標準解讀

《GB/T 28447-2012 信息安全技術 電子認證服務機構運營管理規(guī)范》是中國國家標準之一,主要針對提供電子認證服務的機構提出了運營管理方面的要求。該標準涵蓋了電子認證服務機構在組織架構、人員管理、物理與環(huán)境安全、網(wǎng)絡和系統(tǒng)安全、業(yè)務連續(xù)性管理等多個方面的規(guī)定。

在組織架構部分,明確了電子認證服務機構應建立完善的管理體系,包括但不限于設立專門的安全管理部門,并明確其職責;同時要求機構內(nèi)部需要有清晰的崗位設置及權限劃分,確保每個環(huán)節(jié)都有專人負責,且操作過程可追溯。

對于人員管理,則強調(diào)了對員工進行定期的信息安全意識教育和技術培訓的重要性,以提高全體成員的安全防護能力。此外還涉及到了員工離職時的數(shù)據(jù)處理流程等細節(jié)。

物理與環(huán)境安全管理方面,要求電子認證服務機構必須采取有效措施保護其辦公場所免受自然災害或人為破壞的影響,比如設置防火墻、安裝監(jiān)控攝像頭等。同時還需關注數(shù)據(jù)存儲設備的安全存放條件,如溫度濕度控制等。

在網(wǎng)絡和系統(tǒng)安全領域,《GB/T 28447-2012》指出機構應當采用先進的加密算法來保證信息傳輸過程中不被竊取篡改;并且要定期對軟件硬件設施進行維護升級,防止出現(xiàn)漏洞被惡意利用的情況發(fā)生。

最后,在業(yè)務連續(xù)性管理上,該標準建議電子認證服務機構制定詳盡的應急預案,以便在遇到突發(fā)事件時能夠迅速恢復服務,減少損失。這包括備份重要數(shù)據(jù)、設立備用數(shù)據(jù)中心等內(nèi)容。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權發(fā)布的權威標準文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2012-06-29 頒布
  • 2012-10-01 實施
?正版授權
GB/T 28447-2012信息安全技術電子認證服務機構運營管理規(guī)范_第1頁
GB/T 28447-2012信息安全技術電子認證服務機構運營管理規(guī)范_第2頁
GB/T 28447-2012信息安全技術電子認證服務機構運營管理規(guī)范_第3頁
GB/T 28447-2012信息安全技術電子認證服務機構運營管理規(guī)范_第4頁
GB/T 28447-2012信息安全技術電子認證服務機構運營管理規(guī)范_第5頁
已閱讀5頁,還剩27頁未讀, 繼續(xù)免費閱讀

下載本文檔

GB/T 28447-2012信息安全技術電子認證服務機構運營管理規(guī)范-免費下載試讀頁

文檔簡介

ICS35020

L80.

中華人民共和國國家標準

GB/T28447—2012

信息安全技術

電子認證服務機構運營管理規(guī)范

Informationsecuritytechnology—Specificationontheoperationmanagementofa

certificateauthority

2012-06-29發(fā)布2012-10-01實施

中華人民共和國國家質量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T28447—2012

目次

前言…………………………

引言…………………………

范圍………………………

11

規(guī)范性引用文件…………………………

21

術語和定義………………

31

縮略語……………………

42

電子認證服務機構運營的業(yè)務…………

52

用戶證書服務………………………

5.12

用戶證書密鑰服務…………………

5.24

認證系統(tǒng)功能要求…………………

5.35

認證業(yè)務流程要求…………………

5.45

業(yè)務運營中的風險………………………

66

認證系統(tǒng)運行要求………………………

76

網(wǎng)絡系統(tǒng)安全………………………

7.16

主機系統(tǒng)安全………………………

7.26

系統(tǒng)冗余與備份……………………

7.37

系統(tǒng)運營維護安全管理……………

7.48

密碼設備安全管理…………………

7.59

密鑰和證書管理………………

7.6CA10

物理環(huán)境與設施…………………………

811

運營場地……………

8.111

運營區(qū)域劃分及要求………………

8.211

安全監(jiān)控系統(tǒng)………………………

8.312

環(huán)境保護與控制設施………………

8.413

支撐設施……………

8.514

場地訪問安全管理…………………

8.614

場地監(jiān)控安全管理…………………

8.714

注冊機構場地安全…………………

8.814

組織與人員管理…………………………

914

職能與角色設置……………………

9.114

安全組織……………

9.215

人員安全管理………………………

9.316

文檔記錄與介質管理…………………

10、16

文檔管理…………………………

10.116

記錄管理…………………………

10.218

GB/T28447—2012

介質管理…………………………

10.318

業(yè)務連續(xù)性要求………………………

1119

業(yè)務連續(xù)性計劃…………………

11.119

應急處理預案……………………

11.219

災難恢復計劃……………………

11.319

災備中心…………………………

11.420

審計與改進……………

1220

審計………………

12.120

改進………………

12.221

附錄資料性附錄業(yè)務運營風險舉例………………

A()22

GB/T28447—2012

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準主要起草單位北京天威誠信電子商務服務有限公司頤信科技有限公司

:、。

本標準主要起草人唐志紅李延昭魏一才徐虎龍毅宏劉旭許蕾趙宏科張海松郭宏杰

:、、、、、、、、、。

GB/T28447—2012

引言

本標準是為貫徹執(zhí)行中華人民共和國電子簽名法以下簡稱電子簽名法規(guī)范電子認證服務

《》(《》),

機構的運營管理而制定

。

本標準覆蓋了電子認證服務機構運營管理的主要方面提供公共認證服務的電子認證服務機構應

,

按本標準的規(guī)定開展相關的工作本標準涉及面多但對每方面只做重點的關鍵的必要的要點性規(guī)

。,、、

定確保電子認證服務機構執(zhí)行本標準時在具體技術上策略上和方案上有很大的靈活性比如對于

,、。,

認證系統(tǒng)安全方面本標準只規(guī)定需要采用的安全防護技術和手段及需要考慮的關鍵點對具體實現(xiàn)技

,,

術并未做規(guī)定

。

GB/T28447—2012

信息安全技術

電子認證服務機構運營管理規(guī)范

1范圍

本標準規(guī)定了電子認證服務機構在業(yè)務運營認證系統(tǒng)運行物理環(huán)境與設施安全組織與人員管

、、、

理文檔記錄與介質管理業(yè)務連續(xù)性審計與改進等多方面應遵循的要求

、、、、、。

本標準適用于在開放互聯(lián)環(huán)境中提供數(shù)字證書服務的電子認證服務機構的建設管理及評估

、。

對于在封閉環(huán)境中如在特定團體或某個行業(yè)內(nèi)運行的電子認證服務機構可根據(jù)自身安全風險評

()

估以及國家有關的法律法規(guī)有選擇性地參考本標準國家有關的測評機構監(jiān)管部門也可以將本標準

。、

作為測評和監(jiān)管的依據(jù)

。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

計算機場地通用規(guī)范

GB/T2887

計算機場地安全要求

GB/T9361

信息安全技術證書認證系統(tǒng)密碼及其相關安全技術規(guī)范

GB/T25056—2010

信息安全技術公鑰基礎設施證書策略與認證業(yè)務聲明框架

GB/T26855—2011

高層民用建筑設計防火規(guī)范

GB50045

建筑物防雷設計規(guī)范

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經(jīng)授權,嚴禁復制、發(fā)行、匯編、翻譯或網(wǎng)絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。

評論

0/150

提交評論