GB/T 20983-2007信息安全技術(shù)網(wǎng)上銀行系統(tǒng)信息安全保障評(píng)估準(zhǔn)則

ICS35.040L80中華人民共和國國家標(biāo)準(zhǔn)GB/T20983—2007信息安全技術(shù)網(wǎng)上銀行系統(tǒng)信息安全保障評(píng)估準(zhǔn)則Informationsecuritytechnology-Evaluationcriteriaforonlinebankingsysteminformationsecurityassurance2007-06-14發(fā)布2007-11-01實(shí)施中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局愛布中國國家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T20983-2007三次前言引言1范圍2規(guī)范性引用文件3術(shù)語和定義A系統(tǒng)描述4.1網(wǎng)上銀行系統(tǒng)概述4.2使命描述·………·.4.3系統(tǒng)概要描述4.4系統(tǒng)詳細(xì)描述5，系統(tǒng)安全環(huán)境5.1假設(shè)5.2威脅5.3組織安全策略…….6安全保障目的·126.1安全保障技術(shù)目標(biāo)·6.2安全保障管理目標(biāo)·13安全保障工程目標(biāo)…6.3147安全保障要求…安全保障技術(shù)要求·…·…·…………·……·7.1安全保障管理要求.7.2安全保障工程要求….7.355附錄A（規(guī)范性附錄）網(wǎng)上銀行系統(tǒng)信息安全保障符合性060A.1安全保障目的符合性聲明A.2安全保障要求符合性聲明66參考文獻(xiàn)76圖1網(wǎng)上銀行系統(tǒng)描述框架圖2網(wǎng)上銀行系統(tǒng)評(píng)估邊界和接口描述示意圖圖3網(wǎng)上銀行系統(tǒng)子安全域劃分示例……圖4網(wǎng)上銀行系統(tǒng)邏輯層次結(jié)構(gòu)……表1網(wǎng)上銀行系統(tǒng)威脅描述表2網(wǎng)上信息流控制策略15端到端安全保障技術(shù)要求的可審計(jì)安全事件類型19表4端到端安全保障技術(shù)要求的可查閱審計(jì)記錄端到端安全保障技術(shù)要求中安全角色對(duì)系統(tǒng)安全功能行為的管理權(quán)限表521表6端到端安全保障技術(shù)要求中授權(quán)人員對(duì)系統(tǒng)安全屬性的管理權(quán)限表舉例23

GB/T20983-2007表7系系統(tǒng)邊界安全保障技術(shù)要求中主體對(duì)客體采取的操作對(duì)照表舉例表8系統(tǒng)邊界安全保障技術(shù)要求的網(wǎng)上信息流控制肇略舉例·…………表9系統(tǒng)邊界安全保障技術(shù)要求的可審計(jì)安全事件類型·………………….37表10系統(tǒng)邊界安全保障技術(shù)要求的可查閱審計(jì)記錄·表11系統(tǒng)邊界安全保障技術(shù)要求中安全角色對(duì)系統(tǒng)安全功能行為的管理權(quán)限40表121支撐性基礎(chǔ)設(shè)施安全保障技術(shù)要求的可審計(jì)安全事件類型表13支撐性基礎(chǔ)設(shè)施安全保障技術(shù)要求的可查閱審計(jì)記錄·……………45表A.1安全保障技術(shù)目標(biāo)和威脅、策略的對(duì)應(yīng)表表A.2安全保障管理、安全保障工程目標(biāo)和威脅、策略的對(duì)應(yīng)表69表A.3安全保障技術(shù)目標(biāo)和安全保障技術(shù)要求映射表A.4安全保障管理目標(biāo)和安全保障管理要求映射表A.5安全保障工程目標(biāo)和安全保障工程要求映射

GB/T20983—2007前本標(biāo)準(zhǔn)的附錄A為規(guī)范性附錄本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口。本標(biāo)準(zhǔn)起草單位：中國信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心、中國工商銀行。本標(biāo)準(zhǔn)主要起草人：吳世忠、王海生、陳曉樺、王貴驅(qū)、李守鵬、江常青、彭勇、張利、張燕、史有恒、黃大為、黃朝鋒、班曉芳、李靜、王慶、鄒琪、錢偉明、江典盛、陸麗、李娟、姚軼粉、孫成吳、門雪松、杜宇鴿、楊再山。

GB/T20983—20070.1網(wǎng)上銀行系統(tǒng)信息安全保障的含義網(wǎng)上銀行業(yè)務(wù)是指商業(yè)銀行等銀行業(yè)金融機(jī)構(gòu)利用計(jì)算機(jī)和互聯(lián)網(wǎng)為客戶提供的銀行服務(wù)。網(wǎng)上銀行是銀行傳統(tǒng)業(yè)務(wù)的電子化表現(xiàn)形式，拓展了銀行服務(wù)的時(shí)間和空間。網(wǎng)上銀行是現(xiàn)代信息技術(shù)在銀行管理及其金融服務(wù)中的拓展,是促使金融服務(wù)組織機(jī)構(gòu)與服務(wù)形式創(chuàng)新的重要成果之一。網(wǎng)上銀行通過國際互聯(lián)網(wǎng)這一公共資源及其相關(guān)技術(shù)實(shí)現(xiàn)銀行與客戶之間安全、方便、友好連接,為客戶提供多種金融服務(wù)、信息安全保障是網(wǎng)上銀行系統(tǒng)建設(shè)和運(yùn)行中必須解決的基礎(chǔ)和根本性問題,它關(guān)系到客戶與銀行的切身利益。網(wǎng)上銀行系統(tǒng)是一種特定的信息系統(tǒng)(即用于采集、處理、存儲(chǔ)、傳輸、分發(fā)和部署信息的整個(gè)基礎(chǔ)設(shè)施、組織結(jié)構(gòu)、人員和組件的總和).它的信息安全保障工作必須結(jié)合銀行行業(yè)的特點(diǎn),以風(fēng)險(xiǎn)和策略為出發(fā)點(diǎn)和核心,即從網(wǎng)上銀行系統(tǒng)所面臨的風(fēng)險(xiǎn)和所處的環(huán)境出發(fā)制定網(wǎng)上銀行系統(tǒng)的安全保障策略,在網(wǎng)上銀行系統(tǒng)的整個(gè)生命周期中從技術(shù)、工程、管理和人員等方面提出安全保障要求，確保信息的保密性、完整性和可用性特征,實(shí)現(xiàn)和貫徹組織機(jī)構(gòu)策略并將風(fēng)險(xiǎn)降低到可接受的程度.達(dá)到保護(hù)網(wǎng)上銀行的信息和信息系統(tǒng)資產(chǎn),從而保障網(wǎng)上銀行業(yè)務(wù)安全、可靠開展的最終目的網(wǎng)上銀行系統(tǒng)信息安全保障涵蓋以下幾個(gè)方面：網(wǎng)上銀行系統(tǒng)信息安全保障應(yīng)貫穿網(wǎng)上銀行系統(tǒng)的整個(gè)生命周期,包括規(guī)劃組織、開發(fā)采購實(shí)施交付、運(yùn)行維護(hù)和廢棄五個(gè)階段,以獲得網(wǎng)上銀行系統(tǒng)信息安全保障能力的持續(xù)性。網(wǎng)上銀行系統(tǒng)信息安全保障不僅涉及安全技術(shù).還應(yīng)綜合考點(diǎn)安全管理、安全工程和人員安全等.以全面保障網(wǎng)上銀行系統(tǒng)安全。在安全技術(shù)上,不僅要考慮具體的產(chǎn)品和技術(shù)，更要考慮網(wǎng)上銀行系統(tǒng)的安全技術(shù)體系架構(gòu);在安全管理上,不僅要考慮基本安全管理實(shí)踐，更要結(jié)合組織的特點(diǎn)建立相應(yīng)的安全保障管理體系,形成長效和持續(xù)改進(jìn)的安全管理機(jī)制;在安全工程上，不僅要考慮網(wǎng)上銀行系統(tǒng)建設(shè)的最終結(jié)果，更要結(jié)合系統(tǒng)工程的方法，注重工程各個(gè)階段的規(guī)范化實(shí)施;在人員安全上，要考慮與網(wǎng)上銀行系統(tǒng)相關(guān)的所有人員包括規(guī)劃者、設(shè)計(jì)者、管理者、運(yùn)營維護(hù)者、評(píng)估者、使用者等的安全意識(shí)以及安全專業(yè)技能和能力等。網(wǎng)上銀行系統(tǒng)信息安全保障是貫穿全過程的保障。通過風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制等風(fēng)險(xiǎn)管理活動(dòng)，降低網(wǎng)上銀行系統(tǒng)的風(fēng)險(xiǎn),從而實(shí)現(xiàn)網(wǎng)上銀行系統(tǒng)信息安全保障。網(wǎng)上銀行系統(tǒng)信息安全保障的目的不僅是保護(hù)信息和資產(chǎn)的安全，更重要的是通過保障網(wǎng)上銀行系統(tǒng)的安全，保障網(wǎng)上銀行系統(tǒng)所支持的業(yè)務(wù),從而達(dá)到實(shí)現(xiàn)組織機(jī)構(gòu)使命的目的。e）網(wǎng)上銀行系統(tǒng)信息安全保障是主觀和客觀的結(jié)合。通過在技術(shù)、管理、工程和人員方面客觀地評(píng)估安全保障措施，向網(wǎng)上銀行系統(tǒng)的所有者提供其現(xiàn)有安全保障工作是否滿足其安全保障目標(biāo)的信心。因此,它是一種通過客觀證據(jù)向網(wǎng)上銀行系統(tǒng)所有者提供主觀信心的活動(dòng).是主觀和客觀綜合評(píng)估的結(jié)果保障網(wǎng)上銀行系統(tǒng)安全不僅是系統(tǒng)所有者自身的職責(zé).而且需要社會(huì)各方參與.包括電信、電力、國家信息安全基礎(chǔ)設(shè)施等提供的支撐。保障網(wǎng)上銀行系統(tǒng)安全不僅要滿足系統(tǒng)所有者自身的安全需求，而且要滿足國家相關(guān)法律、政策的要求,包括為其他機(jī)構(gòu)或個(gè)人提供保密、公共安全和國家安全等社會(huì)職責(zé)。

GB/T20983—20070.2網(wǎng)上銀行系統(tǒng)信息安全保障評(píng)估準(zhǔn)則的編制目的和意義GB/T20274《信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架》是建設(shè)、評(píng)估信息系統(tǒng)安全保障的基礎(chǔ)性和框架性標(biāo)準(zhǔn),給出了對(duì)信息系統(tǒng)安全保障體系的通用要求。本標(biāo)準(zhǔn)是在GB/T20274的基礎(chǔ)之上·結(jié)合網(wǎng)上銀行系統(tǒng)的具體特點(diǎn).給出了網(wǎng)上銀行系統(tǒng)的信息系統(tǒng)安全保障要求。制定本標(biāo)準(zhǔn)的意義在于：“）為網(wǎng)上銀行系統(tǒng)信息安全保障的設(shè)計(jì)、實(shí)施、建設(shè)、測(cè)評(píng)、審核提供規(guī)范的、通用的描述語言;b）有利于網(wǎng)上銀行系統(tǒng)所有者編制其信息系統(tǒng)的安全保障要求；有利于網(wǎng)上銀行系統(tǒng)安全集成商和安全服務(wù)提供商提供更為科學(xué)規(guī)范化的設(shè)計(jì)和服務(wù).促進(jìn)信息安全市場(chǎng)的發(fā)展；有利于有關(guān)行政管理部門、執(zhí)法機(jī)構(gòu)、測(cè)評(píng)認(rèn)證機(jī)構(gòu)對(duì)網(wǎng)上銀行系統(tǒng)進(jìn)行安全檢查、檢測(cè)、審計(jì)、評(píng)估和認(rèn)證，

GB/T20983—2007信息安全技術(shù)網(wǎng)上銀行系統(tǒng)信息安全保障評(píng)估準(zhǔn)則范圍本標(biāo)準(zhǔn)規(guī)定了網(wǎng)上銀行系統(tǒng)的描述、安全環(huán)境、安全保障目的、安全保障要求及網(wǎng)上銀行系統(tǒng)信息安全保障目的和安全保障要求的符合性聲明。本標(biāo)準(zhǔn)適用于規(guī)范網(wǎng)上銀行系統(tǒng)在進(jìn)行網(wǎng)上交易過程中涉及信息安全的評(píng)估工作規(guī)范性引用文件下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勒誤的內(nèi)容)或修訂版均不適用于本標(biāo)準(zhǔn),然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/T20274(所有部分）信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架術(shù)語和定義GB/T20274確立的以及下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。網(wǎng)上銀行onlinebanking商業(yè)銀行通過互聯(lián)網(wǎng)等公眾網(wǎng)絡(luò)基礎(chǔ)設(shè)施，向其客戶提供各種金融業(yè)務(wù)系統(tǒng)描述網(wǎng)上銀行系統(tǒng)概述網(wǎng)上銀行系統(tǒng)是商業(yè)銀行通過互聯(lián)網(wǎng)等公眾網(wǎng)絡(luò)基礎(chǔ)設(shè)施,向其客戶提供各種金融業(yè)務(wù)服務(wù)的種重要的信息系統(tǒng)。在進(jìn)行網(wǎng)上銀行系統(tǒng)的信息安全保障工作時(shí),首先必須建立對(duì)網(wǎng)上銀行系統(tǒng)的充