测评机构推荐证书”，具有多年的金融行业等保服务经验，能为客户提供全流程的等级保护服务，贯穿定级备案指导、合规咨询、等级测评等，助力客户通过等保测评，满足金融等保2.0安全要求。

责任编辑：韩希宇