ICS35040

L80.

中華人民共和國密碼行業(yè)標準

GM/T0077—2019

銀行核心信息系統密碼應用技術要求

Cryptographytechnicalrequirementsforcorebankingsystems

2019-07-12發(fā)布2019-07-12實施

國家密碼管理局發(fā)布

GM/T0077—2019

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范引用文件

2……………1

術語和定義

3………………1

縮略語

4……………………4

銀行核心系統模型

5………………………4

密碼應用基本要求和密碼應用功能要求

6………………4

銀行核心信息系統密碼技術安全保護三級要求

7………4

基本要求

7.1……………4

密碼技術安全要求

7.2…………………4

物理和環(huán)境安全

7.2.1………………4

網絡和通信安全

7.2.2………………5

設備和計算安全

7.2.3………………7

應用和數據安全

7.2.4………………8

密碼配用策略要求

7.2.5……………8

密鑰安全與管理要求

7.3………………9

總則

7.3.1……………9

密鑰安全

7.3.2………………………9

密鑰管理

7.3.3………………………10

安全管理要求

7.4………………………13

概述

7.4.1……………13

安全管理制度

7.4.2…………………13

人員管理要求

7.4.3…………………14

密碼設備管理

7.4.4…………………14

使用密碼的業(yè)務終端要求

7.4.5……………………14

銀行核心信息系統密碼技術安全保護四級要求

8………15

基本要求

8.1……………15

密碼技術安全要求

8.2…………………15

物理和環(huán)境安全

8.2.1………………15

網絡安全和通信安全

8.2.2…………16

設備和計算安全

8.2.3………………17

應用和數據安全

8.2.4………………18

密碼配用策略要求

8.2.5……………19

密鑰安全與管理要求

8.3………………20

Ⅰ

GM/T0077—2019

總則

8.3.1……………20

密鑰安全

8.3.2………………………20

密鑰管理

8.3.3………………………22

安全管理要求

8.4………………………25

概述

8.4.1……………25

安全管理制度

8.4.2…………………25

人員管理要求

8.4.3…………………25

密碼設備管理

8.4.4…………………26

使用密碼的業(yè)務終端要求

8.4.5……………………26

附錄規(guī)范性附錄安全要求對照表

A()…………………27

參考文獻

……………………29

Ⅱ

GM/T0077—2019

前言

本標準是信息安全等級保護銀行業(yè)金融機構密碼技術應用要求相關系列標準之一與本標準相關

。

的系列標準包括

:

手機銀行信息系統密碼應用技術要求

———GM/T0073—2019《》

銀行信貸信息系統密碼應用技術要求

———GM/T0075—2019《》

銀行卡信息系統密碼應用技術要求

———GM/T0076—2019《》

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準由密碼行業(yè)標準化技術委員會提出并歸口

。

本標準起草單位國家密碼管理局商用密碼檢測中心中金金融認證中心有限公司中國銀行股份

:、、

有限公司中國民生銀行股份有限公司

、。

本標準主要起草人鄧開勇謝宗曉張大建馬瑤瑤介磊郭晶瑩張眾楊辰

:、、、、、、、。

Ⅲ

GM/T0077—2019

引言

本標準與信息系統密碼應用基本要求手機銀行信息系

GM/T0054—2018《》、GM/T0073—2019《

統密碼應用技術要求銀行卡信息系統密碼應用技術要求

》、GM/T0076—2019《》、GM/T0075—2019

銀行信貸信息系統密碼應用技術要求共同構成了信息系統安全等級保護密碼技術要求的相關配套標

《》

準其中信息系統密碼應用基本要求是基礎性標準本標準

。GM/T0054—2018《》,、GM/T0073—2019

手機銀行信息系統密碼應用技術要求銀行卡信息系統密碼應用技術要求及

《》、GM/T0076—2019《》

銀行信貸信息系統密碼應用技術要求是在基礎上的進一步

GM/T0075—2019《》GM/T0054—2018

細化和擴展

。

本標準在信息系統密碼應用基本要求信息安全技術

GM/T0054—2018《》、GB/T22239—2008《

信息系統安全等級保護基本要求金融行業(yè)信息系統信息安全等級保護實施指引

》、JR/T007—2012《》

等技術類標準的基礎上根據現有技術的發(fā)展水平提出和規(guī)定了不同安全保護等級的銀行核心系統保

,,

護要求包括安全技術要求和安全管理要求本標準適用于指導不同安全保護等級的銀行業(yè)金融機構核

,,

心系統中密碼技術的安全建設安全使用與監(jiān)督管理

、。

銀行業(yè)金融機構應依據信息安全等級保護有關技術標準與國家行業(yè)主管部門要求對核心系統開

、,

展包括系統定級在內的信息安全等級保護工作目前銀行業(yè)核心系統安全級別為三級四級暫不存在

。、,

安全級別為一級二級和五級系統故本標準暫不對第一級信息系統二級信息系統和五級信息系統提

、,、

出具體的密碼技術要求

。

銀行核心信息系統應依據信息安全技術信息系統安全等級保護定級指

GB/T22240—2008《

南以及國家主管部門有關要求進行定級等級確定后依據本標準選擇相應級別的密碼技術保護

》,,。,

措施

。

在本標準文本的各類安全要求中可表示可以允許宜表示推薦建議應表示應該

,“”、;“”、;“”。

Ⅳ

GM/T0077—2019

銀行核心信息系統密碼應用技術要求

1范圍

本標準在等標準基礎上結合銀行業(yè)金融機構核心系統的特

GM/T0054—2018、JR/T007—2012,

點及該類信息系統等級保護安全建設工作中密碼技術的應用需要從密碼安全技術要求密鑰安全與管

,、

理要求安全管理要求三方面對不同安全保護等級的核心系統中密碼技術應用提出具體的要求

、,。

本標準適用于指導規(guī)范和評估銀行金融機構的核心信息系統

、、。

2規(guī)范引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

銀行業(yè)務安全加密設備零售第部分金融交易中設備安全符合性

GB/T20547.2—2006()2:

檢測清單