標準解讀

《GB/T 28447-2012 信息安全技術 電子認證服務機構運營管理規范》是中國國家標準之一,主要針對提供電子認證服務的機構提出了運營管理方面的要求。該標準涵蓋了電子認證服務機構在組織架構、人員管理、物理與環境安全、網絡和系統安全、業務連續性管理等多個方面的規定。

在組織架構部分,明確了電子認證服務機構應建立完善的管理體系,包括但不限于設立專門的安全管理部門,并明確其職責;同時要求機構內部需要有清晰的崗位設置及權限劃分,確保每個環節都有專人負責,且操作過程可追溯。

對于人員管理,則強調了對員工進行定期的信息安全意識教育和技術培訓的重要性,以提高全體成員的安全防護能力。此外還涉及到了員工離職時的數據處理流程等細節。

物理與環境安全管理方面,要求電子認證服務機構必須采取有效措施保護其辦公場所免受自然災害或人為破壞的影響,比如設置防火墻、安裝監控攝像頭等。同時還需關注數據存儲設備的安全存放條件,如溫度濕度控制等。

在網絡和系統安全領域,《GB/T 28447-2012》指出機構應當采用先進的加密算法來保證信息傳輸過程中不被竊取篡改;并且要定期對軟件硬件設施進行維護升級,防止出現漏洞被惡意利用的情況發生。

最后,在業務連續性管理上,該標準建議電子認證服務機構制定詳盡的應急預案,以便在遇到突發事件時能夠迅速恢復服務,減少損失。這包括備份重要數據、設立備用數據中心等內容。


如需獲取更多詳盡信息,請直接參考下方經官方授權發布的權威標準文檔。

....

查看全部

  • 現行
  • 正在執行有效
  • 2012-06-29 頒布
  • 2012-10-01 實施
?正版授權
GB/T 28447-2012信息安全技術電子認證服務機構運營管理規范_第1頁
GB/T 28447-2012信息安全技術電子認證服務機構運營管理規范_第2頁
GB/T 28447-2012信息安全技術電子認證服務機構運營管理規范_第3頁
GB/T 28447-2012信息安全技術電子認證服務機構運營管理規范_第4頁
GB/T 28447-2012信息安全技術電子認證服務機構運營管理規范_第5頁
已閱讀5頁,還剩27頁未讀 繼續免費閱讀

下載本文檔

GB/T 28447-2012信息安全技術電子認證服務機構運營管理規范-免費下載試讀頁

文檔簡介

ICS35020

L80.

中華人民共和國國家標準

GB/T28447—2012

信息安全技術

電子認證服務機構運營管理規范

Informationsecuritytechnology—Specificationontheoperationmanagementofa

certificateauthority

2012-06-29發布2012-10-01實施

中華人民共和國國家質量監督檢驗檢疫總局發布

中國國家標準化管理委員會

GB/T28447—2012

目次

前言…………………………

引言…………………………

范圍………………………

11

規范性引用文件…………………………

21

術語和定義………………

31

縮略語……………………

42

電子認證服務機構運營的業務…………

52

用戶證書服務………………………

5.12

用戶證書密鑰服務…………………

5.24

認證系統功能要求…………………

5.35

認證業務流程要求…………………

5.45

業務運營中的風險………………………

66

認證系統運行要求………………………

76

網絡系統安全………………………

7.16

主機系統安全………………………

7.26

系統冗余與備份……………………

7.37

系統運營維護安全管理……………

7.48

密碼設備安全管理…………………

7.59

密鑰和證書管理………………

7.6CA10

物理環境與設施…………………………

811

運營場地……………

8.111

運營區域劃分及要求………………

8.211

安全監控系統………………………

8.312

環境保護與控制設施………………

8.413

支撐設施……………

8.514

場地訪問安全管理…………………

8.614

場地監控安全管理…………………

8.714

注冊機構場地安全…………………

8.814

組織與人員管理…………………………

914

職能與角色設置……………………

9.114

安全組織……………

9.215

人員安全管理………………………

9.316

文檔記錄與介質管理…………………

10、16

文檔管理…………………………

10.116

記錄管理…………………………

10.218

GB/T28447—2012

介質管理…………………………

10.318

業務連續性要求………………………

1119

業務連續性計劃…………………

11.119

應急處理預案……………………

11.219

災難恢復計劃……………………

11.319

災備中心…………………………

11.420

審計與改進……………

1220

審計………………

12.120

改進………………

12.221

附錄資料性附錄業務運營風險舉例………………

A()22

GB/T28447—2012

前言

本標準按照給出的規則起草

GB/T1.1—2009。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準主要起草單位北京天威誠信電子商務服務有限公司頤信科技有限公司

:、。

本標準主要起草人唐志紅李延昭魏一才徐虎龍毅宏劉旭許蕾趙宏科張海松郭宏杰

:、、、、、、、、、。

GB/T28447—2012

引言

本標準是為貫徹執行中華人民共和國電子簽名法以下簡稱電子簽名法規范電子認證服務

《》(《》),

機構的運營管理而制定

本標準覆蓋了電子認證服務機構運營管理的主要方面提供公共認證服務的電子認證服務機構應

,

按本標準的規定開展相關的工作本標準涉及面多但對每方面只做重點的關鍵的必要的要點性規

。,、、

定確保電子認證服務機構執行本標準時在具體技術上策略上和方案上有很大的靈活性比如對于

,、。,

認證系統安全方面本標準只規定需要采用的安全防護技術和手段及需要考慮的關鍵點對具體實現技

,,

術并未做規定

GB/T28447—2012

信息安全技術

電子認證服務機構運營管理規范

1范圍

本標準規定了電子認證服務機構在業務運營認證系統運行物理環境與設施安全組織與人員管

、、、

理文檔記錄與介質管理業務連續性審計與改進等多方面應遵循的要求

、、、、、。

本標準適用于在開放互聯環境中提供數字證書服務的電子認證服務機構的建設管理及評估

、。

對于在封閉環境中如在特定團體或某個行業內運行的電子認證服務機構可根據自身安全風險評

()

估以及國家有關的法律法規有選擇性地參考本標準國家有關的測評機構監管部門也可以將本標準

。、

作為測評和監管的依據

2規范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

計算機場地通用規范

GB/T2887

計算機場地安全要求

GB/T9361

信息安全技術證書認證系統密碼及其相關安全技術規范

GB/T25056—2010

信息安全技術公鑰基礎設施證書策略與認證業務聲明框架

GB/T26855—2011

高層民用建筑設計防火規范

GB50045

建筑物防雷設計規范

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經授權,嚴禁復制、發行、匯編、翻譯或網絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打印),因數字商品的特殊性,一經售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。

評論

0/150

提交評論