ICS03060

A11.

中華人民共和國國家標準

GB/T27911—2011

銀行業安全和其他金融服務

金融系統的安全框架

Banking—Securityandotherfinancialservices—

Frameworkforsecurityinfinancialsystems

(ISO/TR17944:2002,MOD)

2011-12-30發布2012-02-01實施

中華人民共和國國家質量監督檢驗檢疫總局發布

中國國家標準化管理委員會

GB/T27911—2011

目次

前言

…………………………Ⅲ

范圍

1………………………1

標準化的領域

2……………1

概述

2.1…………………1

身份識別和鑒別

2.2……………………1

數據完整性

2.3…………………………3

隱私和機密性

2.4………………………4

抗抵賴

2.5………………4

服務的可用性

2.6………………………5

可追溯性和審計

2.7……………………6

互用性

2.8………………7

安全管理

2.9……………7

加密算法

2.10……………9

空白的標準化領域

3ISO…………………10

附錄資料性附錄補充信息

A()…………11

參考文獻

……………………12

Ⅰ

GB/T27911—2011

前言

本標準按照給出的規則起草

GB/T1.1—2009。

本標準使用重新起草法修改采用銀行業安全和其他金融服務金融系統

ISO/TR17944:2002《

的安全框架

》。

考慮到我國國情并考慮了年以來國際上發布了一些新的與金融相關的信息安全類標準在

,2002,

采用時做了以下修改

ISO/TR17944:2002:

條的表中在生物特征識別技術中加入了近年來新發布的一些國際標準

———2.21,“”;

條的表中在報文鑒別中加入了

———2.32,“”ISO/IEC19772:2009;

條的表中在災難恢復中加入了

———2.65,“”ISO/IEC24762:2008;

條的表中在評估標準中加入了

———2.76,“”ISO/IEC18045:2008、ISO/IECTR19791:2006、

ISO/IEC21827:2008;

條的表中在證書管理中加入

———2.98,“”ISO21188;

條的表中在安全管理中加入

———2.98,“”ISO/IECTR18044、ISO/IEC27001、ISO/IEC27002、

ISO/IEC18043:2006、ISO/IEC27000:2009、ISO/IEC27005:2008、ISO/IEC27006:2007、

ISO/IEC27011:2008;

條的表中在一般的中加入了

———2.109,“”ISO/IEC18031:2005、ISO/IEC18032:2005、ISO/

IEC18033-1:2005、ISO/IEC18033-2:2006、ISO/IEC18033-3:2005、ISO/IEC18033-4:2005、

ISO/IEC19790:2006;

條的表中在對稱的中加入了

———2.109,“”ISO19038;

第章表中刪除生物識別災難恢復兩行因為在正文中加入了這兩個領域的標準

———310、,ISO,

另外加入三行隱私和機密性商業實體身份標識符令牌

:“”、“”、“”;

各表格中被引用的有年代號的標準如有更新版本用最新年代號標準替換

———,,,;

各表格中刪除已廢止的國際標準

———,。

為便于使用本標準還做了下列編輯性修改

,:

刪除前言和引言

———ISO;

對于已經發布的標準刪除原文中的表注即將發布

———,“”。

本標準由中國人民銀行提出

。

本標準由全國金融標準化技術委員會歸口

(SAC/TC180)。

本標準負責起草單位中國金融電子化公司

:。

本標準參加起草單位中國人民銀行中國工商銀行中國建設銀行交通銀行中信銀行北京銀聯

:、、、、、

金卡科技有限公司

。

本標準主要起草人王平娃陸書春李曙光楊倩田潔劉運趙志蘭邵冠軍李延楊寶輝賈靜

:、、、、、、、、、、、

李孟琰劉志剛仲志暉賈樹輝景蕓張艷馬小瓊

、、、、、、。

Ⅲ

GB/T27911—2011

銀行業安全和其他金融服務

金融系統的安全框架

1范圍

本標準提供了金融業所必要的安全方面的標準框架

。

本標準匯總了金融行業已出現的一些關鍵安全問題以及針對每一個問題的相關現有標準

,。

本標準適用于金融機構在實施安全策略時的標準參考

。

2標準化的領域

21概述

.

金融行業中信息技術安全的需求體現在令牌設備加密技術密鑰管理應用程序接口和

,、、、、(API)

協議等標準應用領域這些不同領域可根據下面這些基礎領域的基本業務需求進行分組

,。

多數領域已經有了各種各樣可用的標準而在其他領域標準或正在制定或有了新標準需求

,,()。

第章中提及了金融機構信息安全標準化的主要領域其中表到表包含了這些領域可用的有時是

2,19(

必需的的標準表中排在前面的國際標準來自國際標準化組織跟隨在其后的有關標準來自其他標準

)。,

組織1)基于這些表中缺少的標準第章概述了空白的標準化領域

。,3ISO。

注對于所提及標準的更加詳細資料可以聯系參考的標準化組織參見附錄

:,(A)。

22身份識別和鑒別

.

金融交易中涉及的所有實體的身份應被確定鑒別確保一個實體的身份就是它聲明的身份金融

。。

機構應保證只有授權的用戶可以訪問他們的信息技術系統

:。

用于身份識別和鑒別的機制建立在使用身份標識令牌口令短語個人身份識別碼生物識

、、、(PIN)、

別技術數字簽名和證書基礎之上相關標準見表

、,1。

表1身份識別和鑒別

需求可用的標準標題描述

/

信息技術安全技術實體鑒別第部分概述

ISO/IEC9798-11:

信息技術安全技術實體鑒別第部分采用對稱加

ISO/IEC9798-22:

密算法的機制

信息技術安全技術實體鑒別第部分采用數字簽

ISO/IEC9798-33:

名技術的機制

身份識別和鑒別