还剩2页未读,继续阅读
文本内容:
一、任务来源及编制单位根据国家标准化管理委员会下达的国家标准制修订计•划,国家标准《信息安全技术电子支付系统安全保护框架》由北京多思科技工业园股份有限公司负责主办,标准计划号为技术归口单位是全国信息安全技术标准委员会20111623-T-469,编制工作由北京多思科技工业园股份有限公司作为承担单位,中国人民银行科技司作为指导单位,中国农业银行、中国金融电子化公司、东方集团网络信息安全有限公司、北京大秦兴宇电子有限公司、北京天宏绎网络技术有限公司、北京科蓝软件系统有限公司、北京圣通天宇信息技术有限公司、南充市商业银行等作为参编单位—\编制原则本标准属于信息安全技术保护方面的标准,以自主编写的方式完成标准编制按照《信息技术安全技术信息技术安全性评估准则》相关要求标准编制以国GB/T18336-2008家有关信息安全和金融安全的政策法规为基本依据,吸取国际上先进的信息安全标准的相关理念,结合我国当前电子支付信息系统的发展现状,针对电子支付信息系统安全体系建设,在研究如何保障电子支付信息系统安全的有效性的基础上,完成国家标准《信息安全技术电子支付系统安全保护框架》的编制以“参照国际、立足国情、服务应用、开放合作、严谨科学”为基本工作原则,希望本标准的制定有利于补充现有金融行业标准的安全要求,完善电子支付系统安全标准的体系,从分析保护资产出发,建立电子支付系统的安全保护概念框架,以明确电子支付系统的保护要求,促进电子支付系统向安全可控的方向发展为使标准能够满足科学、规范地开展电子支付信息系统安全保障工作的需要,客观反映我国电子支付信息系统安全保障水平,规范电子支付信息系统安全保障工作,提高标准的可操作性,在标准制定过程中,力求做到符合国家的有关政策法规要求;与已颁布实施的相关标准相协调;并适度考虑目前处于发展成熟过程中的技术,保持一定的前瞻性
三、主要工作过程标准制定的主要工作过程如下)年月,在之前标准研究课题组的基础上,北京多思科技工业园股份有限公司1201012作为标准编制承担单位,组织各参编单位成立了标准编制组)年月一年月,研讨和起草了《信息安全技术网络支付系统安全保护220111201110框架》草案,年月向信安标委提交《信息安全技术网络支付系统安全保护框架》201110WG1草案)年月,参加安标委工作组专家会,对《信息安全技术网络支付系统3201112WG1安全保护框架》草案进行了研讨,正式更名为《信息安全技术电子支付系统安全保护框架》会后一年多的时间,编写工作组多次组织相关单位讨论,征求专家意见,并对返回意见进行分析采纳,发现了大量问题,也取得相应的效果与反馈,对本标准草案的整体结构和主要内容进行了多次重大调整和大幅修改形成了本标准的草案讨论稿)年月,与参编单位中国金融电子化公司组织了本标准征草案讨论稿的金融行420133业研讨会,中国工商银行、银行卡检测中心、中钞公司、支付宝、易宝支付等单位共同对标准进行了研讨和修改(参见标准草案稿意见汇总处理表))年月,信安标委秘书处组织了专家审查会,对《信息安全技术电子支付系统520135安全保护框架》草案稿进行审查,全票通过了审查形成并提交《信息安全技术电子支付系统安全保护框架》征求意见稿)年月,信安标委秘书处送有关部门征求意见,并面向社会在信安标委网620136TC260站上对标准征求意见稿征求意见)年月,收到有关部门的反馈,信安标委秘书处召开标准集中修改工作会议根720107据公安部和国家保密局个部门提出的具体反馈意见进行修改(参见标准征求意见稿意见汇总2处理表),形成了《信息安全技术电子支付系统安全保护框架》标准送审稿
四、标准的主要内容及确定内容的依据
(一)本标准的主要内容本标准的内容主要分为以下几个部分第部分范围1介绍了本标准的边界和适用对象第部分规范性引用文件2介绍了本标准与其他标准的关系及引用的其他标准目录第部分术语和定义3规定除了应用其他标准中包括的及该标准产生的新的术语和定义第部分缩略编码4介绍该标准中所用到的缩略词,方便阅读第部分电子支付系统描述5定义了电子支付系统的概念架构,界定了该模型的边界、范围及对象,明确了受保护资产第部分安全问题定义6针对受保护资产明确存在的安全威胁和相应的组织安全策略,确定应用的环境-假设条件,确立安全问题定义第部分安全目的7根据安全问题定义提出安全目的第部分安全功能需求8根据安全问题及安全的提出技术解决办法B第部分安全保证要求9附录A(资料性附录)电子支付系统的行为模型第部分对国家相关标准的部分依从性分析10附录B(规范性附录)安全问题定义理由附录C(规范性附录)安全目的理由附录(规范性附录)安全保证要求()D CC
3.1R4附录(规范性附录)对国家相关标准的部分依从性分析E
(二)本标准在确定主要内容时主要基于如下方面规范电子支付信息系统的安全构建和运行;从电子支付信息系统生存周期(规划构建阶段、设计实施阶段、运行维护阶段、终止处置阶段)规范安全保护的关键环节
(三)关于本标准附录的说明A本标准编制中希望能够做到抽象化,但为方便金额行业,特别是第三方支付行业(人民银行至今已发牌照张)执行,我们根据相关建议对电子支付系统的行为模型做了250较为详细的描述虽然属于资料资料性附录,而且篇幅较大,但是考虑到为提高标准的可操作性,还是保留了该附录
五、与相关标准的关系)与相关国内标准的关系1电子支付系统是一个几乎涉及到当前所有信息技术的系统,本标准仅仅从直接与电子支付方面相关需要保护的资产出发,分析了可能存在的威胁、需要强制实施的组织安全策略和假设,并由此导出了安全目的,提出了安全功能需求和保障需求对支撑电子支付系统运行的基础设施、设备,我国已经按照的要求和等级保护IT GB/T18336的要求,制定了很多信息安全方面的标准,这些标准从不同的技术方面提出了信息安全的要求,并在实践中发挥了重要的作用我们提出了在贯彻本标准的同时,应同时贯彻的相关信息安全标准的部分建议)与相关国际标准的关系
2、和等同采用的国际标准已经有新版本GB/T
18336.1GB/T
18336.2GB/T
18336.3《一ISO/IEC15408-1:2009Information technology—Security techniquesEvaluation》、criteria for IT security——Part1:Introduction andgeneral modelISO/IEC一15408-2:2008Information technology-Security techniquesEvaluation criteria》和for ITsecurity—Part2:Security functionalcomponents ISO/IEC15408-3:2008一Information technology-Security techniques》,本标准Evaluation criteriaforITsecurity-Part3:Security assurancecomponents在编制过程中,参照了这些版本的部分内容
六、有关问题的说明电子支付系统安全保护是指对电子支付系统信息的保护及其相关的保护措施,保护电子支付信息在采集、传输和处理中免遭未授权访问(保密性)、修改(完整性)和对授权用户的可用性,以及支持安全管理的可核查性和抗抵赖性等在具备条件的情况下,对具有本标准所述电子支付系统特征的信息系统编制和将有助于有效评价该电子支付系统的安全水平,PP ST,发现潜在的风险,评估可能导致的损失,以便给出适宜的风险应对措施建议本标准以推荐性标准发布
七、有关专利的说明本标准不涉及专利《信息安全技术电子支付系统安全保护框架》(送审稿)编制说明《信息安全技术电子支付系统安全保护框架》(送审稿)编制说明《信息安全技术电子支付系统安全保护框架》(送审稿)编制说明《信息安全技术电子支付系统安全保护框架》(送审稿)编制说明。
个人认证
优秀文档
获得点赞 0
