GB/T 27910-2011金融服務(wù)信息安全指南

ICS03060

A11.

中華人民共和國國家標準

GB/T27910—2011

金融服務(wù)信息安全指南

Financialservices—Informationsecurityguidelines

(ISO/TR13569:2005,MOD)

2011-12-30發(fā)布2012-02-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T27910—2011

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語和定義………………

31

符號和縮略語……………

48

公司信息安全策略………………………

59

信息安全管理安全方案……………

6———12

信息安全機構(gòu)……………

713

風險分析和評估…………………………

816

安全控制實施和選擇……………………

917

系統(tǒng)控制……………

10IT20

實施特定控制措施……………………

1123

輔助項…………………

1226

后續(xù)防護措施…………………………

1329

事故處置………………

1429

附錄資料性附錄示例文檔…………

A()31

附錄資料性附錄服務(wù)安全分析示例…………

B()Web36

附錄資料性附錄風險評估說明……………………

C()40

附錄資料性附錄技術(shù)控制…………

D()47

參考文獻……………………

52

Ⅰ

GB/T27910—2011

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準使用重新起草法修改采用國際標準金融服務(wù)信息安全指南

ISO/TR13569:2005《》。

考慮到我國國情在采用時技術(shù)內(nèi)容做了以下修改

,ISO/TR13569:2005:

刪除了原文中的法律和法規(guī)符合性因為這部分內(nèi)容主要描述了國外的法律法規(guī)要求與

———5.2,,

國內(nèi)情形不同

;

鑒于已于年月正式更改編號為標準中對

———ISO/IEC17799:200520077ISO/IEC27002:2005,

該標準的無日期引用更換為對的無日期引用

ISO/IEC27002;

將原文中的一些錯誤進行修正如附錄中的改為等

———,D.2.4“E.2.3”“D.2.3”。

為便于使用本標準還做了下列編輯性修改

,:

刪除前言

———ISO。

與本部分規(guī)范性引用的國際文件有一致性對應(yīng)關(guān)系的我國文件如下

:

信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則

GB/T22081(GB/T22081—2008,ISO/

IEC27002:2005,IDT)

本標準由中國人民銀行提出

。

本標準由全國金融標準化技術(shù)委員會負責歸口

(SAC/TC180)。

本標準負責起草單位中國金融電子化公司

:。

本標準參加起草單位中國人民銀行中國農(nóng)業(yè)銀行招商銀行上海浦東發(fā)展銀行中國信息安全

:、、、、

測評中心中鈔信用卡產(chǎn)業(yè)發(fā)展有限公司

、。

本標準主要起草人王平娃陸書春王韜楊倩李曙光劉運王連強戴忠華唐步天李同勛

:、、、、、、、、、、

陳杰李安安趙志蘭賈樹輝田潔景蕓張艷馬小瓊

、、、、、、、。

Ⅲ

GB/T27910—2011

引言

隨著計算機和網(wǎng)絡(luò)技術(shù)的引入金融業(yè)務(wù)的實現(xiàn)方式發(fā)生了巨大變化具體體現(xiàn)在對電子交易的依

,,

賴性不斷增加從而帶來了對信息和通信技術(shù)安全進行管理的需求每天大量的資金和證券交易信息

,。

通過電子通信方式進行傳輸這些通信方式均由基于業(yè)務(wù)規(guī)則的安全策略所控制

,。

開放環(huán)境中巨額海量的電子交易給金融機構(gòu)帶來了巨大風險高度互連的網(wǎng)絡(luò)和日益增加的技

、。

術(shù)高超的惡意攻擊者給銀行和銀行客戶加重了風險并且當金融交易涉及重要的支付系統(tǒng)時這些后果

,,

可能對國內(nèi)外金融市場產(chǎn)生不良影響

。

為了在開放環(huán)境中拓展金融業(yè)務(wù)的同時進行有效的風險管理金融機構(gòu)應(yīng)該建立一個強有力且有

,,

效的企業(yè)級的信息安全方案金融機構(gòu)應(yīng)像建立業(yè)務(wù)慣例和相關(guān)協(xié)議外部采購流程保險等適當?shù)陌?/p>

。、、

全控制措施一樣來精心構(gòu)建信息安全方案降低風險滿足國內(nèi)外法律法規(guī)的要求

,,,。

正如巴塞爾協(xié)議給我們的警示運營法律和法規(guī)風險可以導(dǎo)致或者惡化信貸和流動性風險管理

,、。

這些風險已成為金融機構(gòu)信息安全方案的核心為具體掌握風險每一個機構(gòu)必須按照其自身業(yè)務(wù)活

。,

動對其進行詮釋運營風險包括欺詐和犯罪活動自然災(zāi)害恐怖活動等必須給予仔細考慮針對小

。、、,。

概率事件也必須制定應(yīng)對計劃例如年月亞洲海嘯和年月日的恐怖襲擊

,2004122001911。

本標準給不同規(guī)模和類型的金融機構(gòu)提供了審慎且成本合理的業(yè)務(wù)信息安全管理方案同時它也

,

為金融機構(gòu)服務(wù)提供商提供了指南對于面向金融業(yè)的培訓(xùn)機構(gòu)和出版商本標準也可作為原始文檔

。,。

本標準的目標是

:

定義信息安全管理方案

———;

提出方案的策略組織和必要的結(jié)構(gòu)化組件

———、;

提出在金融應(yīng)用中基于可接受的審慎業(yè)務(wù)措施來選擇安全控制措施的指南

———;

提出信息安全管理方案中系統(tǒng)化解決法律法規(guī)風險的金融服務(wù)管理需求

———。

本標準并未面向所有金融機構(gòu)提供一個單一的一般性的解決方案每個金融機構(gòu)必須進行風險

、。

分析并選擇適當?shù)拇胧┍緲藴适翘峁┻^程管理的指南而不是具體的解決方案

。,。

Ⅳ

GB/T27910—2011

金融服務(wù)信息安全指南

1范圍

本標準為金融機構(gòu)提供了制定信息安全方案的指南該指南包括策略討論機構(gòu)和方案的結(jié)構(gòu)化

。,

法律法規(guī)組件本標準探討了在選擇和實施安全控制措施方面應(yīng)考慮的內(nèi)容以及在現(xiàn)代化金融服務(wù)

。,

機構(gòu)中管理信息安全風險的要素并給出了基于機構(gòu)業(yè)務(wù)環(huán)境實踐和規(guī)程方面應(yīng)考慮的建議本標準

,、。

還包括對法律法規(guī)符合性問題的討論這需要在方案的設(shè)計和實施階段予以考慮

,。

本標準適用于金融機構(gòu)制定信息安全方案時的參考

。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

所有部分銀行業(yè)務(wù)個人識別碼的管理與安全

ISO9564()(Banking—PersonalIdentification

Number(PIN)managementandsecurity)

所有部分金融交易卡使用集成電路卡的金融交易系統(tǒng)的安全體系

ISO10202()(Financial

transactioncards—Securityarchitectureoffinancialtransactionsystemsusingintegratedcircuitcards)

所有部分銀行業(yè)務(wù)密鑰管理零售

ISO11568()()(Banking—Keymanagement(retail))

所有部分信息技術(shù)安全技術(shù)密鑰管理

ISO/IEC11770()(Informationtechnology—Security

techniques—Keymanagement)

所有部分金融業(yè)務(wù)證書管理

ISO15782()(Certificatemanagementforfinancialservices)

銀行業(yè)務(wù)采用對稱加密技術(shù)進行報文鑒別的要求

ISO16609:2004(Banking—Requirements

formessageauthenticationusingsymmetrictechniques)

信息技術(shù)