SAS简介生产讲训.ppt

SAS认证简介 SAS-Security Accreditation Scheme 安全保证方案 什么是SAS SAS标准是通讯智能卡行业特殊的工业安全生产标准，是通讯智能卡行业中现有最高级别的安全和数据保护标准，旨在提高通讯高智能卡的整体安全性。其核心在于保证客户数据/信息的安全。 标准发布机构：GSM Association 认证管理机构： GSM Association 适用范围：通信智能卡 认证性质：自愿性认证 审核实施机构：Fraud Management Limited （FML）（英国） ChaseWaterford （南非） SAS的认证范围 卡片封装(含预个人化） 数据处理 卡片个人化 PIN封打印 其它增值服务（如封套包装等） 其他卡商获证情况 全球共有22家卡商取得了该认证 中国大陆有6家已获证： Watchdata（北京） Oberthur Card Systems（深圳） Eastcom Peace Smart Card （珠海） Datang Microelectronics（北京） Hengbao Danyang, China Giesecke Devrient (China) Information Technologies Co., Ltd. Nanchang, China SAS之安全目标 防止信息泄露，保持信息的秘密、完整和可用性 防止资产被盗、损失或不当使用 防止重卡、错位卡 寻找可能的或真实的安全违规 并处理改正 防止一个客户的数据被披露给另外客户 SAS要求1.安全策略 制定安全手册，定义安全方针、目标和策略，让全体员工都知道 定期进行风险评估，识别、处理 做好应急计划（BCP) 定期进行内部审核。 SAS要求2.组织和责任 明确的安全管理组织结构 定期的、跨职能团队的安全管理会议 责任：所有员工应对整个生产流程里处于他们管理下的敏感资产（物理资产和信息）负责 ……即每个阶段要明确保管责任 合同/保险：与客户的合同需明确损失的责任和义务，需要购买包括直接、间接损失的责任险。 SAS要求3.信息 对信息和其他资产分类，并根据不同类别的信息和资产有适当的处理方针 对敏感信息和资产的访问必须总是根据“需要知道”的原则 附件一:资产分类表（参考） SAS要求4.人事安全 在岗位职责JD中明确安全职责 有明确的人员筛选政策：……信用调查、犯罪背景调查和2年一次的定期再调查 所有人员需要签订必威体育官网网址协议，并签署已接受安全政策 安全培训：入职、定期、特殊岗位人员 应有违反安全规定的处罚机制、有员工报告或秘密报告违反安全事件或怀疑的体制 离职手续。门禁、资产、钥匙、账户等 SAS要求5厂房安防设施 总体上和EMV的要求差不多，外围栅栏、CCTV、运动探测、震动探测、图像分析等，但审核员把握的度会比较紧。有特别的地方将在以下提到。 应有紧急撤退时的保护和恢复机制。如指定人员监控、使用自动门等 安防设施的定期检查：第三方和自检，自检需定义方法、周期、记录等。 对由外面通向高安全区的门（如逃生门）的要求有些特别：多点锁（Multi-point locking system）、移动或切断铰链门不会被打开？Removal or cutting of hinges should not allow doors to be opened SAS要求6.访问控制 根据“需要访问”的原则给每位员工授权 访客、临时工的管理方法同EMV 卸/发货区的管理同EMV，三门联锁管理。 钥匙的管理同EMV，需要授权或审批 部分区域需要ID卡+PIN管理：数据室、碎卡室 处理一类资产和二类资产的区域应分开 SAS要求6.访问控制-常犯的问题 把自己的ID卡借给他人使用 尾随：即跟随其他人进出（自己没有刷卡） 不正确佩戴或不戴ID卡 将门敞开 临时工、访客ID卡不及时归还保安 访客进厂后不陪同 SAS要求7.保安 基本要求同EMV:手册、时间、职责、人员管理 保安需熟悉安防设施的操作（门禁系统、CCTV、警报系统），审核员需验证。 SAS要求8.生产数据管理 总体上考虑采取和EMV相同原则的数据接收、存储、处理、 删除机制 与客户达成敏感数据的安全传输机制协议，包括加解密。应证明已经保证数据传输机制是适合的。如果可户要求不安全的数据传输机制，供应商应正式书面通知客户数据传输机制的不适合。 用适当的加密技术全程加密（除非必要阶段如个人化），使用后应安全删除，尽可能避免对未加密数据进行人工交互处理，优先考虑自