标准解读

《GB/T 28447-2012 信息安全技术 电子认证服务机构运营管理规范》是中国国家标准之一,主要针对提供电子认证服务的机构提出了运营管理方面的要求。该标准涵盖了电子认证服务机构在组织架构、人员管理、物理与环境安全、网络和系统安全、业务连续性管理等多个方面的规定。

在组织架构部分,明确了电子认证服务机构应建立完善的管理体系,包括但不限于设立专门的安全管理部门,并明确其职责;同时要求机构内部需要有清晰的岗位设置及权限划分,确保每个环节都有专人负责,且操作过程可追溯。

对于人员管理,则强调了对员工进行定期的信息安全意识教育和技术培训的重要性,以提高全体成员的安全防护能力。此外还涉及到了员工离职时的数据处理流程等细节。

物理与环境安全管理方面,要求电子认证服务机构必须采取有效措施保护其办公场所免受自然灾害或人为破坏的影响,比如设置防火墙、安装监控摄像头等。同时还需关注数据存储设备的安全存放条件,如温度湿度控制等。

在网络和系统安全领域,《GB/T 28447-2012》指出机构应当采用先进的加密算法来保证信息传输过程中不被窃取篡改;并且要定期对软件硬件设施进行维护升级,防止出现漏洞被恶意利用的情况发生。

最后,在业务连续性管理上,该标准建议电子认证服务机构制定详尽的应急预案,以便在遇到突发事件时能够迅速恢复服务,减少损失。这包括备份重要数据、设立备用数据中心等内容。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2012-06-29 颁布
  • 2012-10-01 实施
©正版授权
GB/T 28447-2012信息安全技术电子认证服务机构运营管理规范_第1页
GB/T 28447-2012信息安全技术电子认证服务机构运营管理规范_第2页
GB/T 28447-2012信息安全技术电子认证服务机构运营管理规范_第3页
GB/T 28447-2012信息安全技术电子认证服务机构运营管理规范_第4页
GB/T 28447-2012信息安全技术电子认证服务机构运营管理规范_第5页
已阅读5页,还剩27页未读 继续免费阅读

下载本文档

免费下载试读页

文档简介

ICS35020

L80.

中华人民共和国国家标准

GB/T28447—2012

信息安全技术

电子认证服务机构运营管理规范

Informationsecuritytechnology—Specificationontheoperationmanagementofa

certificateauthority

2012-06-29发布2012-10-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T28447—2012

目次

前言…………………………

引言…………………………

范围………………………

11

规范性引用文件…………………………

21

术语和定义………………

31

缩略语……………………

42

电子认证服务机构运营的业务…………

52

用户证书服务………………………

5.12

用户证书密钥服务…………………

5.24

认证系统功能要求…………………

5.35

认证业务流程要求…………………

5.45

业务运营中的风险………………………

66

认证系统运行要求………………………

76

网络系统安全………………………

7.16

主机系统安全………………………

7.26

系统冗余与备份……………………

7.37

系统运营维护安全管理……………

7.48

密码设备安全管理…………………

7.59

密钥和证书管理………………

7.6CA10

物理环境与设施…………………………

811

运营场地……………

8.111

运营区域划分及要求………………

8.211

安全监控系统………………………

8.312

环境保护与控制设施………………

8.413

支撑设施……………

8.514

场地访问安全管理…………………

8.614

场地监控安全管理…………………

8.714

注册机构场地安全…………………

8.814

组织与人员管理…………………………

914

职能与角色设置……………………

9.114

安全组织……………

9.215

人员安全管理………………………

9.316

文档记录与介质管理…………………

10、16

文档管理…………………………

10.116

记录管理…………………………

10.218

GB/T28447—2012

介质管理…………………………

10.318

业务连续性要求………………………

1119

业务连续性计划…………………

11.119

应急处理预案……………………

11.219

灾难恢复计划……………………

11.319

灾备中心…………………………

11.420

审计与改进……………

1220

审计………………

12.120

改进………………

12.221

附录资料性附录业务运营风险举例………………

A()22

GB/T28447—2012

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准主要起草单位北京天威诚信电子商务服务有限公司颐信科技有限公司

:、。

本标准主要起草人唐志红李延昭魏一才徐虎龙毅宏刘旭许蕾赵宏科张海松郭宏杰

:、、、、、、、、、。

GB/T28447—2012

引言

本标准是为贯彻执行中华人民共和国电子签名法以下简称电子签名法规范电子认证服务

《》(《》),

机构的运营管理而制定

本标准覆盖了电子认证服务机构运营管理的主要方面提供公共认证服务的电子认证服务机构应

,

按本标准的规定开展相关的工作本标准涉及面多但对每方面只做重点的关键的必要的要点性规

。,、、

定确保电子认证服务机构执行本标准时在具体技术上策略上和方案上有很大的灵活性比如对于

,、。,

认证系统安全方面本标准只规定需要采用的安全防护技术和手段及需要考虑的关键点对具体实现技

,,

术并未做规定

GB/T28447—2012

信息安全技术

电子认证服务机构运营管理规范

1范围

本标准规定了电子认证服务机构在业务运营认证系统运行物理环境与设施安全组织与人员管

、、、

理文档记录与介质管理业务连续性审计与改进等多方面应遵循的要求

、、、、、。

本标准适用于在开放互联环境中提供数字证书服务的电子认证服务机构的建设管理及评估

、。

对于在封闭环境中如在特定团体或某个行业内运行的电子认证服务机构可根据自身安全风险评

()

估以及国家有关的法律法规有选择性地参考本标准国家有关的测评机构监管部门也可以将本标准

。、

作为测评和监管的依据

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

计算机场地通用规范

GB/T2887

计算机场地安全要求

GB/T9361

信息安全技术证书认证系统密码及其相关安全技术规范

GB/T25056—2010

信息安全技术公钥基础设施证书策略与认证业务声明框架

GB/T26855—2011

高层民用建筑设计防火规范

GB50045

建筑物防雷设计规范

人人文库> 全部分类> 行业资料 > 各类标准

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

最新文档

评论

0/150

提交评论