17704692435
本标准为金融机构提供了制定信息安全方案的指南。该指南包括策略讨论,机构和方案的结构化法律法规组件。本标准探讨了在选择和实施安全控制措施方面应考虑的内容,以及在现代化金融服务机构中管理信息安全风险的要素,并给出了基于机构业务环境、实践和规程方面应考虑的建议。本标准还包括对法律法规符合性问题的讨论,这需要在方案的设计和实施阶段予以考虑。
本标准适用于金融机构制定信息安全方案时的参考。
电子版:92元
/ 折扣价:
79 元
本标准提供了金融业所必要的安全方面的标准框架。
本标准汇总了金融行业已出现的一些关键安全问题,以及针对每一个问题的相关现有标准。
本标准适用于金融机构在实施安全策略时的标准参考。
本标准规定了金融业使用生物特征识别机制鉴别人员身份的安全框架,介绍了生物特征识别技术的类型,阐述了有关应用问题。本标准也描述了实现架构,详细规定了有效管理的最小安全要求,也为专业人员提供了控制目标和使用建议。
本标准规定了通过证书策略和认证业务说明对PKI进行管理,以及将公钥证书用于金融服务行业的要求框架。同时也定义了风险管理的控制目标和控制程序。
本标准适用于开放、封闭和契约环境中的PKI系统进行区分,并且根据金融服务行业信息系统控制目标进一步定义了运行的业务。本标准的目的在于帮助实施者定义支持多证书策略的PKI业务,包括数字签名、远程鉴别和数字加密的使用。
本标准使得契约环境中满足金融服务行业要求且基于PKI控制的业务的可操作性更易于实现。尽管本标准主要针对契约环境,但并不排除将文档应用于其他环境。文档中术语“证书”是指公钥证书。属性证书不在本标准范围之内。
本标准的目标是针对不同需求的多种使用者,因此每类使用者会关注不同的内容。
业务管理者和分析者是那些需要在开展的业务中使用PKI技术的人员,应关注第1~第6章。
技术设计者和实现者是那些编写他们的证书策略和认证业务说明的人员,应关注第6~第8章,以及附录A~附录F。
运行管理和审计者是那些负责PKI系统日常运行并根据本标准进行一致性检查的人员,应关注第6~第8章。
本标准规定了社会保险服务的基本原则,以及服务体系、服务保障、服务提供、服务监督、评价与改进的基本要求。
本标准适用于各级社会保险经办机构的服务活动。社会保险主管部门依法指定、授权、委托,以及社会保险经办机构委托提供社会保险服务的机构可参照应用。
GB/T 20543的本部分描述IBAN格式的注册机构、注册程序和注册结构,注册的IBAN格式应满足ISO 136161的要求。
本部分适用于使用IBAN的相关机构的注册管理。
本部分规定了脱机PIN处理的最低安全要求和在脱机环境下交换PIN数据的标准方法。
本部分适用于要求脱机PIN验证的卡发起的金融交易,也适用于那些负责在ATM和收单方布放的POS终端中实施PIN管理和保护技术的机构。
GB/T 21079的本部分以ISO 9564、ISO 16609和ISO 11568中定义的密码方法为基础,规定了对安全密码设备(以下简称SCD)的要求。
本部分有以下两个主要目的:
a) 规定SCD的操作性要求和其在整个生命周期中的管理要求;
b) 对上述要求的符合性检查方法进行标准化。
SCD应具有合适的设备特性并进行适当的设备管理,前者保证了SCD的操作性能以及为其内部数据提供足够的保护;后者保证了SCD的合法性,即SCD不会以非授权的方式更改(如安装“侦听装置”等)且其中的任何敏感数据(如加密密钥)不会遭到泄漏或篡改。
绝对的安全性实际上是无法达到的。SCD的安全性依赖于在生命周期每个阶段中适当的管理和安全密码特性两者的有机结合。管理程序可以通过防范措施来降低SCD安全受到破坏的几率,目的是在设备本身特性不能阻止或检测安全攻击的情况下,提高发现非法访问敏感数据或机密数据的可能性。
附录A以资料性信息的形式,描述了本部分提及的适用于SCD安全级别的概念。
本部分没有涉及由SCD拒绝服务引发的问题,也没有涉及在金融零售业务中,不同SCD在设备特性和管理方面的具体要求,该部分内容见ISO 13491-2。
本部分适用于金融零售业务中安全密码设备的安全管理。
对不起,暂未有相关搜索结果!
