| 标准编号 | GB/T 36618-2018 (GB/T36618-2018) | | 中文名称 | 信息安全技术 金融信息服务安全规范 | | 英文名称 | Information security technology -- Specification for financial information service security | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 14,122 | | 发布日期 | 2018-09-17 | | 实施日期 | 2019-04-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 36618-2018
Information security technology - Specification for financial information service security
ICS 35.040
L80
中华人民共和国国家标准
信息安全技术 金融信息服务安全规范
servicesecurity
2018-09-17发布
2019-04-01实施
国 家 市 场 监 督 管 理 总 局
中国国家标准化管理委员会 发 布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 基本原则 2
4.1 准确性 2
4.2 完整性 2
4.3 可用性 2
4.4 时效性 2
4.5 可信性 2
4.6 合规性 2
4.7 抗抵赖性 2
4.8 保密性 2
4.9 可控性 2
5 服务过程要求 3
5.1 概述 3
5.2 金融信息采集 3
5.2.1 金融信息来源 3
5.2.2 金融信息采集基本要求 3
5.2.3 金融信息采集方式 3
5.3 金融信息加工与处理 3
5.3.1 加工与处理基本要求 3
5.3.2 加工与处理方法 4
5.4 金融信息提供 4
5.4.1 金融信息提供基本要求 4
5.4.2 提供方式 4
6 技术要求 4
6.1 基础设施安全 4
6.2 软件安全 5
6.3 网络安全 5
6.4 数据安全 5
6.4.1 提供商数据安全要求 5
6.4.2 用户数据安全要求 5
6.5 运行安全 6
6.6 容灾和恢复 6
7 管理要求 6
7.1 制度保障 6
7.2 管理职责 6
7.3 人员管理 6
7.4 培训教育 7
7.5 风险管理 7
7.6 外包管理 7
参考文献 8
前言
本标准按照GB/T 1.1-2009给出的规则起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:北京济安金信科技有限公司、中国人民大学、中国科学院信息工程研究所、清华大
学五道口金融学院、中国经济信息社、万得信息技术股份有限公司、东方财富信息股份有限公司、上海大
智慧股份有限公司、腾讯科技(北京)有限公司。
本标准主要起草人:杨健、荆继武、洪彬、陈峰、王铁牛、秦文怡、钱明辉、王克平、朱祥文、王胜先、
马立、雷雨、刘子航、陈楠、李尚昊、贺裴菲、周立、王正位、李秀明、覃继胜、巨峰、范小莉、程鸿岩、徐可、
冯卫强、吴征、张瑾、王雯雯。
引 言
金融信息对于国家金融政策制定者、金融机构以及投资决策者具有特别重要的意义。
金融信息安全是国家信息安全的组成部分,信息资源、信息系统和信息网络等存在的安全问题不仅
影响金融信息服务活动,而且可能影响国家金融安全,为了提高金融信息质量、提升金融信息服务水平、
维护市场健康发展、保障用户权益,因此特制定本标准。
本标准对金融信息服务提供商的内部管理及安全技术等方面提出了基本要求,标准的制定将有利
于金融信息服务提供商规范金融信息服务过程,防范金融信息服务安全风险,不断提高金融信息服务
质量。
信息安全技术 金融信息服务安全规范
1 范围
本标准规定了金融信息服务提供商提供金融信息服务时的基本原则、服务过程要求、技术要求和管
理要求。
本标准适用于在中华人民共和国境内注册或登记的国内外金融信息服务提供商提供金融信息服务
的活动。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求
GB/T 20272-2006 信息安全技术 操作系统安全技术要求
GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范
GB/T 21028-2007 信息安全技术 服务器安全技术要求
GB/T 28827.1-2012 信息技术服务 运行维护 第1部分:通用要求
GB/T 28827.3-2012 信息技术服务 运行维护 第3部分:应急响应规范
GB/T 31500-2015 信息安全技术 存储介质数据恢复服务要求
GB/T 32924-2016 信息安全技术 网络安全预警指南
GB/T 33132-2016 信息安全技术 信息安全风险处理实施指南
GB/T 33530-2017 人力资源外包服务规范
GB/T 33770.1-2017 信息技术服务 外包 第1部分:服务提供方通用要求
3 术语和定义
下列术语和定义适用于本......
|