標(biāo)準(zhǔn)解讀

《GB/T 31502-2015 信息安全技術(shù) 電子支付系統(tǒng)安全保護(hù)框架》是一項國家標(biāo)準(zhǔn),主要針對電子支付系統(tǒng)的安全性提出了指導(dǎo)原則和要求。該標(biāo)準(zhǔn)適用于各種類型的電子支付服務(wù)提供者、金融機(jī)構(gòu)以及參與電子支付流程的相關(guān)方,旨在通過建立一套全面的安全保護(hù)框架來保障電子支付過程中的信息安全。

標(biāo)準(zhǔn)內(nèi)容覆蓋了從電子支付系統(tǒng)的設(shè)計開發(fā)到運(yùn)營維護(hù)整個生命周期的安全管理要求,包括但不限于:

  • 風(fēng)險評估:要求對電子支付系統(tǒng)進(jìn)行全面的風(fēng)險分析與評估,識別潛在的安全威脅及脆弱點(diǎn),并據(jù)此制定相應(yīng)的控制措施。
  • 訪問控制:強(qiáng)調(diào)對于敏感信息資源的訪問需要實施嚴(yán)格的權(quán)限管理和身份驗證機(jī)制,確保只有授權(quán)用戶才能獲取或修改這些信息。
  • 數(shù)據(jù)保護(hù):規(guī)定了數(shù)據(jù)加密傳輸、存儲時應(yīng)采取的技術(shù)手段,以防止數(shù)據(jù)在傳輸過程中被截取或篡改;同時也要注意個人隱私信息的保護(hù)。
  • 交易完整性:為保證每筆交易的真實性和不可否認(rèn)性,需采用數(shù)字簽名等技術(shù)手段對交易雙方的身份進(jìn)行確認(rèn),并記錄完整的交易日志。
  • 應(yīng)急響應(yīng)計劃:建議各機(jī)構(gòu)根據(jù)自身情況制定詳細(xì)的應(yīng)急預(yù)案,一旦發(fā)生安全事故能夠迅速啟動響應(yīng)程序,最大限度地減少損失。
  • 持續(xù)監(jiān)控與審計:定期對電子支付系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)測,并開展內(nèi)外部安全審計工作,及時發(fā)現(xiàn)并解決存在的問題。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2015-05-15 頒布
  • 2016-01-01 實施
?正版授權(quán)
GB/T 31502-2015信息安全技術(shù)電子支付系統(tǒng)安全保護(hù)框架_第1頁
GB/T 31502-2015信息安全技術(shù)電子支付系統(tǒng)安全保護(hù)框架_第2頁
GB/T 31502-2015信息安全技術(shù)電子支付系統(tǒng)安全保護(hù)框架_第3頁
GB/T 31502-2015信息安全技術(shù)電子支付系統(tǒng)安全保護(hù)框架_第4頁
GB/T 31502-2015信息安全技術(shù)電子支付系統(tǒng)安全保護(hù)框架_第5頁
已閱讀5頁,還剩91頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

GB/T 31502-2015信息安全技術(shù)電子支付系統(tǒng)安全保護(hù)框架-免費(fèi)下載試讀頁

文檔簡介

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T31502—2015

信息安全技術(shù)

電子支付系統(tǒng)安全保護(hù)框架

Informationsecuritytechnology—

Securityprotectframeworkofelectronicpaymentsystem

2015-05-15發(fā)布2016-01-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T31502—2015

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

符號與縮略語

4……………2

符號表示

4.1……………2

縮略語

4.2………………3

電子支付系統(tǒng)描述

5………………………3

電子支付系統(tǒng)模型

5.1…………………3

電子支付系統(tǒng)工作模式

5.2……………7

受保護(hù)資產(chǎn)

5.3…………………………8

安全問題定義

6……………10

概述

6.1…………………10

威脅

6.2…………………10

組織安全策略

6.3(SOP)………………14

假設(shè)

6.4(SAS)…………………………17

安全問題定義理由

6.5…………………17

安全目的

7…………………17

概述

7.1…………………17

針對評估對象的安全目的

7.2[TOE](OET)………18

針對評估對象運(yùn)行環(huán)境的安全目的

7.3[TOE](OTE)……………18

安全功能要求

8……………19

概述

8.1…………………19

安全審計類

8.2(FAU)………………19

通信類

8.3(FCO)……………………32

密碼支持類

8.4(FCS)…………………35

用戶數(shù)據(jù)保護(hù)類

8.5(FDP)……………35

標(biāo)識和鑒別類

8.6(FIA)………………40

安全管理類

8.7(FMT)………………40

保護(hù)類

8.8TSF(FPT)………………42

安全保證要求

9……………43

國家相關(guān)標(biāo)準(zhǔn)的部分依從性分析

10……………………43

組織安全策略示例

11……………………43

附錄資料性附錄電子支付系統(tǒng)的行為模型

A()………44

GB/T31502—2015

附錄規(guī)范性附錄安全問題定義理由

B()………………69

附錄規(guī)范性附錄安全目的理由

C()……………………74

附錄規(guī)范性附錄安全保證要求

D()……………………78

附錄規(guī)范性附錄對國家相關(guān)標(biāo)準(zhǔn)的部分依從性分析

E()……………80

附錄資料性附錄組織安全策略示例可疑交易預(yù)警規(guī)則

F():………82

參考文獻(xiàn)

……………………87

GB/T31502—2015

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位北京多思科技工業(yè)園股份有限公司中國農(nóng)業(yè)銀行中國金融電子化公司國家信

:、、、

息安全工程技術(shù)研究中心東方集團(tuán)網(wǎng)絡(luò)信息安全技術(shù)有限公司北京大秦興宇電子有限公司北京天

、、、

宏繹網(wǎng)絡(luò)技術(shù)有限公司北京科藍(lán)軟件系統(tǒng)有限公司長城瑞通北京科技有限公司重慶銀行南充市

、、()、、

商業(yè)銀行

。

本標(biāo)準(zhǔn)主要起草人劉大力李寬沈敏鋒韓琳琳吳義章吳錚劉運(yùn)文仲慧沈昕立康偉張磊

:、、、、、、、、、、、

于敬新崔新杰羅勇夏鵬軒閆鳳如陳輝武王慶元左小波邱巖張春陽黃光偉邢呈禮高艷芳

、、、、、、、、、、、、、

王州府

。

GB/T31502—2015

引言

本標(biāo)準(zhǔn)以國際通行的信息技術(shù)安全性評估準(zhǔn)則為基礎(chǔ)結(jié)合我國現(xiàn)階段電子支付系統(tǒng)的特點(diǎn)按照

,,

我國有關(guān)法律法規(guī)和政令的要求以自主可控為原則為公共類電子支付系統(tǒng)的信息安全提供一個公

、,,

共框架是進(jìn)一步完善相關(guān)國家標(biāo)準(zhǔn)及行業(yè)標(biāo)準(zhǔn)的重要步驟為構(gòu)建運(yùn)行公共電子支付系統(tǒng)提供

;;、,

支撐

。

GB/T31502—2015

信息安全技術(shù)

電子支付系統(tǒng)安全保護(hù)框架

1范圍

本標(biāo)準(zhǔn)在給出電子支付系統(tǒng)模型的基礎(chǔ)上為公共類電子支付系統(tǒng)的信息安全提供了一個公共框

,

架主要包括安全問題定義安全目的安全功能需求和安全保障需求

,、、。

本標(biāo)準(zhǔn)適用于安全構(gòu)建運(yùn)行公共類電子支付系統(tǒng)

、。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第部分簡介和一般模型

GB/T18336.11:

信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第部分安全功能組件

GB/T18336.22:

信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第部分安全保障組件

GB/T18336.33:

3術(shù)語和定義

界定的以及下列術(shù)語和定義適用于本文件

GB/T18336.1。

31

.

電子支付electronicpayment

采用數(shù)字化方式在電子終端信息傳輸通道以及相關(guān)系統(tǒng)的支持下進(jìn)行支付的行為

,、,。

32

.

支付通道transactionchannel

在電子支付交易過程中電子支付憑據(jù)與支付

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。驍?shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論