標(biāo)準(zhǔn)解讀

《GB/T 27910-2011 金融服務(wù) 信息安全指南》是一項國家標(biāo)準(zhǔn),旨在為金融機(jī)構(gòu)提供一套關(guān)于如何保護(hù)其信息系統(tǒng)免受威脅、確保數(shù)據(jù)安全以及維持業(yè)務(wù)連續(xù)性的指導(dǎo)原則。該標(biāo)準(zhǔn)涵蓋了多個方面,包括但不限于信息安全管理框架的建立、風(fēng)險評估與管理、訪問控制、物理和環(huán)境安全措施、通信和操作管理、業(yè)務(wù)連續(xù)性規(guī)劃等。

在信息安全管理框架部分,強(qiáng)調(diào)了高層管理者對信息安全策略制定的重要性,并指出需要根據(jù)組織的具體情況來定制適合自身的安全政策與程序。同時,也提倡通過定期審核與持續(xù)改進(jìn)機(jī)制來保證這些政策的有效實施。

針對風(fēng)險評估與管理,《GB/T 27910-2011》建議采用系統(tǒng)化的方法識別潛在的信息安全威脅及其可能造成的損失程度,并基于此進(jìn)行優(yōu)先級排序,以便采取相應(yīng)措施減輕或消除風(fēng)險。

對于訪問控制,則詳細(xì)描述了如何通過身份驗證、授權(quán)及監(jiān)控等手段限制對敏感信息資源的訪問權(quán)限,確保只有經(jīng)過授權(quán)的人才能接觸到相關(guān)信息。

此外,還特別提到了加強(qiáng)物理和環(huán)境安全保障的重要性,比如設(shè)置門禁系統(tǒng)、安裝視頻監(jiān)控設(shè)備等措施來防止未經(jīng)授權(quán)的人員進(jìn)入存放重要資料的地方。

在通信和操作管理章節(jié)中,重點講述了加密技術(shù)的應(yīng)用、網(wǎng)絡(luò)配置的最佳實踐以及日常運維活動中應(yīng)注意的安全事項等內(nèi)容,以保障數(shù)據(jù)傳輸過程中的完整性和保密性。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2011-12-30 頒布
  • 2012-02-01 實施
?正版授權(quán)
GB/T 27910-2011金融服務(wù)信息安全指南_第1頁
GB/T 27910-2011金融服務(wù)信息安全指南_第2頁
GB/T 27910-2011金融服務(wù)信息安全指南_第3頁
GB/T 27910-2011金融服務(wù)信息安全指南_第4頁
GB/T 27910-2011金融服務(wù)信息安全指南_第5頁
免費預(yù)覽已結(jié)束,剩余55頁可下載查看

下載本文檔

GB/T 27910-2011金融服務(wù)信息安全指南-免費下載試讀頁

文檔簡介

ICS03060

A11.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T27910—2011

金融服務(wù)信息安全指南

Financialservices—Informationsecurityguidelines

(ISO/TR13569:2005,MOD)

2011-12-30發(fā)布2012-02-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T27910—2011

目次

前言…………………………

引言…………………………

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語和定義………………

31

符號和縮略語……………

48

公司信息安全策略………………………

59

信息安全管理安全方案……………

6———12

信息安全機(jī)構(gòu)……………

713

風(fēng)險分析和評估…………………………

816

安全控制實施和選擇……………………

917

系統(tǒng)控制……………

10IT20

實施特定控制措施……………………

1123

輔助項…………………

1226

后續(xù)防護(hù)措施…………………………

1329

事故處置………………

1429

附錄資料性附錄示例文檔…………

A()31

附錄資料性附錄服務(wù)安全分析示例…………

B()Web36

附錄資料性附錄風(fēng)險評估說明……………………

C()40

附錄資料性附錄技術(shù)控制…………

D()47

參考文獻(xiàn)……………………

52

GB/T27910—2011

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)使用重新起草法修改采用國際標(biāo)準(zhǔn)金融服務(wù)信息安全指南

ISO/TR13569:2005《》。

考慮到我國國情在采用時技術(shù)內(nèi)容做了以下修改

,ISO/TR13569:2005:

刪除了原文中的法律和法規(guī)符合性因為這部分內(nèi)容主要描述了國外的法律法規(guī)要求與

———5.2,,

國內(nèi)情形不同

;

鑒于已于年月正式更改編號為標(biāo)準(zhǔn)中對

———ISO/IEC17799:200520077ISO/IEC27002:2005,

該標(biāo)準(zhǔn)的無日期引用更換為對的無日期引用

ISO/IEC27002;

將原文中的一些錯誤進(jìn)行修正如附錄中的改為等

———,D.2.4“E.2.3”“D.2.3”。

為便于使用本標(biāo)準(zhǔn)還做了下列編輯性修改

,:

刪除前言

———ISO。

與本部分規(guī)范性引用的國際文件有一致性對應(yīng)關(guān)系的我國文件如下

:

信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則

GB/T22081(GB/T22081—2008,ISO/

IEC27002:2005,IDT)

本標(biāo)準(zhǔn)由中國人民銀行提出

。

本標(biāo)準(zhǔn)由全國金融標(biāo)準(zhǔn)化技術(shù)委員會負(fù)責(zé)歸口

(SAC/TC180)。

本標(biāo)準(zhǔn)負(fù)責(zé)起草單位中國金融電子化公司

:。

本標(biāo)準(zhǔn)參加起草單位中國人民銀行中國農(nóng)業(yè)銀行招商銀行上海浦東發(fā)展銀行中國信息安全

:、、、、

測評中心中鈔信用卡產(chǎn)業(yè)發(fā)展有限公司

、。

本標(biāo)準(zhǔn)主要起草人王平娃陸書春王韜楊倩李曙光劉運王連強(qiáng)戴忠華唐步天李同勛

:、、、、、、、、、、

陳杰李安安趙志蘭賈樹輝田潔景蕓張艷馬小瓊

、、、、、、、。

GB/T27910—2011

引言

隨著計算機(jī)和網(wǎng)絡(luò)技術(shù)的引入金融業(yè)務(wù)的實現(xiàn)方式發(fā)生了巨大變化具體體現(xiàn)在對電子交易的依

,,

賴性不斷增加從而帶來了對信息和通信技術(shù)安全進(jìn)行管理的需求每天大量的資金和證券交易信息

,。

通過電子通信方式進(jìn)行傳輸這些通信方式均由基于業(yè)務(wù)規(guī)則的安全策略所控制

,。

開放環(huán)境中巨額海量的電子交易給金融機(jī)構(gòu)帶來了巨大風(fēng)險高度互連的網(wǎng)絡(luò)和日益增加的技

、。

術(shù)高超的惡意攻擊者給銀行和銀行客戶加重了風(fēng)險并且當(dāng)金融交易涉及重要的支付系統(tǒng)時這些后果

,,

可能對國內(nèi)外金融市場產(chǎn)生不良影響

。

為了在開放環(huán)境中拓展金融業(yè)務(wù)的同時進(jìn)行有效的風(fēng)險管理金融機(jī)構(gòu)應(yīng)該建立一個強(qiáng)有力且有

,,

效的企業(yè)級的信息安全方案金融機(jī)構(gòu)應(yīng)像建立業(yè)務(wù)慣例和相關(guān)協(xié)議外部采購流程保險等適當(dāng)?shù)陌?/p>

。、、

全控制措施一樣來精心構(gòu)建信息安全方案降低風(fēng)險滿足國內(nèi)外法律法規(guī)的要求

,,,。

正如巴塞爾協(xié)議給我們的警示運營法律和法規(guī)風(fēng)險可以導(dǎo)致或者惡化信貸和流動性風(fēng)險管理

,、。

這些風(fēng)險已成為金融機(jī)構(gòu)信息安全方案的核心為具體掌握風(fēng)險每一個機(jī)構(gòu)必須按照其自身業(yè)務(wù)活

。,

動對其進(jìn)行詮釋運營風(fēng)險包括欺詐和犯罪活動自然災(zāi)害恐怖活動等必須給予仔細(xì)考慮針對小

。、、,。

概率事件也必須制定應(yīng)對計劃例如年月亞洲海嘯和年月日的恐怖襲擊

,2004122001911。

本標(biāo)準(zhǔn)給不同規(guī)模和類型的金融機(jī)構(gòu)提供了審慎且成本合理的業(yè)務(wù)信息安全管理方案同時它也

,

為金融機(jī)構(gòu)服務(wù)提供商提供了指南對于面向金融業(yè)的培訓(xùn)機(jī)構(gòu)和出版商本標(biāo)準(zhǔn)也可作為原始文檔

。,。

本標(biāo)準(zhǔn)的目標(biāo)是

:

定義信息安全管理方案

———;

提出方案的策略組織和必要的結(jié)構(gòu)化組件

———、;

提出在金融應(yīng)用中基于可接受的審慎業(yè)務(wù)措施來選擇安全控制措施的指南

———;

提出信息安全管理方案中系統(tǒng)化解決法律法規(guī)風(fēng)險的金融服務(wù)管理需求

———。

本標(biāo)準(zhǔn)并未面向所有金融機(jī)構(gòu)提供一個單一的一般性的解決方案每個金融機(jī)構(gòu)必須進(jìn)行風(fēng)險

、。

分析并選擇適當(dāng)?shù)拇胧┍緲?biāo)準(zhǔn)是提供過程管理的指南而不是具體的解決方案

。,。

GB/T27910—2011

金融服務(wù)信息安全指南

1范圍

本標(biāo)準(zhǔn)為金融機(jī)構(gòu)提供了制定信息安全方案的指南該指南包括策略討論機(jī)構(gòu)和方案的結(jié)構(gòu)化

。,

法律法規(guī)組件本標(biāo)準(zhǔn)探討了在選擇和實施安全控制措施方面應(yīng)考慮的內(nèi)容以及在現(xiàn)代化金融服務(wù)

。,

機(jī)構(gòu)中管理信息安全風(fēng)險的要素并給出了基于機(jī)構(gòu)業(yè)務(wù)環(huán)境實踐和規(guī)程方面應(yīng)考慮的建議本標(biāo)準(zhǔn)

,、。

還包括對法律法規(guī)符合性問題的討論這需要在方案的設(shè)計和實施階段予以考慮

,。

本標(biāo)準(zhǔn)適用于金融機(jī)構(gòu)制定信息安全方案時的參考

。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

所有部分銀行業(yè)務(wù)個人識別碼的管理與安全

ISO9564()(Banking—PersonalIdentification

Number(PIN)managementandsecurity)

所有部分金融交易卡使用集成電路卡的金融交易系統(tǒng)的安全體系

ISO10202()(Financial

transactioncards—Securityarchitectureoffinancialtransactionsystemsusingintegratedcircuitcards)

所有部分銀行業(yè)務(wù)密鑰管理零售

ISO11568()()(Banking—Keymanagement(retail))

所有部分信息技術(shù)安全技術(shù)密鑰管理

ISO/IEC11770()(Informationtechnology—Security

techniques—Keymanagement)

所有部分金融業(yè)務(wù)證書管理

ISO15782()(Certificatemanagementforfinancialservices)

銀行業(yè)務(wù)采用對稱加密技術(shù)進(jìn)行報文鑒別的要求

ISO16609:2004(Banking—Requirements

formessageauthenticationusingsymmetrictechniques)

信息技術(shù)

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論