返回
GBT27910-2011 金融服务 信息安全指南.pdf

GBT27910-2011 金融服务 信息安全指南.pdf

ID:386738

大小:1.96 MB

页数:57页

时间:2017-07-29

GBT27910-2011 金融服务 信息安全指南.pdf_第1页
GBT27910-2011 金融服务 信息安全指南.pdf_第2页
GBT27910-2011 金融服务 信息安全指南.pdf_第3页
GBT27910-2011 金融服务 信息安全指南.pdf_第4页
GBT27910-2011 金融服务 信息安全指南.pdf_第5页
资源描述:

《GBT27910-2011 金融服务 信息安全指南.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、ICS03.060A11囝亘中华人民共和国国家标准GB/T27910—20”金融服务信息安全指南Financialservices--Informationsecurityguidelines2011-12-30发布(ISO/TR13569:2005,MOD)2012-02-01实施宰瞀鹘紫瓣警糌赞星发布中国国家标准化管理委员会Ⅸ19标准分享网www.bzfxw.com免费下载目次前言⋯·⋯⋯⋯⋯⋯·⋯·⋯⋯⋯⋯⋯⋯⋯·⋯⋯⋯⋯·引言⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯··1范围⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯··⋯⋯⋯·2规范性引用文件⋯⋯⋯····⋯⋯⋯

2、⋯⋯⋯···⋯--3术语和定义⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·--4符号和缩略语⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯5公司信息安全策略⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯6信息安全管理——安全方案⋯⋯⋯⋯⋯⋯⋯⋯”7信息安全机构⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·-8风险分析和评估⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯“9安全控制实施和选择⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯“10IT系统控制⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯--ll实施特定控制措施⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯“12辅助项⋯⋯·13后续防护措施14事故处置⋯·附录A(资料性附录)附录B(资料性附录)附录C(资料性附录)附录D(资料性附录)参考文献⋯⋯⋯⋯

3、··示例文档⋯⋯⋯⋯⋯⋯Web服务安全分析示例风险评估说明⋯⋯⋯⋯技术控制⋯⋯⋯⋯··⋯·GB/T27910—2011⋯⋯⋯⋯⋯⋯⋯⋯Ⅲ⋯⋯⋯⋯⋯⋯⋯⋯Ⅳ⋯··⋯⋯⋯⋯⋯⋯⋯1···--·-·⋯⋯⋯⋯⋯···1⋯⋯----⋯⋯⋯·⋯-·-1-···-⋯⋯⋯⋯⋯⋯⋯8--⋯⋯⋯⋯⋯····--···9⋯⋯⋯⋯⋯⋯⋯⋯12⋯⋯⋯⋯⋯⋯⋯⋯13⋯⋯⋯⋯⋯⋯⋯⋯16⋯⋯⋯⋯⋯⋯⋯⋯17·····-⋯⋯⋯⋯⋯⋯20⋯⋯⋯⋯⋯⋯⋯⋯2326293136404752标准分享网www.bzfxw.com免费下载前言GB/T27910—2011本标准按照GB/T1.1—20

4、09给出的规则起草。本标准使用重新起草法修改采用国际标准ISO/TR13569:2005《金融服务信息安全指南》。考虑到我国国情,在采用ISO/TR13569:2005时技术内容做了以下修改:——删除了原文中的5.2法律和法规符合性,因为这部分内容主要描述了国外的法律法规要求,与国内情形不同;——鉴于ISO/IECl7799:2005已于2007年7月正式更改编号为ISO/IEC27002:2005,标准中对该标准的无日期引用更换为对ISO/IEC27002的无日期引用;——将原文中的~些错误进行修正,如附录D.2.4中的“E.2.3”改为“D.2.3”等

5、。为便于使用,本标准还做了下列编辑性修改:——删除IsO前言。与本部分规范性引用的国际文件有一致性对应关系的我国文件如下:GB/T22081信息技术安全技术信息安全管理实用规则(GB/T22081--2008,ISO/IEC27002:2005,IDT)本标准由中国人民银行提出。本标准由全国金融标准化技术委员会(SAC/TC180)负责归口。本标准负责起草单位:中国金融电子化公司。本标准参加起草单位:中国人民银行、中国农业银行、招商银行、上海浦东发展银行、中国信息安全测评中心、中钞信用卡产业发展有限公司。本标准主要起草人:王平娃、陆书春、王韬、杨倩、李曙光

6、、刘运、王连强、戴忠华、唐步天、李同勋、陈杰、李安安、赵志兰、贾树辉、田洁、景芸、张艳、马小琼。Ⅲ标准分享网www.bzfxw.com免费下载GB/T27910—2011引言随着计算机和网络技术的引入,金融业务的实现方式发生了巨大变化,具体体现在对电子交易的依赖性不断增加,从而带来了对信息和通信技术安全进行管理的需求。每天大量的资金和证券交易信息通过电子通信方式进行传输,这些通信方式均由基于业务规则的安全策略所控制。开放环境中巨额、海量的电子交易给金融机构带来了巨大风险。高度互连的网络和日益增加的技术高超的恶意攻击者给银行和银行客户加重了风险,并且当金融交

7、易涉及重要的支付系统时,这些后果可能对国内外金融市场产生不良影响。为了在开放环境中拓展金融业务的同时,进行有效的风险管理,金融机构应该建立一个强有力且有效的企业级的信息安全方案。金融机构应像建立业务惯例和相关协议、外部采购流程、保险等适当的安全控制措施一样,来精心构建信息安全方案,降低风险,满足国内外法律法规的要求。正如巴塞尔协议给我们的警示,运营、法律和法规风险可以导致或者恶化信贷和流动性风险。管理这些风险已成为金融机构信息安全方案的核心。为具体掌握风险,每一个机构必须按照其自身业务活动对其进行诠释。运营风险包括欺诈和犯罪活动、自然灾害、恐怖活动等,必须

8、给予仔细考虑。针对小概率事件也必须制定应对计划,例如2004年12

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。