| 标准编号 | GB/T 27911-2011 (GB/T27911-2011) | | 中文名称 | 银行业 安全和其他金融服务 金融系统的安全框架 | | 英文名称 | Banking -- Security and other financial services -- Framework for security in financial systems | | 行业 | 国家标准 (推荐) | | 中标分类 | A11 | | 国际标准分类 | 03.060 | | 字数估计 | 17,181 | | 发布日期 | 2011-12-30 | | 实施日期 | 2012-02-01 | | 采用标准 | ISO/TR 17944-2002, MOD | | 标准依据 | 国家标准批准发布公告2011年第23号 | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | | 范围 | 本标准提供了金融业所必要的安全方面的标准框架。本标准汇总了金融行业已出现的一些关键安全问题, 以及针对每一个问题的相关现有标准。本标准适用于金触机构在实施安全策略时的标准参考。 | GB/T 27911-2011
Banking.Security and other financial services.Framework for security in financial systems
ICS 03.060
A11
中华人民共和国国家标准
银行业 安全和其他金融服务
金融系统的安全框架
(ISO/T R17944:2002,MOD)
2011-12-30发布
2012-02-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
1 范围 1
2 标准化的领域 1
2.1 概述 1
2.2 身份识别和鉴别 1
2.3 数据完整性 3
2.4 隐私和机密性 4
2.5 抗抵赖 4
2.6 服务的可用性 5
2.7 可追溯性和审计 6
2.8 互用性 7
2.9 安全管理 7
2.10 加密算法 9
3 ISO 空白的标准化领域 10
附录A(资料性附录) 补充信息 11
参考文献 12
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准使用重新起草法修改采用ISO/T R17944:2002《银行业 安全和其他金融服务 金融系统
的安全框架》。
考虑到我国国情,并考虑了2002年以来国际上发布了一些新的与金融相关的信息安全类标准,在
采用ISO/T R17944:2002时做了以下修改:
---2.2条的表1中,在“生物特征识别技术”中加入了近年来新发布的一些国际标准;
---2.3条的表2中,在“报文鉴别”中加入了ISO/IEC 19772:2009;
---2.6条的表5中,在“灾难恢复”中加入了ISO/IEC 24762:2008;
---2.7条的表6中,在“评估标准”中加入了ISO/IEC 18045:2008、ISO/IEC TR19791:2006、
ISO/IEC 21827:2008;
---2.9条的表8中,在“证书管理”中加入ISO 21188;
---2.9条的表8中,在“安全管理”中加入ISO/IEC TR18044、ISO/IEC 27001、ISO/IEC 27002、
ISO/IEC 18043:2006、ISO/IEC 27000:2009、ISO/IEC 27005:2008、ISO/IEC 27006:2007、
ISO/IEC 27011:2008;
---2.10条的表9中,在“一般的”中加入了ISO/IEC 18031:2005、ISO/IEC 18032:2005、ISO/
IEC 18033-1:2005、ISO/IEC 18033-2:2006、ISO/IEC 18033-3:2005、ISO/IEC 18033-4:2005、
ISO/IEC 19790:2006;
---2.10条的表9中,在“对称的”中加入了ISO 19038;
---第3章表10中删除生物识别、灾难恢复两行,因为在正文中加入了这两个领域的ISO 标准,
另外加入三行:“隐私和机密性”、“商业实体身份标识符”、“令牌”;
---各表格中,被引用的有年代号的标准,如有更新版本,用最新年代号标准替换;
---各表格中,删除已废止的国际标准。
为便于使用,本标准还做了下列编辑性修改:
---删除ISO 前言和引言;
---对于已经发布的标准,删除原文中的表注“即将发布”。
本标准由中国人民银行提出。
本标准由全国金融标准化技术委员会(SAC/TC180)归口。
本标准负责起草单位:中国金融电子化公司。
本标准参加起草单位:中国人民银行、中国工商银行、中国建设银行、交通银行、中信银行、北京银联
金卡科技有限公司。
本标准主要起草人:王平娃、陆书春、李曙光、杨倩、田洁、刘运、赵志兰、邵冠军、李延、杨宝辉、贾静、
李孟琰、刘志刚、仲志晖、贾树辉、景芸、张艳、马小琼。
银行业 安全和其他金融服务
金融系统的安全框架
1 范围
本标准提供了金融业所必要的安全方面的标准框架。
本标准汇总了金融行业已出现的一些关键安全问题,以及针对每一个问题的相关现有标准。
本标准适用于金融机构在实施安全策略时的标准参考。
2 标准化的领域
2.1 概述
金融行业中,信息技术安全的需求体现在令牌、设备、加密技术、密钥管理、应用程序接口(API)和
协议等标准应用领域,这些不同领域可根据下面这些基础领域的基本业务需求进行分组。
多数领域已经有了各种各样可用的标准,而在其他领域,标准或正在制定或有了(新)标准需求。
第2章中提及了金融机构信息安全标准化的主要领域,其中表1到表9包含了这些领域可用的(有时是
必需的)的标准。表中排在前面的国际标准来自国际标准化组织,跟随在其后的有关标准来自其他标准
组织1)。基于这些表中缺少的标准,第3章概述了ISO 空白的标准化领域。
1) 本标准中非ISO 标准的引用仅用于资料目的;它们应是一个共识并且应该是被发表的或公认可用的。非ISO
标准的引用并不表明ISO 对这些非ISO 标准的认可。
注:对于所提及标准的更加详细资料,可以联系参考的标准化组织(参见附录A)。
2.2 身份识别和鉴别
金融交易中涉及的所有实体的身份应被确定。鉴别确保一个实体的身份就是它声明的身份。金融
机构应保证:只有授权的用户可以访问他们的信息技术系统。
用于身份识别和鉴别的机制建立在使用身份标识、令牌、口令短语、个人身份识别码(PIN)、生物识
别技术、数字签名和证书基础之上,相关标准见表1。
表1 身份识别和鉴别
需 求 可用的标准 标题/描述
身份识别和鉴别
ISO/IEC 9798-1 信息技术 安全技术 实体鉴别 第1部分:概述
ISO/IEC 9798-2 信息技术 安全技术 实体鉴别 第2部分:采用对称加
密算法的机制
ISO/......
|