GB/T 27911-2011银行业　安全和其他金融服务　金融系统的安全框架.pdf

ICS 03．060 A 11 园雪 中华人民共和国国家标准 GB／T 27911--2011 银行业 安全和其他金融服务 2011-12-30发布 金融系统的安全框架 Banking--Security and other financial serVices—— Framework for security in financial systems (IS0／TR 17944：2002，MOD) 2012一02一01实施 宰瞀鹃紫瓣警矬瞥星发布中国国家标准化管理委员会仅1” 目次GB／r27911—201前言????????????????????????????????????????Ⅲ1范围???????????????????????????????????????1标准化的领域 ????1．1概述 12身份识别和鉴别3数据完整性 34隐私和机密性 45抗抵赖6服务 可用 57可追溯性 审计 68互用性 79安全管理0加密算法 93ISO空白的标准化领域 10附录A(资料 附录)补充信息参考文献 12标准分享网 免费下载 刖菁GB／T27911—2011本标准按照GB／T1． —2009给出的规则起草。使用重新起草法修改采用ISO／TR44： 02／(银行业安全和其他金融服务金融系统的安全框架》。考虑到我国国情，并考虑了2002年以来国际上发布了一些新的与金融相关的信息安全类标准，在采用ISO／TR时做了以下修改：——2．2条的表1中，在“生物特征识别技术”中加人了近年来新发布的一些国际标准；3 2 报文鉴别”中加入 ISO／IECl9772：2009；6 5 灾难恢复4762：2008；7 6 评估标准80 5 8、ISO／IECTR9 6、ISO／IEC827 9 8 证书管理 IsO88； 安全 S ／IEC、Is ／IEC0 SO70 、s 3 600： 、ISO／IEC5 8 06 7IEC1 1 条的表9中，在“一般的”中加入了IsO／IEC31 532 5EC 3 1：2005、ISO／I63 Cl／IEC8 3 4：2 5、 对称 S019038；第3章表1 中删除生物识别、灾难恢复两行，因为在正文中加人了这两个领域的ISO标准，另外加入三行：“隐私和机密性” “商业实体身份标识符”、“令牌”；各表格中 被引用的有年代号的标准，如有更 版本，用必威体育精装版年代号标准替换；删除已废止的国际标准。为便于 ，本标准还做 下列编辑性修改：删除ISO前言和引言；对于已经发布的标准，删除原文 的表注“即将发布”。由中 人民银行提出全 金融标准化技术委员会(SAC／TC)归口。负责起草单位：中国金融电子化公司参加 人民银行、中国工商银 、中国建设银行、交通银行、中信银行、北京银联金卡科技有限公司。主要 人：王平娃、陆 春 李曙光、杨倩 田洁、刘运、赵志兰、邵冠军、李延 杨宝辉、贾静、李孟琰、刘志刚、仲志晖、贾树辉 景芸、张艳、马小琼。Ⅲ 标准分享网 免费下载 1范围银行业安全和其他金融服务金融系统的安全框架GB／T2791—201本标准提供了金融业所必要的安全方面的标准框架。汇总了金融行 已出现的一些关键安全问题，以及针对每一个问题的相关现有标准。适用于 机构在实施安全策略时的标准参考。标准化的领域．1概述融行 中，信息技术安全的需求体现在令牌、设备、加密技术、密钥管理、应用程序接rl(API)和协议等标准应用领域，这些不同领域可根据下面这些基础领域的基本业务需求进行分组。多数领域已经有了各种各样可用的标准，而在其他领域，标准或正在制定或有了(新)标准需求。第2章中 及 融机构信息安全标准化的主要领域，其中表1到表9包含了这些领域可用的 有时是必需的) 标准。表中排在前面 国际标准来自国际标准化组织，跟随在其后的有关标准来自其他标准组织”。基 这些表中缺少 标准，第3章概述了IsO空白的标准化领域。注：对于所提及标准的更加详细资料，可以联系参考的标准化组织(参见附录A)。身份识别和鉴别交易中涉及 所有 体 身份应被确定。鉴别确保一个实体的身份就是它声明的身份。金融机构应保证：只 授权的用户可以访问他们 信息技术系统。用于 的机制建立在使用身份 识、令牌、口令短语、个人身份识别码(PIN)、生物识别技术、数字签名和证书基础之上 相关标准见表1。表 身份识别和鉴别需求可用 标准标题／描述ISO rEC9 98—1信息技术安全技术实体鉴别第1部分：概述I2 2 采用对称加密算法的机制33部分：采用数字签名身份识别和鉴4 4 密码校验函数5 5 使 零知识技术 机制s5 4 8 开放系统互连目录第8部分 公钥 属性证书框架)本标准中非ISO标准的引用仅用于资料目的；它们应是一个共识并且应该是被发表 或公认可用的。非ISO准 引