- 现行
- 正在执行有效
- 2011-12-30 颁布
- 2012-02-01 实施
下载本文档
文档简介
ICS03060
A11.
中华人民共和国国家标准
GB/T27910—2011
金融服务信息安全指南
Financialservices—Informationsecurityguidelines
(ISO/TR13569:2005,MOD)
2011-12-30发布2012-02-01实施
中华人民共和国国家质量监督检验检疫总局发布
中国国家标准化管理委员会
GB/T27910—2011
目次
前言…………………………
Ⅲ
引言…………………………
Ⅳ
范围………………………
11
规范性引用文件…………………………
21
术语和定义………………
31
符号和缩略语……………
48
公司信息安全策略………………………
59
信息安全管理安全方案……………
6———12
信息安全机构……………
713
风险分析和评估…………………………
816
安全控制实施和选择……………………
917
系统控制……………
10IT20
实施特定控制措施……………………
1123
辅助项…………………
1226
后续防护措施…………………………
1329
事故处置………………
1429
附录资料性附录示例文档…………
A()31
附录资料性附录服务安全分析示例…………
B()Web36
附录资料性附录风险评估说明……………………
C()40
附录资料性附录技术控制…………
D()47
参考文献……………………
52
Ⅰ
GB/T27910—2011
前言
本标准按照给出的规则起草
GB/T1.1—2009。
本标准使用重新起草法修改采用国际标准金融服务信息安全指南
ISO/TR13569:2005《》。
考虑到我国国情在采用时技术内容做了以下修改
,ISO/TR13569:2005:
删除了原文中的法律和法规符合性因为这部分内容主要描述了国外的法律法规要求与
———5.2,,
国内情形不同
;
鉴于已于年月正式更改编号为标准中对
———ISO/IEC17799:200520077ISO/IEC27002:2005,
该标准的无日期引用更换为对的无日期引用
ISO/IEC27002;
将原文中的一些错误进行修正如附录中的改为等
———,D.2.4“E.2.3”“D.2.3”。
为便于使用本标准还做了下列编辑性修改
,:
删除前言
———ISO。
与本部分规范性引用的国际文件有一致性对应关系的我国文件如下
:
信息技术安全技术信息安全管理实用规则
GB/T22081(GB/T22081—2008,ISO/
IEC27002:2005,IDT)
本标准由中国人民银行提出
。
本标准由全国金融标准化技术委员会负责归口
(SAC/TC180)。
本标准负责起草单位中国金融电子化公司
:。
本标准参加起草单位中国人民银行中国农业银行招商银行上海浦东发展银行中国信息安全
:、、、、
测评中心中钞信用卡产业发展有限公司
、。
本标准主要起草人王平娃陆书春王韬杨倩李曙光刘运王连强戴忠华唐步天李同勋
:、、、、、、、、、、
陈杰李安安赵志兰贾树辉田洁景芸张艳马小琼
、、、、、、、。
Ⅲ
GB/T27910—2011
引言
随着计算机和网络技术的引入金融业务的实现方式发生了巨大变化具体体现在对电子交易的依
,,
赖性不断增加从而带来了对信息和通信技术安全进行管理的需求每天大量的资金和证券交易信息
,。
通过电子通信方式进行传输这些通信方式均由基于业务规则的安全策略所控制
,。
开放环境中巨额海量的电子交易给金融机构带来了巨大风险高度互连的网络和日益增加的技
、。
术高超的恶意攻击者给银行和银行客户加重了风险并且当金融交易涉及重要的支付系统时这些后果
,,
可能对国内外金融市场产生不良影响
。
为了在开放环境中拓展金融业务的同时进行有效的风险管理金融机构应该建立一个强有力且有
,,
效的企业级的信息安全方案金融机构应像建立业务惯例和相关协议外部采购流程保险等适当的安
。、、
全控制措施一样来精心构建信息安全方案降低风险满足国内外法律法规的要求
,,,。
正如巴塞尔协议给我们的警示运营法律和法规风险可以导致或者恶化信贷和流动性风险管理
,、。
这些风险已成为金融机构信息安全方案的核心为具体掌握风险每一个机构必须按照其自身业务活
。,
动对其进行诠释运营风险包括欺诈和犯罪活动自然灾害恐怖活动等必须给予仔细考虑针对小
。、、,。
概率事件也必须制定应对计划例如年月亚洲海啸和年月日的恐怖袭击
,2004122001911。
本标准给不同规模和类型的金融机构提供了审慎且成本合理的业务信息安全管理方案同时它也
,
为金融机构服务提供商提供了指南对于面向金融业的培训机构和出版商本标准也可作为原始文档
。,。
本标准的目标是
:
定义信息安全管理方案
———;
提出方案的策略组织和必要的结构化组件
———、;
提出在金融应用中基于可接受的审慎业务措施来选择安全控制措施的指南
———;
提出信息安全管理方案中系统化解决法律法规风险的金融服务管理需求
———。
本标准并未面向所有金融机构提供一个单一的一般性的解决方案每个金融机构必须进行风险
、。
分析并选择适当的措施本标准是提供过程管理的指南而不是具体的解决方案
。,。
Ⅳ
GB/T27910—2011
金融服务信息安全指南
1范围
本标准为金融机构提供了制定信息安全方案的指南该指南包括策略讨论机构和方案的结构化
。,
法律法规组件本标准探讨了在选择和实施安全控制措施方面应考虑的内容以及在现代化金融服务
。,
机构中管理信息安全风险的要素并给出了基于机构业务环境实践和规程方面应考虑的建议本标准
,、。
还包括对法律法规符合性问题的讨论这需要在方案的设计和实施阶段予以考虑
,。
本标准适用于金融机构制定信息安全方案时的参考
。
2规范性引用文件
下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文
。,
件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件
。,()。
所有部分银行业务个人识别码的管理与安全
ISO9564()(Banking—PersonalIdentification
Number(PIN)managementandsecurity)
所有部分金融交易卡使用集成电路卡的金融交易系统的安全体系
ISO10202()(Financial
transactioncards—Securityarchitectureoffinancialtransactionsystemsusingintegratedcircuitcards)
所有部分银行业务密钥管理零售
ISO11568()()(Banking—Keymanagement(retail))
所有部分信息技术安全技术密钥管理
ISO/IEC11770()(Informationtechnology—Security
techniques—Keymanagement)
所有部分金融业务证书管理
ISO15782()(Certificatemanagementforfinancialservices)
银行业务采用对称加密技术进行报文鉴别的要求
ISO16609:2004(Banking—Requirements
formessageauthenticationusingsymmetrictechniques)
信息技术
温馨提示
- 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
- 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
- 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。
最新文档
- 数据安全防护与溯源分析平台研发及产业化项目可行性研究报告
- 医用重组胶原蛋白透明质酸钠修复贴项目可行性研究报告
- 年产5万台汽车散热器、中冷器及30万只纸箱项目可行性研究报告
- 江苏省宿迁市沭阳怀文中学2023-2024学年中考历史押题卷含解析
- 2024年度视频会议系统维护服务合同范本文 1
- 2024年高纯锌市场分析及竞争策略报告
- 小学三年级数学两位数乘一位数计算过关自测模拟题大全附答案
- 三年级数学两位数乘两位数笔算题单元自测题
- 江苏省无锡市育才中学2023-2024学年中考语文全真模拟试卷含解析
- 江苏省无锡市宜兴市宜城环科园教联盟达标名校2024年中考押题历史预测卷含解析
- 江西地理文化介绍-课件
- 小学幼儿园保安巡查记录表
- 仁爱版七年级下册《Unit5OurSchoolLife》说课稿课件
- 广东粤电湛江生物质发电项目环境影响报告书
- 土的天然稠度试验检测方案
- 初中数学教学课例《分解因式法解一元二次方程》课程思政核心素养教学设计及总结反思
- Q1-起重机指挥实际操作技能考核作业指导书
- 司法考试重点知识点整理
- 小学生心理健康主题班会PPT
- 《概率论与数理统计II》课程教学大纲英文版
- 同型半胱氨酸测定试剂盒(酶法)主要生产工艺及反应体系的研究资料
评论
0/150
提交评论