标准解读

《GB/T 31502-2015 信息安全技术 电子支付系统安全保护框架》是一项国家标准,主要针对电子支付系统的安全性提出了指导原则和要求。该标准适用于各种类型的电子支付服务提供者、金融机构以及参与电子支付流程的相关方,旨在通过建立一套全面的安全保护框架来保障电子支付过程中的信息安全。

标准内容覆盖了从电子支付系统的设计开发到运营维护整个生命周期的安全管理要求,包括但不限于:

  • 风险评估:要求对电子支付系统进行全面的风险分析与评估,识别潜在的安全威胁及脆弱点,并据此制定相应的控制措施。
  • 访问控制:强调对于敏感信息资源的访问需要实施严格的权限管理和身份验证机制,确保只有授权用户才能获取或修改这些信息。
  • 数据保护:规定了数据加密传输、存储时应采取的技术手段,以防止数据在传输过程中被截取或篡改;同时也要注意个人隐私信息的保护。
  • 交易完整性:为保证每笔交易的真实性和不可否认性,需采用数字签名等技术手段对交易双方的身份进行确认,并记录完整的交易日志。
  • 应急响应计划:建议各机构根据自身情况制定详细的应急预案,一旦发生安全事故能够迅速启动响应程序,最大限度地减少损失。
  • 持续监控与审计:定期对电子支付系统的运行状态进行监测,并开展内外部安全审计工作,及时发现并解决存在的问题。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2015-05-15 颁布
  • 2016-01-01 实施
©正版授权
GB/T 31502-2015信息安全技术电子支付系统安全保护框架_第1页
GB/T 31502-2015信息安全技术电子支付系统安全保护框架_第2页
GB/T 31502-2015信息安全技术电子支付系统安全保护框架_第3页
GB/T 31502-2015信息安全技术电子支付系统安全保护框架_第4页
GB/T 31502-2015信息安全技术电子支付系统安全保护框架_第5页
已阅读5页,还剩91页未读 继续免费阅读

下载本文档

GB/T 31502-2015信息安全技术电子支付系统安全保护框架-免费下载试读页

文档简介

ICS35040

L80.

中华人民共和国国家标准

GB/T31502—2015

信息安全技术

电子支付系统安全保护框架

Informationsecuritytechnology—

Securityprotectframeworkofelectronicpaymentsystem

2015-05-15发布2016-01-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T31502—2015

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

符号与缩略语

4……………2

符号表示

4.1……………2

缩略语

4.2………………3

电子支付系统描述

5………………………3

电子支付系统模型

5.1…………………3

电子支付系统工作模式

5.2……………7

受保护资产

5.3…………………………8

安全问题定义

6……………10

概述

6.1…………………10

威胁

6.2…………………10

组织安全策略

6.3(SOP)………………14

假设

6.4(SAS)…………………………17

安全问题定义理由

6.5…………………17

安全目的

7…………………17

概述

7.1…………………17

针对评估对象的安全目的

7.2[TOE](OET)………18

针对评估对象运行环境的安全目的

7.3[TOE](OTE)……………18

安全功能要求

8……………19

概述

8.1…………………19

安全审计类

8.2(FAU)………………19

通信类

8.3(FCO)……………………32

密码支持类

8.4(FCS)…………………35

用户数据保护类

8.5(FDP)……………35

标识和鉴别类

8.6(FIA)………………40

安全管理类

8.7(FMT)………………40

保护类

8.8TSF(FPT)………………42

安全保证要求

9……………43

国家相关标准的部分依从性分析

10……………………43

组织安全策略示例

11……………………43

附录资料性附录电子支付系统的行为模型

A()………44

GB/T31502—2015

附录规范性附录安全问题定义理由

B()………………69

附录规范性附录安全目的理由

C()……………………74

附录规范性附录安全保证要求

D()……………………78

附录规范性附录对国家相关标准的部分依从性分析

E()……………80

附录资料性附录组织安全策略示例可疑交易预警规则

F():………82

参考文献

……………………87

GB/T31502—2015

前言

本标准按照给出的规则起草

GB/T1.1—2009。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位北京多思科技工业园股份有限公司中国农业银行中国金融电子化公司国家信

:、、、

息安全工程技术研究中心东方集团网络信息安全技术有限公司北京大秦兴宇电子有限公司北京天

、、、

宏绎网络技术有限公司北京科蓝软件系统有限公司长城瑞通北京科技有限公司重庆银行南充市

、、()、、

商业银行

本标准主要起草人刘大力李宽沈敏锋韩琳琳吴义章吴铮刘运文仲慧沈昕立康伟张磊

:、、、、、、、、、、、

于敬新崔新杰罗勇夏鹏轩闫凤如陈辉武王庆元左小波邱岩张春阳黄光伟邢呈礼高艳芳

、、、、、、、、、、、、、

王州府

GB/T31502—2015

引言

本标准以国际通行的信息技术安全性评估准则为基础结合我国现阶段电子支付系统的特点按照

,,

我国有关法律法规和政令的要求以自主可控为原则为公共类电子支付系统的信息安全提供一个公

、,,

共框架是进一步完善相关国家标准及行业标准的重要步骤为构建运行公共电子支付系统提供

;;、,

支撑

GB/T31502—2015

信息安全技术

电子支付系统安全保护框架

1范围

本标准在给出电子支付系统模型的基础上为公共类电子支付系统的信息安全提供了一个公共框

,

架主要包括安全问题定义安全目的安全功能需求和安全保障需求

,、、。

本标准适用于安全构建运行公共类电子支付系统

、。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息技术安全技术信息技术安全性评估准则第部分简介和一般模型

GB/T18336.11:

信息技术安全技术信息技术安全性评估准则第部分安全功能组件

GB/T18336.22:

信息技术安全技术信息技术安全性评估准则第部分安全保障组件

GB/T18336.33:

3术语和定义

界定的以及下列术语和定义适用于本文件

GB/T18336.1。

31

.

电子支付electronicpayment

采用数字化方式在电子终端信息传输通道以及相关系统的支持下进行支付的行为

,、,。

32

.

支付通道transactionchannel

在电子支付交易过程中电子支付凭据与支付

人人文库> 全部分类> 行业资料 > 各类标准

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

最新文档

评论

0/150

提交评论