1 范围 ................................................................................. 1
2 规范性引用文件 ....................................................................... 1
3 概述 ................................................................................. 1
4 等级测评过程 ......................................................................... 3
5 测评准备 ............................................................................. 3
6 测评方案 ............................................................................. 4
7 现场测评 ............................................................................. 7
8 分析与报告编制 ..................................................................... 168
附录 A （资料性附录） 现场单元测评检查表............................................ 172
参考文献............................................................................. 331

本标准规定了金融行业对信息系统安全等级保护测评评估的要求，包括对第二级信息系统、第三级信息系统和第四级信息系统进行安全测评评估的单元测评要求和信息系统整体测评要求等。根据金融行业信息系统的定级情况，不存在五级系统，而一级系统不需去公安机关备案，不作为测评重点。本标准略去对第一级信息系统和第五级信息系统进行单元测评的具体内容要求。

本标准适用于行业进行自测评（如第二级信息系统）、信息安全测评服务机构（如第三和第四级信息系统）对信息系统安全等级保护状况进行的安全测评评估。

金融行业重要的信息系统关系到国计民生，是国家信息安全重点保护对象，国家信息安全监管职能部门需要对其重要信息和信息系统的信息安全保护工作进行指导监督。信息安全等级保护是国家在信息安全保障工作的一项基本制度，金融行业作为重要信息系统行业部门之一，应遵照实施该制度。围绕金融信息安全等级保护工作的开展，需要一系列适合金融行业的等级保护标准体系作为支撑，以规范和指导金融等级保护工作的实施。为此，人民银行科技司组织安全等级保护领域专家和相关技术人员，根据国家关于信息安全等级保护工作的相关制度和标准，制定符合金融行业特点的、切实可行的信息安全等级保护行业标准和实施指南。

在本标准文本中，标记为F类的黑体字是根据金融行业业务特点新增的安全要求，没有标记为F类的黑体字是对《信息系统安全等级保护基本要求》（GB/T 22239-2008）要求项进行增强的要求。