ICS03.060 A11 gB 中华人民共和国国家标准 GB/T27911-2011 银行业安全和其他金融服务 金融系统的安全框架 Banking—Security and other financial services-- Framework for security in financial systems (ISO/TR17944:2002 MOD) 2011-12-30发布 2012-02-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会 发布 GB/T27911-2011 目次 前言 Ⅲ 1范围 2标准化的领域 2.1概述 2.2身份识别和鉴别1 2.3数据完整性 2.4隐私和机密性4 2.5抗抵赖 2 6服务的可用性5 2.7可追溯性和审计 6 2.8互用性 7 2.9安全管理7 2.10加密算法 9 3ISO空白的标准化领域 ..10 附录A(资料性附录)补充信息11 参考文献 12 I GB/T27911-2011 前言 本标准按照GB/T1.1一2009给出的规则起草. 本标准使用重新起草法修改采用ISO/TR17944:2002《银行业安全和其他金融服务金融系统 的安全框架》. 考虑到我国国情,并考虑了2002年以来国际上发布了一些新的与金融相关的信息安全类标准,在 采用ISO/TR17944:2002时做了以下修改: —2.2条的表1中,在“生物特征识别技术”中加人了近年来新发布的一些国际标准; —2.3条的表2中,在“报文鉴别”中加入了ISO/IEC19772:2009; 一—2.6条的表5中,在“灾难恢复”中加人了ISO/1EC24762:2008; —2.7条的表6中,在“评估标准”中加人了ISO/IEC18045:2008、ISO/IEC TR19791:2006、 ISO/IEC21827:2008; —2.9条的表8中,在“证书管理”中加入ISO21188; 2.9条的表8中,在“安全管理”中加入ISO/IEC TR18044、ISO/IEC27001、ISO/IEC27002、 ISO/IEC18043:2006、ISO/IEC27000:2009、ISO/IEC27005:2008、ISO/IEC27006:2007、 ISO/IEC27011:2008; —2.10条的表9中,在“一般的”中加入了ISO/IEC18031:2005、ISO/IEC18032:2005、ISO/ IEC18033-1:2005、ISO/IEC18033-2:2006、ISO/IEC18033-3:2005、ISO/IEC18033-4:2005、 ISO/IEC19790:2006; —2.10条的表9中,在“对称的”中加入了ISO19038; 一第3章表10中删除生物识别、灾难恢复两行,因为在正文中加人了这两个领域的ISO标准, 另外加人三行:“隐私和机密性”、“商业实体身份标识符”、“令牌”; 一各表格中,被引用的有年代号的标准,如有更新版本,用最新年代号标准替换; 一各表格中,删除已废止的国际标准. 为便于使用,本标准还做了下列编辑性修改: 一删除ISO前言和引言; 一对于已经发布的标准,删除原文中的表注“即将发布”. 本标准由中国人民银行提出. 本标准由全国金融标准化技术委员会(SAC/TC180)归口. 本标准负责起草单位:中国金融电子化公司. 本标准参加起草单位:中国人民银行、中国工商银行、中国建设银行、交通银行、中信银行、北京银联 金卡科技有限公司. 本标准主要起草人:王平娃、陆书春、李曙光、杨倩、田清、刘运、赵志兰、部冠军、李延、杨宝辉、费静、 李孟琰、刘志刚、仲志晖、贾树辉、景芸、张艳、马小琼. GB/T27911-2011 银行业安全和其他金融服务 金融系统的安全框架 1范围 本标准提供了金融业所必要的安全方面的标准框架. 本标准汇总了金融行业已出现的一些关键安全间题,以及针对每一个问题的相关现有标准. 本标准适用于金融机构在实施安全策略时的标准参考. 2标准化的领域 2.1概述 金融行业中,信息技术安全的需求体现在令牌、设备、加密技术、密钥管理、应用程序接口(API)和 协议等标准应用领域,这些不同领城可根据下面这些基础领域的基本业务需求进行分组. 多数领域已经有了各种各样可用的标准,而在其他领域,标准或正在制定或有了(新)标准需求. 第2章中提及了金融机构信息安全标准化的主要领域,其中表1到表9包含了这些领域可用的(有时是 必需的)的标准.表中排在前面的国际...
GB/T 27911-2011 银行业 安全和其他金融服务 金融系统的安全框架.pdf
