一、金融行业等级保护发展历程

1994年，国务院147号令，首次提出“安全等级保护’，第九条:计算机信息系统实行安全等级保护。

2003年，中办发27号文，全面推动信息安全等级保护，实行信息安全等级保护，重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度。

2007年，公通字43号文，正式进入等级保护1.0建设阶段，第二条 国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。

2012年，金融行业信息系统信息安全等级保护实施指引，进入金融等级保护1.0建设阶段，以国家等级保护要求为原则，以金融行业特点为基础，形成了兼顾技术与管理、以《基本要求》为根本、以《设计要求》为基本方法设计的金融行业信息安全保障总体框架。

2017年，网络安全法，等级保护上升为国家法律要求，第二十一条:国家实行网络安全等级保护制度。

2018年，网络安全等级保护条例(征求意见稿)，等级保护工作正式迈入2.0时代，第三条【确立制度】国家实行网络安全等级保护制度，对网络实施分等级保护、分等级监管。

2020年，金融行业网络安全等级保护实施指引，正式进入金融等级保护2.0建设阶段，为金融行业的网络安全建设提供方法论、具体的建设指导及技术指导，完善金融行业网络安全等级保护体系，更好适应新技术在金融行业的应用。

二、金融行业测评相关标准规范

1、《非银行支付机构支付业务设施检测规范  第1部分：互联网支付》

2、《非银行支付机构支付业务设施检测规范  第2部分：预付卡发行与受理》

3、《非银行支付机构支付业务设施检测规范  第3部分：银行卡收单》

4、《非银行支付机构支付业务设施检测规范  第4部分：固定电话支付》

5、《非银行支付机构支付业务设施检测规范  第5部分：数字电视支付》

6、《非银行支付机构支付业务设施检测规范  第6部分：条码支付》

7、《非银行支付机构支付业务设施技术要求》

8、《金融行业证券期货信息系统安全基本要求》

9、GB∕T 36618-2018 《信息安全技术  金融信息服务安全规范》

10、JR/T 0068-2020《网上银行系统信息安全通用规范》

11、JR/T 0071-2012  《金融行业信息系统信息安全等级保护实施指引》

12、JR/T 0072-2012  《金融行业信息系统信息安全等级保护测评指南》

13、JR/T 0073-2012  《金融行业信息安全等级保护测评服务安全指引》

14、JR/T 0166-2018  《云计算技术金融应用规范 技术架构》

15、JR/T 0167-2018  《云计算技术金融应用规范 安全技术要求》

16、JR/T 0168-2018  《云计算技术金融应用规范 容灾》

三、等级保护对象

四、等级保护规定动作

1、定级

✔ 所有系统上线前完成等保定级。

✔ 等保五级安全级别最高，等保一级安全级别最低。

2、备案

✔ 二级及以上系统，应向公安机关备案。

✔ 备案前应组织专家评审，并出具评审意见。

3、安全建设

✔ 所有系统先定级再建设，按照相应等保级别的安全要求建设系统。

4、等保测评

✔ 系统取得备案证书后，方可进行等保测评。

✔ 新建三级及以上系统，等保测评通过后方可上线。

✔ 三级及以上系统，每年完成一次等保测评。

✔ 对于等保测评问题，应制定整改计划，统一整改。

5、监督检查

✔ 每年配合公安机关开展网络安全执法检查，包括自查技术检测、现场检查等。

五、金融行业等级保护与国家等级保护的关系

六、金融行业等保实施指引基本要求（安全通用要求概览）

延续了国家等级保护要求分类，“安全管理人员”中增加了“人员考核”。