標(biāo)準(zhǔn)解讀

《GB/T 31502-2015 信息安全技術(shù) 電子支付系統(tǒng)安全保護(hù)框架》是一項(xiàng)國(guó)家標(biāo)準(zhǔn),主要針對(duì)電子支付系統(tǒng)的安全性提出了指導(dǎo)原則和要求。該標(biāo)準(zhǔn)適用于各種類(lèi)型的電子支付服務(wù)提供者、金融機(jī)構(gòu)以及參與電子支付流程的相關(guān)方,旨在通過(guò)建立一套全面的安全保護(hù)框架來(lái)保障電子支付過(guò)程中的信息安全。

標(biāo)準(zhǔn)內(nèi)容覆蓋了從電子支付系統(tǒng)的設(shè)計(jì)開(kāi)發(fā)到運(yùn)營(yíng)維護(hù)整個(gè)生命周期的安全管理要求,包括但不限于:

  • 風(fēng)險(xiǎn)評(píng)估:要求對(duì)電子支付系統(tǒng)進(jìn)行全面的風(fēng)險(xiǎn)分析與評(píng)估,識(shí)別潛在的安全威脅及脆弱點(diǎn),并據(jù)此制定相應(yīng)的控制措施。
  • 訪(fǎng)問(wèn)控制:強(qiáng)調(diào)對(duì)于敏感信息資源的訪(fǎng)問(wèn)需要實(shí)施嚴(yán)格的權(quán)限管理和身份驗(yàn)證機(jī)制,確保只有授權(quán)用戶(hù)才能獲取或修改這些信息。
  • 數(shù)據(jù)保護(hù):規(guī)定了數(shù)據(jù)加密傳輸、存儲(chǔ)時(shí)應(yīng)采取的技術(shù)手段,以防止數(shù)據(jù)在傳輸過(guò)程中被截取或篡改;同時(shí)也要注意個(gè)人隱私信息的保護(hù)。
  • 交易完整性:為保證每筆交易的真實(shí)性和不可否認(rèn)性,需采用數(shù)字簽名等技術(shù)手段對(duì)交易雙方的身份進(jìn)行確認(rèn),并記錄完整的交易日志。
  • 應(yīng)急響應(yīng)計(jì)劃:建議各機(jī)構(gòu)根據(jù)自身情況制定詳細(xì)的應(yīng)急預(yù)案,一旦發(fā)生安全事故能夠迅速啟動(dòng)響應(yīng)程序,最大限度地減少損失。
  • 持續(xù)監(jiān)控與審計(jì):定期對(duì)電子支付系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)測(cè),并開(kāi)展內(nèi)外部安全審計(jì)工作,及時(shí)發(fā)現(xiàn)并解決存在的問(wèn)題。


如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2015-05-15 頒布
  • 2016-01-01 實(shí)施
?正版授權(quán)
GB/T 31502-2015信息安全技術(shù)電子支付系統(tǒng)安全保護(hù)框架_第1頁(yè)
GB/T 31502-2015信息安全技術(shù)電子支付系統(tǒng)安全保護(hù)框架_第2頁(yè)
GB/T 31502-2015信息安全技術(shù)電子支付系統(tǒng)安全保護(hù)框架_第3頁(yè)
GB/T 31502-2015信息安全技術(shù)電子支付系統(tǒng)安全保護(hù)框架_第4頁(yè)
GB/T 31502-2015信息安全技術(shù)電子支付系統(tǒng)安全保護(hù)框架_第5頁(yè)
已閱讀5頁(yè),還剩91頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

GB/T 31502-2015信息安全技術(shù)電子支付系統(tǒng)安全保護(hù)框架-免費(fèi)下載試讀頁(yè)

文檔簡(jiǎn)介

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T31502—2015

信息安全技術(shù)

電子支付系統(tǒng)安全保護(hù)框架

Informationsecuritytechnology—

Securityprotectframeworkofelectronicpaymentsystem

2015-05-15發(fā)布2016-01-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T31502—2015

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

符號(hào)與縮略語(yǔ)

4……………2

符號(hào)表示

4.1……………2

縮略語(yǔ)

4.2………………3

電子支付系統(tǒng)描述

5………………………3

電子支付系統(tǒng)模型

5.1…………………3

電子支付系統(tǒng)工作模式

5.2……………7

受保護(hù)資產(chǎn)

5.3…………………………8

安全問(wèn)題定義

6……………10

概述

6.1…………………10

威脅

6.2…………………10

組織安全策略

6.3(SOP)………………14

假設(shè)

6.4(SAS)…………………………17

安全問(wèn)題定義理由

6.5…………………17

安全目的

7…………………17

概述

7.1…………………17

針對(duì)評(píng)估對(duì)象的安全目的

7.2[TOE](OET)………18

針對(duì)評(píng)估對(duì)象運(yùn)行環(huán)境的安全目的

7.3[TOE](OTE)……………18

安全功能要求

8……………19

概述

8.1…………………19

安全審計(jì)類(lèi)

8.2(FAU)………………19

通信類(lèi)

8.3(FCO)……………………32

密碼支持類(lèi)

8.4(FCS)…………………35

用戶(hù)數(shù)據(jù)保護(hù)類(lèi)

8.5(FDP)……………35

標(biāo)識(shí)和鑒別類(lèi)

8.6(FIA)………………40

安全管理類(lèi)

8.7(FMT)………………40

保護(hù)類(lèi)

8.8TSF(FPT)………………42

安全保證要求

9……………43

國(guó)家相關(guān)標(biāo)準(zhǔn)的部分依從性分析

10……………………43

組織安全策略示例

11……………………43

附錄資料性附錄電子支付系統(tǒng)的行為模型

A()………44

GB/T31502—2015

附錄規(guī)范性附錄安全問(wèn)題定義理由

B()………………69

附錄規(guī)范性附錄安全目的理由

C()……………………74

附錄規(guī)范性附錄安全保證要求

D()……………………78

附錄規(guī)范性附錄對(duì)國(guó)家相關(guān)標(biāo)準(zhǔn)的部分依從性分析

E()……………80

附錄資料性附錄組織安全策略示例可疑交易預(yù)警規(guī)則

F():………82

參考文獻(xiàn)

……………………87

GB/T31502—2015

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專(zhuān)利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位北京多思科技工業(yè)園股份有限公司中國(guó)農(nóng)業(yè)銀行中國(guó)金融電子化公司國(guó)家信

:、、、

息安全工程技術(shù)研究中心東方集團(tuán)網(wǎng)絡(luò)信息安全技術(shù)有限公司北京大秦興宇電子有限公司北京天

、、、

宏繹網(wǎng)絡(luò)技術(shù)有限公司北京科藍(lán)軟件系統(tǒng)有限公司長(zhǎng)城瑞通北京科技有限公司重慶銀行南充市

、、()、、

商業(yè)銀行

本標(biāo)準(zhǔn)主要起草人劉大力李寬沈敏鋒韓琳琳吳義章吳錚劉運(yùn)文仲慧沈昕立康偉張磊

:、、、、、、、、、、、

于敬新崔新杰羅勇夏鵬軒閆鳳如陳輝武王慶元左小波邱巖張春陽(yáng)黃光偉邢呈禮高艷芳

、、、、、、、、、、、、、

王州府

GB/T31502—2015

引言

本標(biāo)準(zhǔn)以國(guó)際通行的信息技術(shù)安全性評(píng)估準(zhǔn)則為基礎(chǔ)結(jié)合我國(guó)現(xiàn)階段電子支付系統(tǒng)的特點(diǎn)按照

,,

我國(guó)有關(guān)法律法規(guī)和政令的要求以自主可控為原則為公共類(lèi)電子支付系統(tǒng)的信息安全提供一個(gè)公

、,,

共框架是進(jìn)一步完善相關(guān)國(guó)家標(biāo)準(zhǔn)及行業(yè)標(biāo)準(zhǔn)的重要步驟為構(gòu)建運(yùn)行公共電子支付系統(tǒng)提供

;;、,

支撐

。

GB/T31502—2015

信息安全技術(shù)

電子支付系統(tǒng)安全保護(hù)框架

1范圍

本標(biāo)準(zhǔn)在給出電子支付系統(tǒng)模型的基礎(chǔ)上為公共類(lèi)電子支付系統(tǒng)的信息安全提供了一個(gè)公共框

,

架主要包括安全問(wèn)題定義安全目的安全功能需求和安全保障需求

,、、。

本標(biāo)準(zhǔn)適用于安全構(gòu)建運(yùn)行公共類(lèi)電子支付系統(tǒng)

、。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第部分簡(jiǎn)介和一般模型

GB/T18336.11:

信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第部分安全功能組件

GB/T18336.22:

信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第部分安全保障組件

GB/T18336.33:

3術(shù)語(yǔ)和定義

界定的以及下列術(shù)語(yǔ)和定義適用于本文件

GB/T18336.1。

31

.

電子支付electronicpayment

采用數(shù)字化方式在電子終端信息傳輸通道以及相關(guān)系統(tǒng)的支持下進(jìn)行支付的行為

,、,。

32

.

支付通道transactionchannel

在電子支付交易過(guò)程中電子支付憑據(jù)與支付

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。驍?shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁(yè),非文檔質(zhì)量問(wèn)題。

評(píng)論

0/150

提交評(píng)論