GB/T 27911-2011銀行業(yè)安全和其他金融服務(wù)金融系統(tǒng)的安全框架

ICS03060

A11.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T27911—2011

銀行業(yè)安全和其他金融服務(wù)

金融系統(tǒng)的安全框架

Banking—Securityandotherfinancialservices—

Frameworkforsecurityinfinancialsystems

(ISO/TR17944:2002,MOD)

2011-12-30發(fā)布2012-02-01實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T27911—2011

目次

前言

…………………………Ⅲ

范圍

1………………………1

標(biāo)準(zhǔn)化的領(lǐng)域

2……………1

概述

2.1…………………1

身份識別和鑒別

2.2……………………1

數(shù)據(jù)完整性

2.3…………………………3

隱私和機(jī)密性

2.4………………………4

抗抵賴

2.5………………4

服務(wù)的可用性

2.6………………………5

可追溯性和審計(jì)

2.7……………………6

互用性

2.8………………7

安全管理

2.9……………7

加密算法

2.10……………9

空白的標(biāo)準(zhǔn)化領(lǐng)域

3ISO…………………10

附錄資料性附錄補(bǔ)充信息

A()…………11

參考文獻(xiàn)

……………………12

Ⅰ

GB/T27911—2011

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)使用重新起草法修改采用銀行業(yè)安全和其他金融服務(wù)金融系統(tǒng)

ISO/TR17944:2002《

的安全框架

》。

考慮到我國國情并考慮了年以來國際上發(fā)布了一些新的與金融相關(guān)的信息安全類標(biāo)準(zhǔn)在

,2002,

采用時(shí)做了以下修改

ISO/TR17944:2002:

條的表中在生物特征識別技術(shù)中加入了近年來新發(fā)布的一些國際標(biāo)準(zhǔn)

———2.21,“”;

條的表中在報(bào)文鑒別中加入了

———2.32,“”ISO/IEC19772:2009;

條的表中在災(zāi)難恢復(fù)中加入了

———2.65,“”ISO/IEC24762:2008;

條的表中在評估標(biāo)準(zhǔn)中加入了

———2.76,“”ISO/IEC18045:2008、ISO/IECTR19791:2006、

ISO/IEC21827:2008;

條的表中在證書管理中加入

———2.98,“”ISO21188;

條的表中在安全管理中加入

———2.98,“”ISO/IECTR18044、ISO/IEC27001、ISO/IEC27002、

ISO/IEC18043:2006、ISO/IEC27000:2009、ISO/IEC27005:2008、ISO/IEC27006:2007、

ISO/IEC27011:2008;

條的表中在一般的中加入了

———2.109,“”ISO/IEC18031:2005、ISO/IEC18032:2005、ISO/

IEC18033-1:2005、ISO/IEC18033-2:2006、ISO/IEC18033-3:2005、ISO/IEC18033-4:2005、

ISO/IEC19790:2006;

條的表中在對稱的中加入了

———2.109,“”ISO19038;

第章表中刪除生物識別災(zāi)難恢復(fù)兩行因?yàn)樵谡闹屑尤肓诉@兩個領(lǐng)域的標(biāo)準(zhǔn)

———310、,ISO,

另外加入三行隱私和機(jī)密性商業(yè)實(shí)體身份標(biāo)識符令牌

:“”、“”、“”;

各表格中被引用的有年代號的標(biāo)準(zhǔn)如有更新版本用最新年代號標(biāo)準(zhǔn)替換

———,,,;

各表格中刪除已廢止的國際標(biāo)準(zhǔn)

———,。

為便于使用本標(biāo)準(zhǔn)還做了下列編輯性修改

,:

刪除前言和引言

———ISO;

對于已經(jīng)發(fā)布的標(biāo)準(zhǔn)刪除原文中的表注即將發(fā)布

———,“”。

本標(biāo)準(zhǔn)由中國人民銀行提出

。

本標(biāo)準(zhǔn)由全國金融標(biāo)準(zhǔn)化技術(shù)委員會歸口

(SAC/TC180)。

本標(biāo)準(zhǔn)負(fù)責(zé)起草單位中國金融電子化公司

:。

本標(biāo)準(zhǔn)參加起草單位中國人民銀行中國工商銀行中國建設(shè)銀行交通銀行中信銀行北京銀聯(lián)

:、、、、、

金卡科技有限公司

。

本標(biāo)準(zhǔn)主要起草人王平娃陸書春李曙光楊倩田潔劉運(yùn)趙志蘭邵冠軍李延楊寶輝賈靜

:、、、、、、、、、、、

李孟琰劉志剛仲志暉賈樹輝景蕓張艷馬小瓊

、、、、、、。

Ⅲ

GB/T27911—2011

銀行業(yè)安全和其他金融服務(wù)

金融系統(tǒng)的安全框架

1范圍

本標(biāo)準(zhǔn)提供了金融業(yè)所必要的安全方面的標(biāo)準(zhǔn)框架

。

本標(biāo)準(zhǔn)匯總了金融行業(yè)已出現(xiàn)的一些關(guān)鍵安全問題以及針對每一個問題的相關(guān)現(xiàn)有標(biāo)準(zhǔn)

,。

本標(biāo)準(zhǔn)適用于金融機(jī)構(gòu)在實(shí)施安全策略時(shí)的標(biāo)準(zhǔn)參考

。

2標(biāo)準(zhǔn)化的領(lǐng)域

21概述

.

金融行業(yè)中信息技術(shù)安全的需求體現(xiàn)在令牌設(shè)備加密技術(shù)密鑰管理應(yīng)用程序接口和

,、、、、(API)

協(xié)議等標(biāo)準(zhǔn)應(yīng)用領(lǐng)域這些不同領(lǐng)域可根據(jù)下面這些基礎(chǔ)領(lǐng)域的基本業(yè)務(wù)需求進(jìn)行分組

,。

多數(shù)領(lǐng)域已經(jīng)有了各種各樣可用的標(biāo)準(zhǔn)而在其他領(lǐng)域標(biāo)準(zhǔn)或正在制定或有了新標(biāo)準(zhǔn)需求

,,()。

第章中提及了金融機(jī)構(gòu)信息安全標(biāo)準(zhǔn)化的主要領(lǐng)域其中表到表包含了這些領(lǐng)域可用的有時(shí)是

2,19(

必需的的標(biāo)準(zhǔn)表中排在前面的國際標(biāo)準(zhǔn)來自國際標(biāo)準(zhǔn)化組織跟隨在其后的有關(guān)標(biāo)準(zhǔn)來自其他標(biāo)準(zhǔn)

)。,

組織1)基于這些表中缺少的標(biāo)準(zhǔn)第章概述了空白的標(biāo)準(zhǔn)化領(lǐng)域

。,3ISO。

注對于所提及標(biāo)準(zhǔn)的更加詳細(xì)資料可以聯(lián)系參考的標(biāo)準(zhǔn)化組織參見附錄

:,(A)。

22身份識別和鑒別

.

金融交易中涉及的所有實(shí)體的身份應(yīng)被確定鑒別確保一個實(shí)體的身份就是它聲明的身份金融

。。

機(jī)構(gòu)應(yīng)保證只有授權(quán)的用戶可以訪問他們的信息技術(shù)系統(tǒng)

:。

用于身份識別和鑒別的機(jī)制建立在使用身份標(biāo)識令牌口令短語個人身份識別碼生物識

、、、(PIN)、

別技術(shù)數(shù)字簽名和證書基礎(chǔ)之上相關(guān)標(biāo)準(zhǔn)見表

、,1。

表1身份識別和鑒別

需求可用的標(biāo)準(zhǔn)標(biāo)題描述

/

信息技術(shù)安全技術(shù)實(shí)體鑒別第部分概述

ISO/IEC9798-11:

信息技術(shù)安全技術(shù)實(shí)體鑒別第部分采用對稱加

ISO/IEC9798-22:

密算法的機(jī)制

信息技術(shù)安全技術(shù)實(shí)體鑒別第部分采用數(shù)字簽

ISO/IEC9798-33:

名技術(shù)的機(jī)制

身份識別和鑒別