GB/T 20983-2007信息安全技術網(wǎng)上銀行系統(tǒng)信息安全保障評估準則

ICS35.040L80中華人民共和國國家標準GB/T20983—2007信息安全技術網(wǎng)上銀行系統(tǒng)信息安全保障評估準則Informationsecuritytechnology-Evaluationcriteriaforonlinebankingsysteminformationsecurityassurance2007-06-14發(fā)布2007-11-01實施中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局愛布中國國家標準化管理委員會

GB/T20983-2007三次前言引言1范圍2規(guī)范性引用文件3術語和定義A系統(tǒng)描述4.1網(wǎng)上銀行系統(tǒng)概述4.2使命描述·………·.4.3系統(tǒng)概要描述4.4系統(tǒng)詳細描述5，系統(tǒng)安全環(huán)境5.1假設5.2威脅5.3組織安全策略…….6安全保障目的·126.1安全保障技術目標·6.2安全保障管理目標·13安全保障工程目標…6.3147安全保障要求…安全保障技術要求·…·…·…………·……·7.1安全保障管理要求.7.2安全保障工程要求….7.355附錄A（規(guī)范性附錄）網(wǎng)上銀行系統(tǒng)信息安全保障符合性060A.1安全保障目的符合性聲明A.2安全保障要求符合性聲明66參考文獻76圖1網(wǎng)上銀行系統(tǒng)描述框架圖2網(wǎng)上銀行系統(tǒng)評估邊界和接口描述示意圖圖3網(wǎng)上銀行系統(tǒng)子安全域劃分示例……圖4網(wǎng)上銀行系統(tǒng)邏輯層次結構……表1網(wǎng)上銀行系統(tǒng)威脅描述表2網(wǎng)上信息流控制策略15端到端安全保障技術要求的可審計安全事件類型19表4端到端安全保障技術要求的可查閱審計記錄端到端安全保障技術要求中安全角色對系統(tǒng)安全功能行為的管理權限表521表6端到端安全保障技術要求中授權人員對系統(tǒng)安全屬性的管理權限表舉例23

GB/T20983-2007表7系系統(tǒng)邊界安全保障技術要求中主體對客體采取的操作對照表舉例表8系統(tǒng)邊界安全保障技術要求的網(wǎng)上信息流控制肇略舉例·…………表9系統(tǒng)邊界安全保障技術要求的可審計安全事件類型·………………….37表10系統(tǒng)邊界安全保障技術要求的可查閱審計記錄·表11系統(tǒng)邊界安全保障技術要求中安全角色對系統(tǒng)安全功能行為的管理權限40表121支撐性基礎設施安全保障技術要求的可審計安全事件類型表13支撐性基礎設施安全保障技術要求的可查閱審計記錄·……………45表A.1安全保障技術目標和威脅、策略的對應表表A.2安全保障管理、安全保障工程目標和威脅、策略的對應表69表A.3安全保障技術目標和安全保障技術要求映射表A.4安全保障管理目標和安全保障管理要求映射表A.5安全保障工程目標和安全保障工程要求映射

GB/T20983—2007前本標準的附錄A為規(guī)范性附錄本標準由全國信息安全標準化技術委員會提出并歸口。本標準起草單位：中國信息安全產(chǎn)品測評認證中心、中國工商銀行。本標準主要起草人：吳世忠、王海生、陳曉樺、王貴驅(qū)、李守鵬、江常青、彭勇、張利、張燕、史有恒、黃大為、黃朝鋒、班曉芳、李靜、王慶、鄒琪、錢偉明、江典盛、陸麗、李娟、姚軼粉、孫成吳、門雪松、杜宇鴿、楊再山。

GB/T20983—20070.1網(wǎng)上銀行系統(tǒng)信息安全保障的含義網(wǎng)上銀行業(yè)務是指商業(yè)銀行等銀行業(yè)金融機構利用計算機和互聯(lián)網(wǎng)為客戶提供的銀行服務。網(wǎng)上銀行是銀行傳統(tǒng)業(yè)務的電子化表現(xiàn)形式，拓展了銀行服務的時間和空間。網(wǎng)上銀行是現(xiàn)代信息技術在銀行管理及其金融服務中的拓展,是促使金融服務組織機構與服務形式創(chuàng)新的重要成果之一。網(wǎng)上銀行通過國際互聯(lián)網(wǎng)這一公共資源及其相關技術實現(xiàn)銀行與客戶之間安全、方便、友好連接,為客戶提供多種金融服務、信息安全保障是網(wǎng)上銀行系統(tǒng)建設和運行中必須解決的基礎和根本性問題,它關系到客戶與銀行的切身利益。網(wǎng)上銀行系統(tǒng)是一種特定的信息系統(tǒng)(即用于采集、處理、存儲、傳輸、分發(fā)和部署信息的整個基礎設施、組織結構、人員和組件的總和).它的信息安全保障工作必須結合銀行行業(yè)的特點,以風險和策略為出發(fā)點和核心,即從網(wǎng)上銀行系統(tǒng)所面臨的風險和所處的環(huán)境出發(fā)制定網(wǎng)上銀行系統(tǒng)的安全保障策略,在網(wǎng)上銀行系統(tǒng)的整個生命周期中從技術、工程、管理和人員等方面提出安全保障要求，確保信息的保密性、完整性和可用性特征,實現(xiàn)和貫徹組織機構策略并將風險降低到可接受的程度.達到保護網(wǎng)上銀行的信息和信息系統(tǒng)資產(chǎn),從而保障網(wǎng)上銀行業(yè)務安全、可靠開展的最終目的網(wǎng)上銀行系統(tǒng)信息安全保障涵蓋以下幾個方面：網(wǎng)上銀行系統(tǒng)信息安全保障應貫穿網(wǎng)上銀行系統(tǒng)的整個生命周期,包括規(guī)劃組織、開發(fā)采購實施交付、運行維護和廢棄五個階段,以獲得網(wǎng)上銀行系統(tǒng)信息安全保障能力的持續(xù)性。網(wǎng)上銀行系統(tǒng)信息安全保障不僅涉及安全技術.還應綜合考點安全管理、安全工程和人員安全等.以全面保障網(wǎng)上銀行系統(tǒng)安全。在安全技術上,不僅要考慮具體的產(chǎn)品和技術，更要考慮網(wǎng)上銀行系統(tǒng)的安全技術體系架構;在安全管理上,不僅要考慮基本安全管理實踐，更要結合組織的特點建立相應的安全保障管理體系,形成長效和持續(xù)改進的安全管理機制;在安全工程上，不僅要考慮網(wǎng)上銀行系統(tǒng)建設的最終結果，更要結合系統(tǒng)工程的方法，注重工程各個階段的規(guī)范化實施;在人員安全上，要考慮與網(wǎng)上銀行系統(tǒng)相關的所有人員包括規(guī)劃者、設計者、管理者、運營維護者、評估者、使用者等的安全意識以及安全專業(yè)技能和能力等。網(wǎng)上銀行系統(tǒng)信息安全保障是貫穿全過程的保障。通過風險識別、風險分析、風險評估、風險控制等風險管理活動，降低網(wǎng)上銀行系統(tǒng)的風險,從而實現(xiàn)網(wǎng)上銀行系統(tǒng)信息安全保障。網(wǎng)上銀行系統(tǒng)信息安全保障的目的不僅是保護信息和資產(chǎn)的安全，更重要的是通過保障網(wǎng)上銀行系統(tǒng)的安全，保障網(wǎng)上銀行系統(tǒng)所支持的業(yè)務,從而達到實現(xiàn)組織機構使命的目的。e）網(wǎng)上銀行系統(tǒng)信息安全保障是主觀和客觀的結合。通過在技術、管理、工程和人員方面客觀地評估安全保障措施，向網(wǎng)上銀行系統(tǒng)的所有者提供其現(xiàn)有安全保障工作是否滿足其安全保障目標的信心。因此,它是一種通過客觀證據(jù)向網(wǎng)上銀行系統(tǒng)所有者提供主觀信心的活動.是主觀和客觀綜合評估的結果保障網(wǎng)上銀行系統(tǒng)安全不僅是系統(tǒng)所有者自身的職責.而且需要社會各方參與.包括電信、電力、國家信息安全基礎設施等提供的支撐。保障網(wǎng)上銀行系統(tǒng)安全不僅要滿足系統(tǒng)所有者自身的安全需求，而且要滿足國家相關法律、政策的要求,包括為其他機構或個人提供保密、公共安全和國家安全等社會職責。

GB/T20983—20070.2網(wǎng)上銀行系統(tǒng)信息安全保障評估準則的編制目的和意義GB/T20274《信息安全技術信息系統(tǒng)安全保障評估框架》是建設、評估信息系統(tǒng)安全保障的基礎性和框架性標準,給出了對信息系統(tǒng)安全保障體系的通用要求。本標準是在GB/T20274的基礎之上·結合網(wǎng)上銀行系統(tǒng)的具體特點.給出了網(wǎng)上銀行系統(tǒng)的信息系統(tǒng)安全保障要求。制定本標準的意義在于：“）為網(wǎng)上銀行系統(tǒng)信息安全保障的設計、實施、建設、測評、審核提供規(guī)范的、通用的描述語言;b）有利于網(wǎng)上銀行系統(tǒng)所有者編制其信息系統(tǒng)的安全保障要求；有利于網(wǎng)上銀行系統(tǒng)安全集成商和安全服務提供商提供更為科學規(guī)范化的設計和服務.促進信息安全市場的發(fā)展；有利于有關行政管理部門、執(zhí)法機構、測評認證機構對網(wǎng)上銀行系統(tǒng)進行安全檢查、檢測、審計、評估和認證，

GB/T20983—2007信息安全技術網(wǎng)上銀行系統(tǒng)信息安全保障評估準則范圍本標準規(guī)定了網(wǎng)上銀行系統(tǒng)的描述、安全環(huán)境、安全保障目的、安全保障要求及網(wǎng)上銀行系統(tǒng)信息安全保障目的和安全保障要求的符合性聲明。本標準適用于規(guī)范網(wǎng)上銀行系統(tǒng)在進行網(wǎng)上交易過程中涉及信息安全的評估工作規(guī)范性引用文件下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勒誤的內(nèi)容)或修訂版均不適用于本標準,然而，鼓勵根據(jù)本標準達成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。GB/T20274(所有部分）信息安全技術信息系統(tǒng)安全保障評估框架術語和定義GB/T20274確立的以及下列術語和定義適用于本標準。網(wǎng)上銀行onlinebanking商業(yè)銀行通過互聯(lián)網(wǎng)等公眾網(wǎng)絡基礎設施，向其客戶提供各種金融業(yè)務系統(tǒng)描述網(wǎng)上銀行系統(tǒng)概述網(wǎng)上銀行系統(tǒng)是商業(yè)銀行通過互聯(lián)網(wǎng)等公眾網(wǎng)絡基礎設施,向其客戶提供各種金融業(yè)務服務的種重要的信息系統(tǒng)。在進行網(wǎng)上銀行系統(tǒng)的信息安全保障工作時,首先必須建立對網(wǎng)上銀行系統(tǒng)的充