在金融行业中，网络安全问题非常普遍，如恶意攻击、病毒感染、数据泄露等。这些问题可能会导致金融机构的信息系统瘫痪，造成巨大的经济损失，甚至影响国家金融稳定。因此，金融机构应该高度重视网络安全问题，采取有效的安全措施，保障信息系统的安全和稳定。

等保测评是保障金融行业网络安全的重要措施之一。金融机构应该定期进行等保测评，及时发现和解决信息系统存在的安全问题和漏洞，确保信息系统的安全和可靠。

本文重点阐述金融行业开展等保工作的必要性、不开展的后果、法规依据以及如何开展等保工作，以为相关企业提供参考。

金融行业为什么必须做等保？

1.法律法规要求：根据我国《网络安全法》，金融机构需要进行网络安全等级保护测评，以保障金融信息安全和金融系统的稳定运行。等保测评是落实法律法规的重要举措。

2.信息安全风险管理：金融企业处理大量的敏感客户信息和财务数据，涉及资金交易、财务结算等重要业务，因此需要进行等级保护测评来评估和管理信息安全风险，确保信息不被非法获取、篡改或滥用。

3.客户信任和声誉保护：金融企业的客户对其信息安全和数据保护非常关注。通过进行等保测评，金融企业能够证明自身具备一定的信息安全能力和措施，提升客户对企业的信任度，保护企业的声誉。

4.企业竞争力提升：信息安全已成为企业竞争的重要因素之一。通过进行等保测评，金融企业能够识别和解决潜在的安全风险，提升自身的信息安全能力，从而增强企业的竞争力。

5.合规与监管要求：金融行业受到严格的监管，需要遵守相关的合规要求。等保测评可以帮助金融企业满足监管机构对信息安全的要求，降低违规风险。

不做等保可能面临的监管处罚：

根据《网络安全法》第五十九条：网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

与金融行业相关的等保法规

金融行业等保标准于2012 年7月10日正式发布。为更好地推动并指导银行业金融机构使用金融行业等保标准，落实国家等级保护政策要求，人民银行于2012 年7月19 日发布《中国人民银行关于进一步推进银行业信息安全等级保护工作的通知》

要求各银行业金融机构尽快开展等级保护定级、备案工作，并按照金融行业等保标准以及国家相关标准开展等级保护测评和整改工作。

2020年11月，中国人民银行正式发布并实施《金融行业网络安全等级保护测评指南》（JRT 0072-2020）和《金融行业网络安全等级保护实施指引》（JRT 0071-2020）

规定了金融行业对第二级、第三级和第四级的等级保护对象的安全测评通用要求和安全测评扩展要求，适用于指导金融机构、测评机构和金融行业网络安全等级保护主管部门对等级保护对象的安全状况进行安全测评。

除了以上中国人民银行发布的通知、法规，保险、征信、网络借贷等行业也出台相应的法律法规。

金融行业其他法律法规

• 2012年  《金融行业信息系统信息安全等级保护实施指引》（JR/T 0071-2012）

• 2012年  《金融行业信息系统信息安全等级保护测评指南》（JR/T 0072-2012）

• 2012年  《金融行业信息安全等级保护测评服务安全指引》（JR/T 0073-2012）

• 2012年  《中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见》（银发〔2012〕163 号）

• 2011年  《证券期货业信息系统安全等级保护基本要求（试行）》（JR/T 0060-2010）

• 2007年  《关于做好证券业重要信息系统安全等级保护定级工作的通知》（中证协发字 [2007]117 号）

保险、征信、网络借贷行业法律法规

2019年  《互联网保险业务监管办法（征求意见稿）》

• 2018年中国银保监会印发《中国银保监会关于继续加强互联网保险监管有关事项的通知》

• 2015年  中国保监会关于印发《互联网保险业务监管暂行办法》的通知  保监发〔2015〕69号

• 2007年  《关于开展保险业信息系统安全等级保护定级工作的通知》（保监厅发〔2007〕45 号）

• 2014年  《征信机构信息安全规范》（JR/T 0117-2014）

• 2013年  《征信机构管理办法》

• 2016年  《网络借贷信息中介机构业务活动管理暂行办法》

金融企业 如何开展等保工作

金融行业的等保标准是一个全方位的系统安全性标准，它涵盖了物理安全、应用安全、通信安全、边界安全、环境安全和管理安全等多个方面。通过实施等保测评，金融机构可以确保其信息系统符合国家安全要求，保障金融信息安全和金融系统的稳定运行。以下是关于金融企业等保测评全流程介绍。

1.网站系统定级

根据等级保护相关管理文件，等级保护对象的安全保护等级一共分五个级别，从一到五级别逐渐升高。

（等保测评级别区分）

等级保护对象的级别由两个定级要素决定：①受侵害的客体；②对客体的侵害程度。对于关键信息基础设施，“定级原则上不低于三级”，且第三级及以上信息系统每年或每半年就要进行一次测评。

定级流程：确定定级对象→初步确定等级→专家评审→主管部门审批→公安机构备案审查→最终确定的级别。

2.网站系统备案

①《信息安全等级保护管理办法》第十五条 已运营(运行)或新建的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

②隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办备案手续。

③跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。企业最终确定网站的级别以后，就可以到公安机关进行备案。