ICS03060

A11.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T27910—2011

金融服務(wù)信息安全指南

Financialservices—Informationsecurityguidelines

(ISO/TR13569:2005,MOD)

2011-12-30發(fā)布2012-02-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T27910—2011

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語(yǔ)和定義………………

31

符號(hào)和縮略語(yǔ)……………

48

公司信息安全策略………………………

59

信息安全管理安全方案……………

6———12

信息安全機(jī)構(gòu)……………

713

風(fēng)險(xiǎn)分析和評(píng)估…………………………

816

安全控制實(shí)施和選擇……………………

917

系統(tǒng)控制……………

10IT20

實(shí)施特定控制措施……………………

1123

輔助項(xiàng)…………………

1226

后續(xù)防護(hù)措施…………………………

1329

事故處置………………

1429

附錄資料性附錄示例文檔…………

A()31

附錄資料性附錄服務(wù)安全分析示例…………

B()Web36

附錄資料性附錄風(fēng)險(xiǎn)評(píng)估說(shuō)明……………………

C()40

附錄資料性附錄技術(shù)控制…………

D()47

參考文獻(xiàn)……………………

52

Ⅰ

GB/T27910—2011

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)使用重新起草法修改采用國(guó)際標(biāo)準(zhǔn)金融服務(wù)信息安全指南

ISO/TR13569:2005《》。

考慮到我國(guó)國(guó)情在采用時(shí)技術(shù)內(nèi)容做了以下修改

,ISO/TR13569:2005:

刪除了原文中的法律和法規(guī)符合性因?yàn)檫@部分內(nèi)容主要描述了國(guó)外的法律法規(guī)要求與

———5.2,,

國(guó)內(nèi)情形不同

;

鑒于已于年月正式更改編號(hào)為標(biāo)準(zhǔn)中對(duì)

———ISO/IEC17799:200520077ISO/IEC27002:2005,

該標(biāo)準(zhǔn)的無(wú)日期引用更換為對(duì)的無(wú)日期引用

ISO/IEC27002;

將原文中的一些錯(cuò)誤進(jìn)行修正如附錄中的改為等

———,D.2.4“E.2.3”“D.2.3”。

為便于使用本標(biāo)準(zhǔn)還做了下列編輯性修改

,:

刪除前言

———ISO。

與本部分規(guī)范性引用的國(guó)際文件有一致性對(duì)應(yīng)關(guān)系的我國(guó)文件如下

:

信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則

GB/T22081(GB/T22081—2008,ISO/

IEC27002:2005,IDT)

本標(biāo)準(zhǔn)由中國(guó)人民銀行提出

。

本標(biāo)準(zhǔn)由全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)負(fù)責(zé)歸口

(SAC/TC180)。

本標(biāo)準(zhǔn)負(fù)責(zé)起草單位中國(guó)金融電子化公司

:。

本標(biāo)準(zhǔn)參加起草單位中國(guó)人民銀行中國(guó)農(nóng)業(yè)銀行招商銀行上海浦東發(fā)展銀行中國(guó)信息安全

:、、、、

測(cè)評(píng)中心中鈔信用卡產(chǎn)業(yè)發(fā)展有限公司

、。

本標(biāo)準(zhǔn)主要起草人王平娃陸書春王韜楊倩李曙光劉運(yùn)王連強(qiáng)戴忠華唐步天李同勛

:、、、、、、、、、、

陳杰李安安趙志蘭賈樹輝田潔景蕓張艷馬小瓊

、、、、、、、。

Ⅲ

GB/T27910—2011

引言

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的引入金融業(yè)務(wù)的實(shí)現(xiàn)方式發(fā)生了巨大變化具體體現(xiàn)在對(duì)電子交易的依

,,

賴性不斷增加從而帶來(lái)了對(duì)信息和通信技術(shù)安全進(jìn)行管理的需求每天大量的資金和證券交易信息

,。

通過(guò)電子通信方式進(jìn)行傳輸這些通信方式均由基于業(yè)務(wù)規(guī)則的安全策略所控制

,。

開放環(huán)境中巨額海量的電子交易給金融機(jī)構(gòu)帶來(lái)了巨大風(fēng)險(xiǎn)高度互連的網(wǎng)絡(luò)和日益增加的技

、。

術(shù)高超的惡意攻擊者給銀行和銀行客戶加重了風(fēng)險(xiǎn)并且當(dāng)金融交易涉及重要的支付系統(tǒng)時(shí)這些后果

,,

可能對(duì)國(guó)內(nèi)外金融市場(chǎng)產(chǎn)生不良影響

。

為了在開放環(huán)境中拓展金融業(yè)務(wù)的同時(shí)進(jìn)行有效的風(fēng)險(xiǎn)管理金融機(jī)構(gòu)應(yīng)該建立一個(gè)強(qiáng)有力且有

,,

效的企業(yè)級(jí)的信息安全方案金融機(jī)構(gòu)應(yīng)像建立業(yè)務(wù)慣例和相關(guān)協(xié)議外部采購(gòu)流程保險(xiǎn)等適當(dāng)?shù)陌?/p>

。、、

全控制措施一樣來(lái)精心構(gòu)建信息安全方案降低風(fēng)險(xiǎn)滿足國(guó)內(nèi)外法律法規(guī)的要求

,,,。

正如巴塞爾協(xié)議給我們的警示運(yùn)營(yíng)法律和法規(guī)風(fēng)險(xiǎn)可以導(dǎo)致或者惡化信貸和流動(dòng)性風(fēng)險(xiǎn)管理

,、。

這些風(fēng)險(xiǎn)已成為金融機(jī)構(gòu)信息安全方案的核心為具體掌握風(fēng)險(xiǎn)每一個(gè)機(jī)構(gòu)必須按照其自身業(yè)務(wù)活

。,

動(dòng)對(duì)其進(jìn)行詮釋運(yùn)營(yíng)風(fēng)險(xiǎn)包括欺詐和犯罪活動(dòng)自然災(zāi)害恐怖活動(dòng)等必須給予仔細(xì)考慮針對(duì)小

。、、,。

概率事件也必須制定應(yīng)對(duì)計(jì)劃例如年月亞洲海嘯和年月日的恐怖襲擊

,2004122001911。

本標(biāo)準(zhǔn)給不同規(guī)模和類型的金融機(jī)構(gòu)提供了審慎且成本合理的業(yè)務(wù)信息安全管理方案同時(shí)它也

,

為金融機(jī)構(gòu)服務(wù)提供商提供了指南對(duì)于面向金融業(yè)的培訓(xùn)機(jī)構(gòu)和出版商本標(biāo)準(zhǔn)也可作為原始文檔

。,。

本標(biāo)準(zhǔn)的目標(biāo)是

:

定義信息安全管理方案

———;

提出方案的策略組織和必要的結(jié)構(gòu)化組件

———、;

提出在金融應(yīng)用中基于可接受的審慎業(yè)務(wù)措施來(lái)選擇安全控制措施的指南

———;

提出信息安全管理方案中系統(tǒng)化解決法律法規(guī)風(fēng)險(xiǎn)的金融服務(wù)管理需求

———。

本標(biāo)準(zhǔn)并未面向所有金融機(jī)構(gòu)提供一個(gè)單一的一般性的解決方案每個(gè)金融機(jī)構(gòu)必須進(jìn)行風(fēng)險(xiǎn)

、。

分析并選擇適當(dāng)?shù)拇胧┍緲?biāo)準(zhǔn)是提供過(guò)程管理的指南而不是具體的解決方案

。,。

Ⅳ

GB/T27910—2011

金融服務(wù)信息安全指南

1范圍

本標(biāo)準(zhǔn)為金融機(jī)構(gòu)提供了制定信息安全方案的指南該指南包括策略討論機(jī)構(gòu)和方案的結(jié)構(gòu)化

。,

法律法規(guī)組件本標(biāo)準(zhǔn)探討了在選擇和實(shí)施安全控制措施方面應(yīng)考慮的內(nèi)容以及在現(xiàn)代化金融服務(wù)

。,

機(jī)構(gòu)中管理信息安全風(fēng)險(xiǎn)的要素并給出了基于機(jī)構(gòu)業(yè)務(wù)環(huán)境實(shí)踐和規(guī)程方面應(yīng)考慮的建議本標(biāo)準(zhǔn)

,、。

還包括對(duì)法律法規(guī)符合性問題的討論這需要在方案的設(shè)計(jì)和實(shí)施階段予以考慮

,。

本標(biāo)準(zhǔn)適用于金融機(jī)構(gòu)制定信息安全方案時(shí)的參考

。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

所有部分銀行業(yè)務(wù)個(gè)人識(shí)別碼的管理與安全

ISO9564()(Banking—PersonalIdentification

Number(PIN)managementandsecurity)

所有部分金融交易卡使用集成電路卡的金融交易系統(tǒng)的安全體系

ISO10202()(Financial

transactioncards—Securityarchitectureoffinancialtransactionsystemsusingintegratedcircuitcards)

所有部分銀行業(yè)務(wù)密鑰管理零售

ISO11568()()(Banking—Keymanagement(retail))

所有部分信息技術(shù)安全技術(shù)密鑰管理

ISO/IEC11770()(Informationtechnology—Security

techniques—Keymanagement)

所有部分金融業(yè)務(wù)證書管理

ISO15782()(Certificatemanagementforfinancialservices)

銀行業(yè)務(wù)采用對(duì)稱加密技術(shù)進(jìn)行報(bào)文鑒別的要求

ISO16609:2004(Banking—Requirements

formessageauthenticationusingsymmetrictechniques)

信息技術(shù)