ICS03.060 A11 GB 中华人民共和国国家标准 GB/T27910-2011 金融服务 信息安全指南 Financial services-Information security guidelines (ISO/TR13569:2005 MOD) 2011-12-30发布 2012-02-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会 发布 GB/T27910—2011 目次 前言 引言 V 1范围 1 2规范性引用文件 1 3术语和定义 1 4符号和缩略语 8 5公司信息安全策略 9 6信息安全管理—一—安全方案12 7信息安全机构 13 8风险分析和评估 .16 9安全控制实施和选择 17 10IT系统控制 20 11实施特定控制措施 *23 12辅助项 26 13后续防护措施 29 14事故处置 29 附录A(资料性附录)示例文档 31 附录B(资料性附录)Web服务安全分析示例36 附录C(资料性附录)风险评估说明 40 附录D(资料性附录)技术控制 47 参考文献 52 I GB/T27910-2011 前言 本标准按照GB/T1.1一2009给出的规则起草. 本标准使用重新起草法修改采用国际标准ISO/TR13569:2005《金融服务信息安全指南》. 考虑到我国国情,在采用ISO/TR13569:2005时技术内容做了以下修改: 一删除了原文中的5.2法律和法规符合性,因为这部分内容主要描述了国外的法律法规要求,与 国内情形不同; —鉴于ISO/IEC17799:2005已于2007年7月正式更改编号为ISO/IEC27002:2005 标准中对 该标准的无日期引用更换为对ISO/IEC27002的无日期引用; —将原文中的-一些错误进行修正,如附录D.2.4中的“E.2.3”改为“D.2.3”等. 为便于使用,本标准还做了下列编辑性修改: 一删除ISO前言. 与本部分规范性引用的国际文件有一致性对应关系的我国文件如下: GB/T22081信息技术安全技术信息安全管理实用规则(GB/T22081一2008,ISO/ IEC27002:2005 IDT) 本标准由中国人民银行提出. 本标准由全国金融标准化技术委员会(SAC/TC180)负责归口. 本标准负责起草单位:中国金融电子化公司. 本标准参加起草单位:中国人民银行、中国农业银行、招商银行、上海浦东发展银行、中国信息安全 测评中心、中钞信用卡产业发展有限公司. 本标准主要起草人:王平娃、陆书春、王韬、杨倩、李曙光、刘运、王连强、戴忠华、唐步天、李同勋、 陈杰、李安安、赵志兰、贾树辉、田洁、景芸、张艳、马小琼. GB/T27910—2011 引言 随着计算机和网络技术的引人,金融业务的实现方式发生了巨大变化,具体体现在对电子交易的依 赖性不断增加,从而带来了对信息和通信技术安全进行管理的需求.每天大量的资金和证券交易信息 通过电子通信方式进行传输,这些通信方式均由基于业务规则的安全策略所控制. 开放环境中巨额、海量的电子交易给金融机构带来了巨大风险.高度互连的网络和日益增加的技 术高超的恶意攻击者给银行和银行客户加重了风险,并且当金融交易涉及重要的支付系统时,这些后果 可能对国内外金融市场产生不良影响. 为了在开放环境中拓展金融业务的同时,进行有效的风险管理,金融机构应该建立一个强有力且有 效的企业级的信息安全方案.金融机构应像建立业务惯例和相关协议、外部采购流程、保险等适当的安 全控制措施一样,来精心构建信息安全方案,降低风险,满足国内外法律法规的要求. 正如巴塞尔协议给我们的警示,运营、法律和法规风险可以导致或者恶化信贷和流动性风险.管理 这些风险已成为金融机构信息安全方案的核心.为具体掌握风险,每一个机构必须按照其自身业务活 动对其进行诠释.运营风险包括欺诈和犯罪活动、自然灾害、恐饰活动等,必须给予仔细考虑.针对小 概率事件也必须制定应对计划,例如2004年12月亚洲海哺和2001年9月11日的恐怖袭击. 本标准给不同规模和类型的金融机构提供了审慎且成本合理的业务信息安全管理方案,同时它也 为金融机构服务提供商提供了指南.对于面向金融业的培训机构和出版商,本标准也可作为原始文档. 本标推的目标是: 一一定义信息安全管理方案; ——提出方案的策略、组织和必要的结构化组件; —提出在金融应用中基于可接受的审慎业务措施来选择安全控制措施的指南; ——提出信息安全管理方案中系统化解决...
GB/T 27910-2011 金融服务 信息安全指南.pdf
