《金融网络安全网络安全漏洞管理规范》
编制说明
一、背景及意义
在金融科技迅速发展并广泛应用的趋势下,金融业务持
续蓬勃发展并逐步加快创新步伐,金融科技成为金融发展的
重要驱动力。与此同时,金融科技发展带来的网络安全漏洞
问题严重威胁金融系统安全,金融行业特有的数据量大、涉
及资金交易、个人敏感数据等特点,会放大网络安全漏洞的
影响。协调处理好金融科技便捷性、业务连续性与安全性之
间的关系,是金融行业必须面对和解决的课题。
为落实中国人民银行印发的《金融科技发展规划(2022
—2025年)》关于“打造权威专业化风险控制基础设施,
推动构建跨行业、跨机构的风险联防联控体系,为金融管理
部门开展监管指导提供支撑,为金融机构做好风险防控提供
支持。”相关要求,加强金融行业网络安全漏洞风险防控,
实现漏洞风险有效管控和风险信息有序共享,支撑金融网络
安全漏洞风险联防联控,编制本文件。本文件旨在通过建立
规范化的管理流程,指导金融业机构、金融行业网络产品或
服务提供者等漏洞管理主体在网络安全漏洞生命周期各阶
段履行其职责,有效推动金融行业网络安全漏洞发现、验证、
处置、跟踪等漏洞管理工作,提升金融行业网络安全漏洞风
1
险防范能力。
二、编制原则
本文件的编制遵循以下原则:
(一)规范性。本文件以金融科技发展规划(2022—2025
年)》、《金融标准化“十四五”发展规划》等为指导,按
照GB/T1.1—2020《标准化工作导则第1部分:标准化文
件的结构和起草规则》的要求进行编制。
(二)兼容性。与《网络产品安全漏洞管理规定》、GB/T
20984—2022、GB/T30279—2020、GB/T28458—2020等国
家漏洞管理要求和标准相协调,在国家相关标准的基础上细
化金融行业漏洞管理细则,确保标准体系的兼容性和一致性。
(三)适用性。充分调研国际标准、金融行业优秀实践
等相关情况,组建包含工商银行、农业银行、中国银行、建
设银行、中信银行、光大银行、浙江网商银行、广东省农村
信用社等国有大型商业银行、股份制商业银行、城市商业银
行等金融机构,以及长亭、亚信等安全厂商专家的工作组进
行编制,凝练前沿要求和实践经验,确保文件的科学完备性
与行业普适性。
(四)实践性。本文件覆盖金融行业网络安全漏洞管理
全流程,通过细化漏洞防范、发现、验证和处置等各个环节
的流程与要求,为金融机构开展漏洞管理工作提供指导。
三、主要内容
2
本文件主要包括以下方面内容:
(一)金融行业网络安全漏洞管理流程。提出了金融行
业网络安全漏洞管理总体框架,明确了漏洞生命周期管理流
程以及漏洞管理组织架构和制度体系等保障机制,规范了漏
洞管理各环节的具体要求。
(二)金融行业网络安全漏洞标识和描述。建立金融行
业网络安全漏洞基础数据元,明确漏洞构成要素和表现形式,
实现漏洞统一标识和描述,奠定漏洞规范化管理和互联互通
的基础。
(三)金融行业网络安全漏洞分类。提出了漏洞类别和
漏洞影响实体类别两种分类方式,漏洞类别基于漏洞产生的
技术原因对漏洞进行类型划分,漏洞影响实体类别基于漏洞
影响的资产类型进行分类,并在国家标准GB/T30279—2020
基础上增加、细化了10种漏洞类型。
(四)金融行业网络安全漏洞分级。提出技术分级和综
合分级两种漏洞分级方式,在技术分级的基础上结合具体环
境因素进行综合分级,并制定了漏洞评级矩阵,以支撑金融
行业网络安全漏洞“分级管理”。
四、主要工作过程
本文件编制过程如下:
(一)项目启动。2022年4月,中国人民银行科技司指
导中国金融电子化集团有限公司组织金融机构和产业机构
开展金融网络安全漏洞管理标准预研工作。
3
(二)成立标准编制工作组。2022年6月,中国人民银
行科技司组织中国金融电子化集团有限公司、中国工商银行
股份有限公司、中国农业银行股份有限公司、中国银行股份
有限公司、中国建设银行股份有限公司、中