ＩＣＳ ０３．０６０ Ａ １１ 囝亘 中华人民共和国国家标准 ＧＢ／Ｔ ２７９１０—２０” 金融服务信息安全指南 Ｆｉｎａｎｃｉａｌ ｓｅｒｖｉｃｅｓ－－Ｉｎｆｏｒｍａｔｉｏｎ ｓｅｃｕｒｉｔｙ ｇｕｉｄｅｌｉｎｅｓ （ＩＳＯ／ＴＲ １３５６９：２００５，ＭＯＤ） ２０１ １－１２－３０发布 ２０１２－０２－０１实施 宰瞀鹘紫瓣警糌赞星发布 中国国家标准化管理委员会Ⅸ１９ 标准分享网 www.bzfxw.com 免费下载 前…………………Ⅲ 目 １… ２７９１０—２０１ ＧＢ／Ｔ 技术控制…………・・…・ 风险评估说明………… Ｗｅｂ服务安全分析示例 示例文档……………… 参考文献…………・・ 附录Ｄ（资料性附录） 附录Ｃ（资料性附录） 附录Ｂ（资料性附录） 附录Ａ（资料性附录） １４事故处置…・ １３后续防护措施 １２辅助项……・ ｌｌ实施特定控制措施……………………………“ ＩＴ系统控制……………………………………－－ １０ ９安全控制实施和选择……………………………“ ８风险分析和评估…………………………………“ ７信息安全机构……………………………………・－ ６信息安全管理——安全方案……………………” ５公司信息安全策略……………………………… ４符号和缩略语…………………………………… ３术语和定义……………………………………・－－ ２规范性引用文件………・・・・………………・・・…－－ １范围……………………………………・・………・ 引言…………………………………………………・・ ５２ ４７ ４０ ３６ ３１ ２９ ２６ ……………………２３ ・・・・・－………………２０ ……………………１７ ……………………１６ ……………………１３ ……………………１２ －－……………・・・・－－・・・９ －・・・－…………………８ ……－－－－………・…－・－１ ・・・－－・－・……………・・・１ …・・…………………１ ……………………Ⅳ 言…・……………・…・…………………・…………・ 次 标准分享网 www.bzfxw.com 免费下载 ＧＢ／Ｔ 言 前 Ⅲ 陈杰、李安安、赵志兰、贾树辉、田洁、景芸、张艳、马小琼。 本标准主要起草人：王平娃、陆书春、王韬、杨倩、李曙光、刘运、王连强、戴忠华、唐步天、李同勋、 测评中心、中钞信用卡产业发展有限公司。 本标准参加起草单位：中国人民银行、中国农业银行、招商银行、上海浦东发展银行、中国信息安全 本标准负责起草单位：中国金融电子化公司。 １８０）负责归口。 本标准由全国金融标准化技术委员会（ＳＡＣ／ＴＣ 本标准由中国人民银行提出。 ２７００２：２００５，ＩＤＴ） ＩＥＣ ２２０８１－－２００８，ＩＳＯ／ 信息安全管理实用规则（ＧＢ／Ｔ 安全技术 信息技术 ２２０８１ ＧＢ／Ｔ 与本部分规范性引用的国际文件有一致性对应关系的我国文件如下： ——删除ＩｓＯ前言。 为便于使用，本标准还做了下列编辑性修改： ——将原文中的～些错误进行修正，如附录Ｄ．２．４中的“Ｅ．２．３”改为“Ｄ．２．３”等。 ２７００２的无日期引用； 该标准的无日期引用更换为对ＩＳＯ／ＩＥＣ ２７００２：２００５，标准中对 ——鉴于ＩＳＯ／ＩＥＣｌ７７９９：２００５已于２００７年７月正式更改编号为ＩＳＯ／ＩＥＣ 国内情形不同； ——删除了原文中的５．２法律和法规符合性，因为这部分内容主要描述了国外的法律法规要求，与 １３５６９：２００５时技术内容做了以下修改： 考虑到我国国情，在采用ＩＳＯ／ＴＲ １３５６９：２００５《金融服务信息安全指南》。 本标准使用重新起草法修改采用国际标准ＩＳＯ／ＴＲ １．１—２００９给出的规则起草。 本标准按照ＧＢ／Ｔ ２７９１０—２０１１ 标准分享网 www.bzfxw.com 免费下载 随着计算机和网络技术的引入，金融业务的实现方式发生了巨大变化，具体体现在对电子交易的依 言 １引 ２７９１０—２０１ ＧＢ／Ｔ Ⅳ 分析并选择适当的措施。本标准是提供过程管理的指南，而不是具体的解决方案。 本标准并未面向所有金融机构提供一个单一的、一般性的解决方案。每个金融机构必须进行风险 ——提出信息安全管理方案中系统化解决法律法规风险的金融服务管理需求。 ——提出在金融应用中基于可接受的审慎业务措施来选择安全控制措施的指南； ——提出方案的策略、组织和必要的结构化组件； ——定义信息安全管理方案； 本标准的目标是： 为金融机构服务提供商提供了指南。对于面向金融业的培训机构和出版商，本标准也可作为原始文档。 本标准给不同规模和类型的金融机构提供了审慎且成本合理的业务信息安全管理方案，同时它也 概率事件也必须制定应对计划，例如２００４年１２月亚洲海啸和２００１年９月１１日的恐怖袭击。 动对其进行诠释。运营风险包括欺诈和犯罪活动、自然灾害、恐怖活动等，必须给予仔细考虑。针对小 这些风险已成为金融机构信息安全方案的核心。为具体掌握风险，每一个机构必须按照其自身业务活 正如巴塞尔协议给我们的警示，运营、法律和法规风险可以导致或者恶化信贷和流动性风险。管理 全控制措施一样，来精心构建信息安全方案，降低风险，满足国内外法律法规的要求。 效的企业级的信息安全方案。金融机构应像建立业务惯例和相关协议、外部采购流程、保险等适当的安 为了在开放环境中拓展金融业务的同时，进行有效的风险管理，金融机构应该建立一个强有力且有 可能对国内外金融市场产生不良影响。 术高超的恶意攻击者给银行和银行客户加重了风险，并且当金融交易涉及重要的支付系统时，这些后果 开放环境中巨额、海量的电子交易给金融机构带来了巨大风险。高度互连的网络和日益增加的技 通过电子通信方式进行传输，这些通信方式均由基于业务规则的安全策略所控制。 赖性不断增加，从而带来了对信息和通信技术安全进行管理的需求。每天大量的资金和证券交易信息 标准分享网 www.bzfxw.com 免费下载 １本标准为金融机构提供了制定信息安全方案的指南。该指南包括策略讨论，机构和方案的结构化 ２７９１０－－２０１ ＧＢ／Ｔ 金融服务信息安全指南 １１范围 未授权人员和被保护的信息资源之间放置物理障碍）和逻辑访问控制（采用其他方法进行限制）。 指仅允许经授权的人员或应用进行信息访问（或信息处理设施访问）的功能，包括物理访问控制（在 ｃｏｎｔｒｏｌ 访问控制ａｃｃｅｓｓ ３．１ 下列术语和定义适用于本文件。 ３术语和定义 ｆｒａｍｅｗｏｒｋ） ｐｏｌｉｃｙ ｓｅｒｖｉｃｅｓ－－Ｐｒａｃｔｉｃｅｓ ｅｉａｉ ｆｉｎａｎ— ｉｎｆｒａｓｔｒｕｃｔｕｒｅ ｋｅｙ ２１１８８用于金融服务的公钥基础设施业务和策略框架（Ｐｕｂｌｉｃ ａｌｇｏｒｉｔｈｍｓ） ｔｅｃｈｎｉｑｕｅｓ－－Ｅｎｃｒｙｐｔｉｏｎ １８０３３（所有部分）信息技术安全技术加密算法（Ｉｎｆｏｒｍａｔｉｏｎ ｓｅｃｕｒｉｔｙ） ｎｅｔｗｏｒｋ ｔｅｃｈｎｉｑｕｅｓ－－ＩＴ ｒｉｔｙ ｔｅｃｈｎｏｌｏｇｙ－－Ｓｅｃｕ— １８０２８（所有部分）信息技术安全技术ＩＴ网络安全（Ｉｎｆｏｒｍａｔｉｏｎ ｓｅｃｕｒｉｔｙ Ｉｎｆｏｒｍａｔｉｏｎ ｐｒａｃｔｉｃｅ ｏｆ ｔｅｃｈｎｉｑｕｅｓ－－Ｃｏｄｅ Ｓｅｃｕｒｉｔｙ ｔｅｃｈｎｏｌｏｇｙ－－ 信息安全管理实用规则（Ｉｎｆｏｒｍａｔｉｏｎ 安全技术 ２７００２信息技术 ｔｅｃｈｎｉｑｕｅｓ） ｓｙｍｍｅｔｒｉｃ ａｕｔｈｅｎｔｉｃａｔｉｏｎ ｍｅｓｓａｇｅ １６６０９；２００４银行业务采用对称加密技术进行报文鉴别的要求（Ｂａｎｋｉｎｇ－－Ｒｅｑｕｉｒｅｍｅｎｔｓ ｓｅｒｖｉｃｅｓ） ｆｉｎａｎｃｉａｌ ｆｏｒ ｍａｎａｇｅｍｅｎｔ １５７８２（所有部分）金融业务证书管理（Ｃｅｒｔｉｆｉｃａｔｅ ｍａｎａｇｅｍｅｎｔ） ｔｅｃｈｎｉｑｕｅｓ－－Ｋｅｙ ｔｅｃｈｎｏｌｏｇｙ－－Ｓｅｃｕｒｉｔｙ １１７７０（所有部分）信息技术安全技术密钥管理（Ｉｎｆｏｒｍａｔｉｏｎ ＩＳＯ／ＩＥＣ ｍａｎａｇｅｍｅｎｔ（ｒｅｔａｉｌ）） １１５６８（所有部分）银行业务密钥管理（零售）（Ｂａｎｋｉｎｇ－－Ｋｅｙ ＩＳＯ ｃａｒｄｓ） ｃｉｒｃｕｉｔ ｉｎｔｅｇｒａｔｅｄ ｕｓｉｎｇ ｓｙｓｔｅｍｓ ｆｉｎａｎｃｉａｌ ｏｆ ａｒｃｈｉｔｅｃｔｕｒｅ ｃａｒｄｓ－－Ｓｅｃｕｒｉｔｙ ｔｒａｎｓａｃｔｉｏｎ 金融交易卡使用集成电路卡的金融交易系统的安全体系（Ｆｉｎａｎｃｉａｌ １０２０２（所有部分） ｓｅｃｕｒｉｔｙ） ａｎｄ Ｎｕｍｂｅｒ（ＰＩＮ）ｍａｎａｇｅｍｅｎｔ Ｉｄｅｎｔｉｆｉｃａｔｉｏｎ 银行业务个人识别码的管理与安全（Ｂａｎｋｉｎｇ－－Ｐｅｒｓｏｎａｌ ９５６４（所有部分） ＩＳＯ 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 ２规范性引用文件 本标准适用于金融机构制定信息安全方案时的参考。 还包括对法律法规符合性问题的讨论，这需要在方案的设计和实施阶段予以考虑。 机构中管理信息安全风险的要素，并给出了基于机构业务环境、实践和规程方面应考虑的建议。本标准 法律法规组件。本标准探讨了在选择和实施安全控制措施方面应考虑的内容，以及在现代化金融服务 标准分享网 www.bzfxw.com 免费下载 １３．２ ２７９１０—２０１ ２ＧＢ／Ｔ 一种概念，允许对金融交易卡以机读的方式进行惟一性识别，并且防止卡的复制。 ＣＡＭ ｍｅｔｈｏｄ ａｕｔｈｅｎｔｉｃａｔｉｏｎ 卡鉴别方式ｃａｒｄ ３．１３ 基于生物或行为特征，确认个人身份或验证其声称身份的自动方法。 生物特征识别ｂｉｏｍｅｔｒｉｃｓ ３．１２ Ｘ９．８４：２００３］ ［ＡＮＳＩ 可测量的用于识别个人身份或验证声称的生物或行为特征，该特征可有效区分一个人和其他人。 生物特征ｂｉｏｍｅｔｒｉｃ ３．１１ 业务信息的存储，一旦遇到信息资源丢失，可确保业务的持续性。 备份ｂａｃｋ－ｕｐ ３．１０ １３３３５—１：２００４，定义２．４］ 授权实体在需要时可访问和可使用的性质。 可用性ａｖａｉｌａｂｉｌｉｔｙ ３．９ 应用到如用户，过程，系统和信息等实体上的属性，以确认对象或资源的身份是其所声称的。 真实性ａｕｔｈｅｎｔｉｃｉｔｙ ３．８ １３３３５—４：２０００，定义３．１］ ＴＲ 确认实体声称身份的过程。 鉴别ａｕｔｈｅｎｔｉｃａｔｉｏｎ ３．７ １５７８２—１：２００３，定义３．３］ 起始到输出最终结果路径中的每个事件。 系统运行的时序记录，该记录足够重建、复审、检查环境的系列事物和周边行为，或导出一笔交易从 审计日志ａｕｄｉｔｊｏｕｒｎａｌ ３．６ 指确认控制措施得当，充分满足功能，并且报告针对相应管理级别的不足