標(biāo)準(zhǔn)解讀

《GB/T 40473.7-2021 銀行業(yè)應(yīng)用系統(tǒng) 非功能需求 第7部分:安全性》是針對(duì)銀行業(yè)信息系統(tǒng)安全性的國家標(biāo)準(zhǔn)之一,該標(biāo)準(zhǔn)旨在為銀行及其相關(guān)機(jī)構(gòu)在設(shè)計(jì)、開發(fā)和維護(hù)信息系統(tǒng)時(shí)提供一套關(guān)于信息安全的指導(dǎo)原則和技術(shù)要求。它強(qiáng)調(diào)了如何通過一系列的安全措施來保護(hù)銀行信息系統(tǒng)的完整性、可用性和保密性,從而保障客戶信息及交易數(shù)據(jù)的安全。

標(biāo)準(zhǔn)中詳細(xì)規(guī)定了銀行應(yīng)用系統(tǒng)應(yīng)當(dāng)滿足的安全性非功能性需求,包括但不限于身份認(rèn)證與訪問控制、數(shù)據(jù)加密傳輸與存儲(chǔ)、審計(jì)跟蹤與日志管理等方面的要求。對(duì)于身份認(rèn)證,標(biāo)準(zhǔn)提出應(yīng)采用多因素認(rèn)證機(jī)制以增強(qiáng)賬戶登錄的安全性;而就訪問控制而言,則明確了基于角色的權(quán)限分配原則,確保只有授權(quán)用戶能夠訪問特定資源或執(zhí)行相應(yīng)操作。此外,在數(shù)據(jù)保護(hù)方面,除了要求對(duì)敏感信息進(jìn)行加密處理外,還特別指出了在數(shù)據(jù)傳輸過程中需要使用安全協(xié)議(如TLS)來防止信息被截獲或篡改。

該標(biāo)準(zhǔn)也涵蓋了安全管理流程的內(nèi)容,比如建立完善的信息安全管理制度,定期開展風(fēng)險(xiǎn)評(píng)估活動(dòng),并根據(jù)評(píng)估結(jié)果及時(shí)調(diào)整和完善現(xiàn)有的安全策略。同時(shí),還強(qiáng)調(diào)了應(yīng)急響應(yīng)計(jì)劃的重要性,即當(dāng)發(fā)生安全事故時(shí)能夠迅速采取行動(dòng)減輕損失,并從中吸取經(jīng)驗(yàn)教訓(xùn)以改進(jìn)未來的工作。


如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2021-07-20 頒布
  • 2022-02-01 實(shí)施
?正版授權(quán)
GB/T 40473.7-2021銀行業(yè)應(yīng)用系統(tǒng)非功能需求第7部分:安全性_第1頁
GB/T 40473.7-2021銀行業(yè)應(yīng)用系統(tǒng)非功能需求第7部分:安全性_第2頁
GB/T 40473.7-2021銀行業(yè)應(yīng)用系統(tǒng)非功能需求第7部分:安全性_第3頁
GB/T 40473.7-2021銀行業(yè)應(yīng)用系統(tǒng)非功能需求第7部分:安全性_第4頁
GB/T 40473.7-2021銀行業(yè)應(yīng)用系統(tǒng)非功能需求第7部分:安全性_第5頁
已閱讀5頁,還剩23頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

GB/T 40473.7-2021銀行業(yè)應(yīng)用系統(tǒng)非功能需求第7部分:安全性-免費(fèi)下載試讀頁

文檔簡(jiǎn)介

ICS3524040

CCSA.11.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T404737—2021

.

銀行業(yè)應(yīng)用系統(tǒng)非功能需求

第7部分安全性

:

Bankingapplicationsystem—Nonfunctionalrequirement—

Part7Securit

:y

2021-07-20發(fā)布2022-02-01實(shí)施

國家市場(chǎng)監(jiān)督管理總局發(fā)布

國家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T404737—2021

.

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

安全性元素與組件層次及描述方式

4……………………2

層次

4.1…………………2

描述方式

4.2……………8

保密性族

5(SE_CFD)……………………8

內(nèi)部的非功能需求

5.1(NFIR)…………8

使用算法

5.1.1(ISE_CFD.1)…………8

訪問控制

5.1.2(ISE_CFD.2)…………8

數(shù)據(jù)保密

5.1.3(ISE_CFD.3)…………9

處理保密

5.1.4(ISE_CFD.4)…………9

存儲(chǔ)保密

5.1.5(ISE_CFD.5)…………9

通信保密

5.1.6(ISE_CFD.6)…………9

外部的非功能需求

5.2(NFOR)………………………10

安全需求的確定

5.2.1(OSE_CFD.1)………………10

運(yùn)行環(huán)境保密

5.2.2(OSE_CFD.2)…………………10

運(yùn)行網(wǎng)絡(luò)保密

5.2.3(OSE_CFD.3)…………………11

完整性族

6(SE_ITG)……………………12

內(nèi)部的非功能需求

6.1(NFIR)………………………12

網(wǎng)絡(luò)協(xié)議完整性

6.1.1(ISE_ITG.1)………………12

本地?cái)?shù)據(jù)完整性

6.1.2(ISE_ITG.2)………………12

外部的非功能需求

6.2(NFOR)………………………12

抗抵賴性族

7(SE_NRP)…………………13

內(nèi)部的非功能需求

7.1(NFIR)………………………13

原發(fā)和接收證據(jù)

7.1.1(ISE_NRP.1)………………13

支持?jǐn)?shù)字簽名

7.1.2(ISE_NRP.2)…………………13

外部的非功能需求

7.2(NFOR)………………………13

可核查性族

8(SE_ACN)…………………13

內(nèi)部的非功能需求

8.1(NFIR)………………………13

外部的非功能需求

8.2(NFOR)………………………14

運(yùn)行環(huán)境審計(jì)

8.2.1(OSE_ACN.1)………………14

網(wǎng)絡(luò)審計(jì)

8.2.2(OSE_ACN.2)……………………14

真實(shí)性族

9(SE_AUT)…………………15

GB/T404737—2021

.

內(nèi)部的非功能需求

9.1(NFIR)………………………15

用戶劃分與身份鑒別

9.1.1(ISE_AUT.1)…………15

登錄保護(hù)

9.1.2(ISE_AUT.2)………………………16

數(shù)字證書

9.1.3(ISE_AUT.3)………………………16

數(shù)字令牌

9.1.4(ISE_AUT.4)………………………17

系統(tǒng)連接

9.1.5(ISE_AUT.5)………………………17

外部的非功能需求

9.2(NFOR)………………………17

附錄資料性訪問控制的類型

A()………………………18

訪問控制的概念和基本類型

A.1……………………18

訪問控制的機(jī)制

A.2…………………18

參考文獻(xiàn)

……………………20

GB/T404737—2021

.

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件是銀行業(yè)應(yīng)用系統(tǒng)非功能需求的第部分已經(jīng)發(fā)布了以

GB/T40473《》7。GB/T40473

下部分

:

第部分描述框架

———1:;

第部分功能適宜性

———2:;

第部分性能效率

———3:;

第部分兼容性

———4:;

第部分易用性

———5:;

第部分可靠性

———6:;

第部分安全性

———7:;

第部分可維護(hù)性

———8:;

第部分可移植性

———9:。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任

。。

本文件由中國人民銀行提出

。

本文件由全國金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口

(SAC/TC180)。

本文件起草單位中國人民銀行科技司中國農(nóng)業(yè)銀行股份有限公司中國外匯交易中心暨全國銀

:、、

行間同業(yè)拆借中心中國人民銀行清算總中心中國建設(shè)銀行股份有限公司交通銀行股份有限公司農(nóng)

、、、、

信銀資金清算中心有限責(zé)任公司中國金融電子化公司

、。

本文件主要起草人李偉楊富玉曲維民李寬王鵬馬駿王鋒楊明英葛洪慧崔婉旻趙劉韜

:、、、、、、、、、、、

葉旻梁軍景蕓王燦雍陸原鵬楊倩謝彥麗劉書元王思源

、、、、、、、、。

GB/T404737—2021

.

引言

給出了銀行業(yè)應(yīng)用系統(tǒng)非功能需求的描述框架和各類銀行業(yè)應(yīng)用系統(tǒng)非功能需求的

GB/T40473

模板旨在提高銀行業(yè)應(yīng)用系統(tǒng)非功能需求的編制質(zhì)量和效率降低編制銀行業(yè)應(yīng)用系統(tǒng)非功能需求的

,,

門檻和成本由九個(gè)部分組成

,。

第部分描述框架目的在于明確銀行業(yè)應(yīng)用系統(tǒng)的范疇確立銀行業(yè)應(yīng)用系統(tǒng)非功能需求

———1:。,

的描述框架闡明銀行業(yè)應(yīng)用系統(tǒng)非功能需求的標(biāo)識(shí)和描述給出銀行業(yè)應(yīng)用系統(tǒng)非功能需求

,,

的定制包與定制輪廓提出對(duì)銀行業(yè)應(yīng)用系統(tǒng)非功能需求的技術(shù)管理與評(píng)價(jià)并給出銀行業(yè)應(yīng)

,,

用系統(tǒng)非功能需求的描述的方法是其余各部分閱讀和應(yīng)用的基礎(chǔ)

XML,。

第部分功能適宜性目的在于給出包括功能完整性功能正確性和功能適合性的功能適宜

———2:。、

性需求這些需求從嚴(yán)謹(jǐn)?shù)男枨蠓诸惪纯梢钥醋魇枪δ苄枨蟮阢y行業(yè)應(yīng)用系統(tǒng)的研發(fā)中

,,,,

往往被視作非功能需求

。

第部分性能效率目的在于給出包括時(shí)間特性資源利用和容量的性能效率需求

———3:。、。

第部分兼容性目的在于給出包括共存性和互操作性的兼容性

———4:。。

第部分易用性目的在于給出包括可辨識(shí)性易學(xué)性易操作性用戶差錯(cuò)防御性用戶界

———5:。、、、、

面舒適性和易訪問性的易用性

。

第部分可靠性目的在于給出包括成熟性可用性容錯(cuò)性和易恢復(fù)性的可靠性

———6:。、、。

第部分安全性目的在于給出包括保密性完整性抗抵賴性可核查性和真實(shí)性的安

———7:。、、、

全性

第部分可維護(hù)性目的在于給出包括模塊性可重用性易分析性易修改性和易測(cè)試性的

———8:。、、、

可維護(hù)性

。

第部分可移植性目的在于給出包括適應(yīng)性易安裝性和易替換性的可移植性

———9:。、。

當(dāng)不考慮縮寫和編號(hào)含義時(shí)本領(lǐng)域的技術(shù)人員基于本領(lǐng)域的專業(yè)知識(shí)可基本正確地理解本文件的

,,

實(shí)質(zhì)性內(nèi)容但在如下典型的情況下本文件的應(yīng)用者宜先閱讀并理解

。,GB/T40473.1—2021:

編制應(yīng)用系統(tǒng)的非功能需求

———;

評(píng)審應(yīng)用系統(tǒng)的非功能需求

———;

對(duì)應(yīng)用系統(tǒng)按照非功能需求開發(fā)的系統(tǒng)進(jìn)行驗(yàn)證和確認(rèn)

———;

對(duì)應(yīng)用系統(tǒng)按照非功能需求開發(fā)的系統(tǒng)進(jìn)行靜態(tài)和動(dòng)態(tài)測(cè)試

———。

對(duì)按照本文件編制的非功能需求若以給出的形式描述會(huì)對(duì)非功能

,GB/T40473.1—2021XML,

需求帶來傳輸和處理上更大便利

。

GB/T404737—2021

.

銀行業(yè)應(yīng)用系統(tǒng)非功能需求

第7部分安全性

:

1范圍

本文件界定了銀行業(yè)應(yīng)用系統(tǒng)安全性的概念規(guī)定了安全性元素與組件層次及描述方式安全性類

,、

保密性族完整性族抗抵賴性族可核查性族和真實(shí)性族非功能需求模板

、、、。

本文件適用于銀行業(yè)各類應(yīng)用系統(tǒng)對(duì)安全性類非功能需求的描述與銀行業(yè)應(yīng)用系統(tǒng)進(jìn)行信息交

換的應(yīng)用系統(tǒng)根據(jù)需要可參照使用

,。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對(duì)應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

銀行業(yè)應(yīng)用系統(tǒng)非功能需求第部分描述框架

GB/T40473.1—20211:

3術(shù)語和定義

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評(píng)論

0/150

提交評(píng)論