GB/T 27911-2011银行业安全和其他金融服务金融系统的安全框架

ICS03060

A11.

中华人民共和国国家标准

GB/T27911—2011

银行业安全和其他金融服务

金融系统的安全框架

Banking—Securityandotherfinancialservices—

Frameworkforsecurityinfinancialsystems

(ISO/TR17944:2002,MOD)

2011-12-30发布2012-02-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T27911—2011

目次

前言

…………………………Ⅲ

范围

1………………………1

标准化的领域

2……………1

概述

2.1…………………1

身份识别和鉴别

2.2……………………1

数据完整性

2.3…………………………3

隐私和机密性

2.4………………………4

抗抵赖

2.5………………4

服务的可用性

2.6………………………5

可追溯性和审计

2.7……………………6

互用性

2.8………………7

安全管理

2.9……………7

加密算法

2.10……………9

空白的标准化领域

3ISO…………………10

附录资料性附录补充信息

A()…………11

参考文献

……………………12

Ⅰ

GB/T27911—2011

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准使用重新起草法修改采用银行业安全和其他金融服务金融系统

ISO/TR17944:2002《

的安全框架

》。

考虑到我国国情并考虑了年以来国际上发布了一些新的与金融相关的信息安全类标准在

,2002,

采用时做了以下修改

ISO/TR17944:2002:

条的表中在生物特征识别技术中加入了近年来新发布的一些国际标准

———2.21,“”;

条的表中在报文鉴别中加入了

———2.32,“”ISO/IEC19772:2009;

条的表中在灾难恢复中加入了

———2.65,“”ISO/IEC24762:2008;

条的表中在评估标准中加入了

———2.76,“”ISO/IEC18045:2008、ISO/IECTR19791:2006、

ISO/IEC21827:2008;

条的表中在证书管理中加入

———2.98,“”ISO21188;

条的表中在安全管理中加入

———2.98,“”ISO/IECTR18044、ISO/IEC27001、ISO/IEC27002、

ISO/IEC18043:2006、ISO/IEC27000:2009、ISO/IEC27005:2008、ISO/IEC27006:2007、

ISO/IEC27011:2008;

条的表中在一般的中加入了

———2.109,“”ISO/IEC18031:2005、ISO/IEC18032:2005、ISO/

IEC18033-1:2005、ISO/IEC18033-2:2006、ISO/IEC18033-3:2005、ISO/IEC18033-4:2005、

ISO/IEC19790:2006;

条的表中在对称的中加入了

———2.109,“”ISO19038;

第章表中删除生物识别灾难恢复两行因为在正文中加入了这两个领域的标准

———310、,ISO,

另外加入三行隐私和机密性商业实体身份标识符令牌

:“”、“”、“”;

各表格中被引用的有年代号的标准如有更新版本用最新年代号标准替换

———,,,;

各表格中删除已废止的国际标准

———,。

为便于使用本标准还做了下列编辑性修改

,:

删除前言和引言

———ISO;

对于已经发布的标准删除原文中的表注即将发布

———,“”。

本标准由中国人民银行提出

。

本标准由全国金融标准化技术委员会归口

(SAC/TC180)。

本标准负责起草单位中国金融电子化公司

:。

本标准参加起草单位中国人民银行中国工商银行中国建设银行交通银行中信银行北京银联

:、、、、、

金卡科技有限公司

。

本标准主要起草人王平娃陆书春李曙光杨倩田洁刘运赵志兰邵冠军李延杨宝辉贾静

:、、、、、、、、、、、

李孟琰刘志刚仲志晖贾树辉景芸张艳马小琼

、、、、、、。

Ⅲ

GB/T27911—2011

银行业安全和其他金融服务

金融系统的安全框架

1范围

本标准提供了金融业所必要的安全方面的标准框架

。

本标准汇总了金融行业已出现的一些关键安全问题以及针对每一个问题的相关现有标准

,。

本标准适用于金融机构在实施安全策略时的标准参考

。

2标准化的领域

21概述

.

金融行业中信息技术安全的需求体现在令牌设备加密技术密钥管理应用程序接口和

,、、、、(API)

协议等标准应用领域这些不同领域可根据下面这些基础领域的基本业务需求进行分组

,。

多数领域已经有了各种各样可用的标准而在其他领域标准或正在制定或有了新标准需求

,,()。

第章中提及了金融机构信息安全标准化的主要领域其中表到表包含了这些领域可用的有时是

2,19(

必需的的标准表中排在前面的国际标准来自国际标准化组织跟随在其后的有关标准来自其他标准

)。,

组织1)基于这些表中缺少的标准第章概述了空白的标准化领域

。,3ISO。

注对于所提及标准的更加详细资料可以联系参考的标准化组织参见附录

:,(A)。

22身份识别和鉴别

.

金融交易中涉及的所有实体的身份应被确定鉴别确保一个实体的身份就是它声明的身份金融

。。

机构应保证只有授权的用户可以访问他们的信息技术系统

:。

用于身份识别和鉴别的机制建立在使用身份标识令牌口令短语个人身份识别码生物识

、、、(PIN)、

别技术数字签名和证书基础之上相关标准见表

、,1。

表1身份识别和鉴别

需求可用的标准标题描述

/

信息技术安全技术实体鉴别第部分概述

ISO/IEC9798-11:

信息技术安全技术实体鉴别第部分采用对称加

ISO/IEC9798-22:

密算法的机制

信息技术安全技术实体鉴别第部分采用数字签

ISO/IEC9798-33:

名技术的机制

身份识别和鉴别