路径: 主页 > GB/T > 第701页 > GB/T 27910-2011 | 标准编号 | GB/T 27910-2011 (GB/T27910-2011) | | 中文名称 | 金融服务 信息安全指南 | | 英文名称 | Financial services -- Information security guidelines | | 行业 | 国家标准 (推荐) | | 中标分类 | A11 | | 国际标准分类 | 03.060 | | 字数估计 | 58,599 | | 发布日期 | 2011-12-30 | | 实施日期 | 2012-02-01 | | 引用标准 | ISO 9564-1; ISO 9564-2; ISO 9564-3; ISO 10202-1; ISO 10202-2; ISO 10202-3; ISO 10202-4; ISO 10202-5; ISO 10202-6; ISO 10202-7; ISO 10202-8; ISO 11568-1; ISO 11568-2; ISO 11568-3; ISO 11568-4; ISO 11568-5; ISO 11568-6; ISO/IEC 11770-1; ISO/IEC 11770-2; ISO/IEC 11770-3; ISO/IE | | 采用标准 | ISO/TR 13569-2005, MOD | | 标准依据 | 国家标准批准发布公告2011年第23号 | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | | 范围 | 本标准为金融机构提供了制定信息安全方案的指南。该指南包括策略讨论, 机构和方案的结构化法律法规组件。本标准探讨了在选择和实施安全控制措施方面应考虑的内容, 以及在现代化金融服务机构中管理信息安全风险的要素, 并给出了基于机构业务环境、实践和规程方面应考虑的建议。本标准还包括对法律法规符合性问题的讨论, 这需要在方案的设计和实施阶段予以考虑。本标准适用于金融机构制定信息安全方案时的参考。 | GB/T 27910-2011
ICS 03.060
A11
中华人民共和国国家标准
金融服务 信息安全指南
(ISO/T R13569:2005,MOD)
2011-12-30发布
2012-02-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 符号和缩略语 8
5 公司信息安全策略 9
6 信息安全管理---安全方案 12
7 信息安全机构 13
8 风险分析和评估 16
9 安全控制实施和选择 17
10 IT系统控制 20
11 实施特定控制措施 23
12 辅助项 26
13 后续防护措施 29
14 事故处置 29
附录A(资料性附录) 示例文档 31
附录B(资料性附录) Web服务安全分析示例 36
附录C(资料性附录) 风险评估说明 40
附录D(资料性附录) 技术控制 47
参考文献 52
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准使用重新起草法修改采用国际标准ISO/T R13569:2005《金融服务 信息安全指南》。
考虑到我国国情,在采用ISO/T R13569:2005时技术内容做了以下修改:
---删除了原文中的5.2法律和法规符合性,因为这部分内容主要描述了国外的法律法规要求,与
国内情形不同;
---鉴于ISO/IEC 17799:2005已于2007年7月正式更改编号为ISO/IEC 27002:2005,标准中对
该标准的无日期引用更换为对ISO/IEC 27002的无日期引用;
---将原文中的一些错误进行修正,如附录D.2.4中的“E.2.3”改为“D.2.3”等。
为便于使用,本标准还做了下列编辑性修改:
---删除ISO 前言。
与本部分规范性引用的国际文件有一致性对应关系的我国文件如下:
GB/T 22081 信息技术 安全技术 信息安全管理实用规则(GB/T 22081-2008,ISO/
IEC 27002:2005,IDT)
本标准由中国人民银行提出。
本标准由全国金融标准化技术委员会(SAC/TC180)负责归口。
本标准负责起草单位:中国金融电子化公司。
本标准参加起草单位:中国人民银行、中国农业银行、招商银行、上海浦东发展银行、中国信息安全
测评中心、中钞信用卡产业发展有限公司。
本标准主要起草人:王平娃、陆书春、王韬、杨倩、李曙光、刘运、王连强、戴忠华、唐步天、李同勋、
陈杰、李安安、赵志兰、贾树辉、田洁、景芸、张艳、马小琼。
引 言
随着计算机和网络技术的引入,金融业务的实现方式发生了巨大变化,具体体现在对电子交易的依
赖性不断增加,从而带来了对信息和通信技术安全进行管理的需求。每天大量的资金和证券交易信息
通过电子通信方式进行传输,这些通信方式均由基于业务规则的安全策略所控制。
开放环境中巨额、海量的电子交易给金融机构带来了巨大风险。高度互连的网络和日益增加的技
术高超的恶意攻击者给银行和银行客户加重了风险,并且当金融交易涉及重要的支付系统时,这些后果
可能对国内外金融市场产生不良影响。
为了在开放环境中拓展金融业务的同时,进行有效的风险管理,金融机构应该建立一个强有力且有
效的企业级的信息安全方案。金融机构应像建立业务惯例和相关协议、外部采购流程、保险等适当的安
全控制措施一样,来精心构建信息安全方案,降低风险,满足国内外法律法规的要求。
正如巴塞尔协议给我们的警示,运营、法律和法规风险可以导致或者恶化信贷和流动性风险。管理
这些风险已成为金融机构信息安全方案的核心。为具体掌握风险,每一个机构必须按照其自身业务活
动对其进行诠释。运营风险包括欺诈和犯罪活动、自然灾害、恐怖活动等,必须给予仔细考虑。针对小
概率事件也必须制定应对计划,例如2004年12月亚洲海啸和2001年9月11日的恐怖袭击。
本标准给不同规模和类型的金融机构提供了审慎且成本合理的业务信息安全管理方案,同时它也
为金融机构服务提供商提供了指南。对于面向金融业的培训机构和出版商,本标准也可作为原始文档。
本标准的目标是:
---定义信息安全管理方案;
---提出方案的策略、组织和必要的结构化组件;
---提出在金融应用中基于可接受的审慎业务措施来选择安全控制措施的指南;
---提出信息安全管理方案中系统化解决法律法规风险的金融服务管理需求。
本标准并未面向所有金融机构提供一个单一的、一般性的解决方案。每个金融机构必须进行风险
分析并选择适当的措施。本标准是提供过程管理的指南,而不是具体的解决方案。
金融服务 信息安全指南
1 范围
本标准为金融机构提供了制定信息安全方案的指南。该指南包括策略讨论,机构和方案的结构化
法律法规组件。本标准探讨了在选择和实施安全控制措施方面应考虑的内容,以及在现代化金融服务
机构中管理信息安全风险的要素,并给出了基于机构业务环境、实践和规程方面应考虑的建议。本标准
还包括对法律法规符合性问题的讨论,这需要在方案的设计和实施阶段予以考虑。
本标准适用于金融机构制定信息安全方案时的参考。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
ISO 10202(所有部分) 金融交易卡 使用集成电路卡的金融交易系统的安全体系(Financial
techniques-Keymanagement)
ISO 1660......
|