ICS03060

A11.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T27911—2011

銀行業(yè)安全和其他金融服務(wù)

金融系統(tǒng)的安全框架

Banking—Securityandotherfinancialservices—

Frameworkforsecurityinfinancialsystems

(ISO/TR17944:2002,MOD)

2011-12-30發(fā)布2012-02-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T27911—2011

目次

前言

…………………………Ⅲ

范圍

1………………………1

標(biāo)準(zhǔn)化的領(lǐng)域

2……………1

概述

2.1…………………1

身份識(shí)別和鑒別

2.2……………………1

數(shù)據(jù)完整性

2.3…………………………3

隱私和機(jī)密性

2.4………………………4

抗抵賴

2.5………………4

服務(wù)的可用性

2.6………………………5

可追溯性和審計(jì)

2.7……………………6

互用性

2.8………………7

安全管理

2.9……………7

加密算法

2.10……………9

空白的標(biāo)準(zhǔn)化領(lǐng)域

3ISO…………………10

附錄資料性附錄補(bǔ)充信息

A()…………11

參考文獻(xiàn)

……………………12

Ⅰ

GB/T27911—2011

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)使用重新起草法修改采用銀行業(yè)安全和其他金融服務(wù)金融系統(tǒng)

ISO/TR17944:2002《

的安全框架

》。

考慮到我國(guó)國(guó)情并考慮了年以來(lái)國(guó)際上發(fā)布了一些新的與金融相關(guān)的信息安全類標(biāo)準(zhǔn)在

,2002,

采用時(shí)做了以下修改

ISO/TR17944:2002:

條的表中在生物特征識(shí)別技術(shù)中加入了近年來(lái)新發(fā)布的一些國(guó)際標(biāo)準(zhǔn)

———2.21,“”;

條的表中在報(bào)文鑒別中加入了

———2.32,“”ISO/IEC19772:2009;

條的表中在災(zāi)難恢復(fù)中加入了

———2.65,“”ISO/IEC24762:2008;

條的表中在評(píng)估標(biāo)準(zhǔn)中加入了

———2.76,“”ISO/IEC18045:2008、ISO/IECTR19791:2006、

ISO/IEC21827:2008;

條的表中在證書管理中加入

———2.98,“”ISO21188;

條的表中在安全管理中加入

———2.98,“”ISO/IECTR18044、ISO/IEC27001、ISO/IEC27002、

ISO/IEC18043:2006、ISO/IEC27000:2009、ISO/IEC27005:2008、ISO/IEC27006:2007、

ISO/IEC27011:2008;

條的表中在一般的中加入了

———2.109,“”ISO/IEC18031:2005、ISO/IEC18032:2005、ISO/

IEC18033-1:2005、ISO/IEC18033-2:2006、ISO/IEC18033-3:2005、ISO/IEC18033-4:2005、

ISO/IEC19790:2006;

條的表中在對(duì)稱的中加入了

———2.109,“”ISO19038;

第章表中刪除生物識(shí)別災(zāi)難恢復(fù)兩行因?yàn)樵谡闹屑尤肓诉@兩個(gè)領(lǐng)域的標(biāo)準(zhǔn)

———310、,ISO,

另外加入三行隱私和機(jī)密性商業(yè)實(shí)體身份標(biāo)識(shí)符令牌

:“”、“”、“”;

各表格中被引用的有年代號(hào)的標(biāo)準(zhǔn)如有更新版本用最新年代號(hào)標(biāo)準(zhǔn)替換

———,,,;

各表格中刪除已廢止的國(guó)際標(biāo)準(zhǔn)

———,。

為便于使用本標(biāo)準(zhǔn)還做了下列編輯性修改

,:

刪除前言和引言

———ISO;

對(duì)于已經(jīng)發(fā)布的標(biāo)準(zhǔn)刪除原文中的表注即將發(fā)布

———,“”。

本標(biāo)準(zhǔn)由中國(guó)人民銀行提出

。

本標(biāo)準(zhǔn)由全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口

(SAC/TC180)。

本標(biāo)準(zhǔn)負(fù)責(zé)起草單位中國(guó)金融電子化公司

:。

本標(biāo)準(zhǔn)參加起草單位中國(guó)人民銀行中國(guó)工商銀行中國(guó)建設(shè)銀行交通銀行中信銀行北京銀聯(lián)

:、、、、、

金卡科技有限公司

。

本標(biāo)準(zhǔn)主要起草人王平娃陸書春李曙光楊倩田潔劉運(yùn)趙志蘭邵冠軍李延楊寶輝賈靜

:、、、、、、、、、、、

李孟琰劉志剛仲志暉賈樹輝景蕓張艷馬小瓊

、、、、、、。

Ⅲ

GB/T27911—2011

銀行業(yè)安全和其他金融服務(wù)

金融系統(tǒng)的安全框架

1范圍

本標(biāo)準(zhǔn)提供了金融業(yè)所必要的安全方面的標(biāo)準(zhǔn)框架

。

本標(biāo)準(zhǔn)匯總了金融行業(yè)已出現(xiàn)的一些關(guān)鍵安全問(wèn)題以及針對(duì)每一個(gè)問(wèn)題的相關(guān)現(xiàn)有標(biāo)準(zhǔn)

,。

本標(biāo)準(zhǔn)適用于金融機(jī)構(gòu)在實(shí)施安全策略時(shí)的標(biāo)準(zhǔn)參考

。

2標(biāo)準(zhǔn)化的領(lǐng)域

21概述

.

金融行業(yè)中信息技術(shù)安全的需求體現(xiàn)在令牌設(shè)備加密技術(shù)密鑰管理應(yīng)用程序接口和

,、、、、(API)

協(xié)議等標(biāo)準(zhǔn)應(yīng)用領(lǐng)域這些不同領(lǐng)域可根據(jù)下面這些基礎(chǔ)領(lǐng)域的基本業(yè)務(wù)需求進(jìn)行分組

,。

多數(shù)領(lǐng)域已經(jīng)有了各種各樣可用的標(biāo)準(zhǔn)而在其他領(lǐng)域標(biāo)準(zhǔn)或正在制定或有了新標(biāo)準(zhǔn)需求

,,()。

第章中提及了金融機(jī)構(gòu)信息安全標(biāo)準(zhǔn)化的主要領(lǐng)域其中表到表包含了這些領(lǐng)域可用的有時(shí)是

2,19(

必需的的標(biāo)準(zhǔn)表中排在前面的國(guó)際標(biāo)準(zhǔn)來(lái)自國(guó)際標(biāo)準(zhǔn)化組織跟隨在其后的有關(guān)標(biāo)準(zhǔn)來(lái)自其他標(biāo)準(zhǔn)

)。,

組織1)基于這些表中缺少的標(biāo)準(zhǔn)第章概述了空白的標(biāo)準(zhǔn)化領(lǐng)域

。,3ISO。

注對(duì)于所提及標(biāo)準(zhǔn)的更加詳細(xì)資料可以聯(lián)系參考的標(biāo)準(zhǔn)化組織參見(jiàn)附錄

:,(A)。

22身份識(shí)別和鑒別

.

金融交易中涉及的所有實(shí)體的身份應(yīng)被確定鑒別確保一個(gè)實(shí)體的身份就是它聲明的身份金融

。。

機(jī)構(gòu)應(yīng)保證只有授權(quán)的用戶可以訪問(wèn)他們的信息技術(shù)系統(tǒng)

:。

用于身份識(shí)別和鑒別的機(jī)制建立在使用身份標(biāo)識(shí)令牌口令短語(yǔ)個(gè)人身份識(shí)別碼生物識(shí)

、、、(PIN)、

別技術(shù)數(shù)字簽名和證書基礎(chǔ)之上相關(guān)標(biāo)準(zhǔn)見(jiàn)表

、,1。

表1身份識(shí)別和鑒別

需求可用的標(biāo)準(zhǔn)標(biāo)題描述

/

信息技術(shù)安全技術(shù)實(shí)體鑒別第部分概述

ISO/IEC9798-11:

信息技術(shù)安全技術(shù)實(shí)體鑒別第部分采用對(duì)稱加

ISO/IEC9798-22:

密算法的機(jī)制

信息技術(shù)安全技術(shù)實(shí)體鑒別第部分采用數(shù)字簽

ISO/IEC9798-33:

名技術(shù)的機(jī)制

身份識(shí)別和鑒別