ICS35030

CCSL.80

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T42589—2023

信息安全技術(shù)電子憑據(jù)服務(wù)安全規(guī)范

Informationsecuritytechnology—Specificationforelectroniccredential

servicesecurity

2023-05-23發(fā)布2023-12-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T42589—2023

目次

前言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

縮略語(yǔ)

4……………………3

概述

5………………………3

服務(wù)框架

5.1……………3

基礎(chǔ)安全服務(wù)

5.2………………………4

安全技術(shù)要求

6……………5

通用要求

6.1……………5

外部服務(wù)安全要求

6.2…………………7

內(nèi)部服務(wù)安全要求

6.3…………………9

安全管理要求

7……………9

管理控制要求

7.1………………………9

網(wǎng)絡(luò)接入管理要求

7.2…………………10

人員登記和管理制度要求

7.3…………10

災(zāi)難備份和應(yīng)急預(yù)案制度要求

7.4……………………10

安全管理教育培訓(xùn)制度要求

7.5………………………10

安全測(cè)評(píng)

8…………………11

測(cè)評(píng)對(duì)象

8.1……………11

測(cè)評(píng)方法

8.2……………11

測(cè)評(píng)過(guò)程

8.3……………21

測(cè)評(píng)結(jié)論

8.4……………21

附錄資料性典型電子憑據(jù)業(yè)務(wù)流程密碼在線按需服務(wù)流程及測(cè)評(píng)記錄表示例

A()、/……………22

參考文獻(xiàn)

……………………28

Ⅰ

GB/T42589—2023

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專(zhuān)利的責(zé)任

。。

本文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本文件起草單位西安電子科技大學(xué)中國(guó)科學(xué)院信息工程研究所航天信息股份有限公司北京

:、、、

立思辰新技術(shù)有限公司中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院上海交通大學(xué)大象慧云信息技術(shù)有限公司國(guó)信

、、、、

電子票據(jù)平臺(tái)信息服務(wù)有限公司北京海泰方圓科技股份有限公司

、。

本文件主要起草人李暉李鳳華趙興文王竹李少維侯海波王惠蒞邱衛(wèi)東朱延超岳強(qiáng)

:、、、、、、、、、、

耿魁周曙光朱輝房梁羅玙榕賈寶剛曹進(jìn)寇文龍宋祁朋

、、、、、、、、。

Ⅲ

GB/T42589—2023

信息安全技術(shù)電子憑據(jù)服務(wù)安全規(guī)范

1范圍

本文件規(guī)定了電子憑據(jù)核發(fā)開(kāi)具交付存儲(chǔ)核準(zhǔn)查驗(yàn)狀態(tài)管理等服務(wù)的安全要求及測(cè)評(píng)

、、、、、、

方法

。

本文件適用于電子憑據(jù)服務(wù)的設(shè)計(jì)部署提供和測(cè)評(píng)也可為電子憑據(jù)服務(wù)監(jiān)管提供參考

、、,。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對(duì)應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

GB/T22239—2019

信息安全技術(shù)術(shù)語(yǔ)

GB/T25069—2022

信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南

GB/T28449—2018

信息安全技術(shù)網(wǎng)絡(luò)安全預(yù)警指南

GB/T32924—2016

信息安全技術(shù)個(gè)人信息安全規(guī)范

GB/T35273—2020

信息安全技術(shù)網(wǎng)絡(luò)安全監(jiān)測(cè)基本要求與實(shí)施指南

GB/T36635—2018

信息安全技術(shù)密碼模塊安全要求

GB/T37092—2018

安全電子簽章密碼技術(shù)規(guī)范

GM/T0031—2014

3術(shù)語(yǔ)和定義

界定的以及下列術(shù)語(yǔ)和定義適用于本文件

GB/T25069—2022。

31

.

電子憑據(jù)electroniccredential

記載經(jīng)濟(jì)往來(lái)等活動(dòng)的電子數(shù)據(jù)記錄

。

示例電子發(fā)票客票事業(yè)單位資金往來(lái)結(jié)算票據(jù)