2019年5月10日，國家等級保護2.0的主要標準發布，并于2019年12月1日起實施。由于金融行業信息系統有其特殊性，從國標等保2.0發布開始，中國人民銀行便牽頭相關單位起草編制金融行業等保2.0標準（以下簡稱金融等保2.0），歷時一年多，系列標準于2020年11月11日發布并實施。

為什么要制定金融行業等保2.0標準？

或許大家會有疑問，既然已有國標等保2.0，為什么還要制定金融行業的等保2.0。眾所周知，網絡安全等級保護是國家網絡安全保障工作的一項基本制度，而金融行業重要系統屬于國家關鍵基礎設施，更是關系到國計民生，是國家網絡安全重點保護對象。

金融行業信息系統涉及資金支付交易，本身對數據完整性、可用性、不可否認性有區別于一般行業的特殊要求，因此需要一系列適合金融行業的等級保護標準作為支撐，以規范和指導金融行業等級保護工作的實施。金融等保2.0結合了行業自身特點，在國標等保2.0基礎上進行了擴充與增強，以適應金融行業的網絡安全要求。

金融行業等保2.0標準的主要內容

金融等保2.0包括《金融行業網絡安全等級保護實施指引》（以下簡稱“實施指引”）、《金融行業網絡安全等級保護測評指南》（以下簡稱“測評指南”）。

1.實施指引

“實施指引”可看作是一套標準，分為六個部分：《基礎和術語》《基本要求》《崗位能力要求和評價指引》《培訓指引》《審計要求》、《審計指引》，每一部分都可以獨立使用，主要用來指導金融機構、測評機構和金融行業主管部門實施網絡安全等級保護工作。

1) 《基礎和術語》規定了金融行業網絡安全等級保護工作的基礎框架和術語定義。

2) 《基本要求》規范了金融行業網絡安全保障框架和不同安全等級對應的安全要求（基本要求為金融行業等保2.0的基線要求）。

3) 《崗位能力要求和評價指引》規定了金融機構網絡安全崗位設置要求、網絡安全崗位能力要求以及網絡安全人員能力評價要求。

4) 《培訓指引》規定了網絡安全培訓的培訓目標、培訓原則、培訓計劃、培訓對象、培訓內容要求，培訓實施、培訓考核和培訓檔案管理。

5) 《審計要求》規定了金融機構網絡安全等級保護工作實施審計的要求。

6) 《審計指引》規定了金融機構網絡安全等級保護工作實施審計的指引。

2.評測指南

“評測指南”規定了金融行業第二、三、四級等級保護對象的安全測評通用要求和安全測評擴展要求，適用于指導金融機構、測評機構和金融行業網絡安全等級保護主管部門開展安全測評工作。而實際上，“評測指南”用得最多的是測評機構，作為評判被測評系統是否滿足相應安全級別的參考標準。

值得一提的是，金融等保2.0并沒有給出第一級系統的基本要求與測評要求。由于第一級系統屬于自主保護級別，無需進行備案。金融行業一級系統可以參考《信息安全技術 網絡安全等級保護定級指南》（GB/T 22240-2020）要求進行定級，定為一級的系統可以自主測評與自主保護。

中國金融認證中心（CFCA）具備國家網絡安全等級保護工作協調小組辦公室頒發的“網絡安全等級保護測評機構推薦證書”，具有多年的金融行業等保服務經驗，能為客戶提供全流程的等級保護服務，貫穿定級備案指導、合規咨詢、等級測評等，助力客戶通過等保測評，滿足金融等保2.0安全要求。

責任編輯：韓希宇