標準解讀

《GB/T 31502-2015 信息安全技術 電子支付系統安全保護框架》是一項國家標準,主要針對電子支付系統的安全性提出了指導原則和要求。該標準適用于各種類型的電子支付服務提供者、金融機構以及參與電子支付流程的相關方,旨在通過建立一套全面的安全保護框架來保障電子支付過程中的信息安全。

標準內容覆蓋了從電子支付系統的設計開發到運營維護整個生命周期的安全管理要求,包括但不限于:

  • 風險評估:要求對電子支付系統進行全面的風險分析與評估,識別潛在的安全威脅及脆弱點,并據此制定相應的控制措施。
  • 訪問控制:強調對于敏感信息資源的訪問需要實施嚴格的權限管理和身份驗證機制,確保只有授權用戶才能獲取或修改這些信息。
  • 數據保護:規定了數據加密傳輸、存儲時應采取的技術手段,以防止數據在傳輸過程中被截取或篡改;同時也要注意個人隱私信息的保護。
  • 交易完整性:為保證每筆交易的真實性和不可否認性,需采用數字簽名等技術手段對交易雙方的身份進行確認,并記錄完整的交易日志。
  • 應急響應計劃:建議各機構根據自身情況制定詳細的應急預案,一旦發生安全事故能夠迅速啟動響應程序,最大限度地減少損失。
  • 持續監控與審計:定期對電子支付系統的運行狀態進行監測,并開展內外部安全審計工作,及時發現并解決存在的問題。


如需獲取更多詳盡信息,請直接參考下方經官方授權發布的權威標準文檔。

....

查看全部

  • 現行
  • 正在執行有效
  • 2015-05-15 頒布
  • 2016-01-01 實施
?正版授權
GB/T 31502-2015信息安全技術電子支付系統安全保護框架_第1頁
GB/T 31502-2015信息安全技術電子支付系統安全保護框架_第2頁
GB/T 31502-2015信息安全技術電子支付系統安全保護框架_第3頁
GB/T 31502-2015信息安全技術電子支付系統安全保護框架_第4頁
GB/T 31502-2015信息安全技術電子支付系統安全保護框架_第5頁
已閱讀5頁,還剩91頁未讀 繼續免費閱讀

下載本文檔

GB/T 31502-2015信息安全技術電子支付系統安全保護框架-免費下載試讀頁

文檔簡介

ICS35040

L80.

中華人民共和國國家標準

GB/T31502—2015

信息安全技術

電子支付系統安全保護框架

Informationsecuritytechnology—

Securityprotectframeworkofelectronicpaymentsystem

2015-05-15發布2016-01-01實施

中華人民共和國國家質量監督檢驗檢疫總局發布

中國國家標準化管理委員會

GB/T31502—2015

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

符號與縮略語

4……………2

符號表示

4.1……………2

縮略語

4.2………………3

電子支付系統描述

5………………………3

電子支付系統模型

5.1…………………3

電子支付系統工作模式

5.2……………7

受保護資產

5.3…………………………8

安全問題定義

6……………10

概述

6.1…………………10

威脅

6.2…………………10

組織安全策略

6.3(SOP)………………14

假設

6.4(SAS)…………………………17

安全問題定義理由

6.5…………………17

安全目的

7…………………17

概述

7.1…………………17

針對評估對象的安全目的

7.2[TOE](OET)………18

針對評估對象運行環境的安全目的

7.3[TOE](OTE)……………18

安全功能要求

8……………19

概述

8.1…………………19

安全審計類

8.2(FAU)………………19

通信類

8.3(FCO)……………………32

密碼支持類

8.4(FCS)…………………35

用戶數據保護類

8.5(FDP)……………35

標識和鑒別類

8.6(FIA)………………40

安全管理類

8.7(FMT)………………40

保護類

8.8TSF(FPT)………………42

安全保證要求

9……………43

國家相關標準的部分依從性分析

10……………………43

組織安全策略示例

11……………………43

附錄資料性附錄電子支付系統的行為模型

A()………44

GB/T31502—2015

附錄規范性附錄安全問題定義理由

B()………………69

附錄規范性附錄安全目的理由

C()……………………74

附錄規范性附錄安全保證要求

D()……………………78

附錄規范性附錄對國家相關標準的部分依從性分析

E()……………80

附錄資料性附錄組織安全策略示例可疑交易預警規則

F():………82

參考文獻

……………………87

GB/T31502—2015

前言

本標準按照給出的規則起草

GB/T1.1—2009。

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位北京多思科技工業園股份有限公司中國農業銀行中國金融電子化公司國家信

:、、、

息安全工程技術研究中心東方集團網絡信息安全技術有限公司北京大秦興宇電子有限公司北京天

、、、

宏繹網絡技術有限公司北京科藍軟件系統有限公司長城瑞通北京科技有限公司重慶銀行南充市

、、()、、

商業銀行

本標準主要起草人劉大力李寬沈敏鋒韓琳琳吳義章吳錚劉運文仲慧沈昕立康偉張磊

:、、、、、、、、、、、

于敬新崔新杰羅勇夏鵬軒閆鳳如陳輝武王慶元左小波邱巖張春陽黃光偉邢呈禮高艷芳

、、、、、、、、、、、、、

王州府

GB/T31502—2015

引言

本標準以國際通行的信息技術安全性評估準則為基礎結合我國現階段電子支付系統的特點按照

,,

我國有關法律法規和政令的要求以自主可控為原則為公共類電子支付系統的信息安全提供一個公

、,,

共框架是進一步完善相關國家標準及行業標準的重要步驟為構建運行公共電子支付系統提供

;;、,

支撐

GB/T31502—2015

信息安全技術

電子支付系統安全保護框架

1范圍

本標準在給出電子支付系統模型的基礎上為公共類電子支付系統的信息安全提供了一個公共框

,

架主要包括安全問題定義安全目的安全功能需求和安全保障需求

,、、。

本標準適用于安全構建運行公共類電子支付系統

、。

2規范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術安全技術信息技術安全性評估準則第部分簡介和一般模型

GB/T18336.11:

信息技術安全技術信息技術安全性評估準則第部分安全功能組件

GB/T18336.22:

信息技術安全技術信息技術安全性評估準則第部分安全保障組件

GB/T18336.33:

3術語和定義

界定的以及下列術語和定義適用于本文件

GB/T18336.1。

31

.

電子支付electronicpayment

采用數字化方式在電子終端信息傳輸通道以及相關系統的支持下進行支付的行為

,、,。

32

.

支付通道transactionchannel

在電子支付交易過程中電子支付憑據與支付

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經授權,嚴禁復制、發行、匯編、翻譯或網絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打印),因數字商品的特殊性,一經售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。

評論

0/150

提交評論