標準解讀

《GB/T 40473.7-2021 銀行業(yè)應(yīng)用系統(tǒng) 非功能需求 第7部分:安全性》是針對銀行業(yè)信息系統(tǒng)安全性的國家標準之一,該標準旨在為銀行及其相關(guān)機構(gòu)在設(shè)計、開發(fā)和維護信息系統(tǒng)時提供一套關(guān)于信息安全的指導原則和技術(shù)要求。它強調(diào)了如何通過一系列的安全措施來保護銀行信息系統(tǒng)的完整性、可用性和保密性,從而保障客戶信息及交易數(shù)據(jù)的安全。

標準中詳細規(guī)定了銀行應(yīng)用系統(tǒng)應(yīng)當滿足的安全性非功能性需求,包括但不限于身份認證與訪問控制、數(shù)據(jù)加密傳輸與存儲、審計跟蹤與日志管理等方面的要求。對于身份認證,標準提出應(yīng)采用多因素認證機制以增強賬戶登錄的安全性;而就訪問控制而言,則明確了基于角色的權(quán)限分配原則,確保只有授權(quán)用戶能夠訪問特定資源或執(zhí)行相應(yīng)操作。此外,在數(shù)據(jù)保護方面,除了要求對敏感信息進行加密處理外,還特別指出了在數(shù)據(jù)傳輸過程中需要使用安全協(xié)議(如TLS)來防止信息被截獲或篡改。

該標準也涵蓋了安全管理流程的內(nèi)容,比如建立完善的信息安全管理制度,定期開展風險評估活動,并根據(jù)評估結(jié)果及時調(diào)整和完善現(xiàn)有的安全策略。同時,還強調(diào)了應(yīng)急響應(yīng)計劃的重要性,即當發(fā)生安全事故時能夠迅速采取行動減輕損失,并從中吸取經(jīng)驗教訓以改進未來的工作。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標準文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2021-07-20 頒布
  • 2022-02-01 實施
?正版授權(quán)
GB/T 40473.7-2021銀行業(yè)應(yīng)用系統(tǒng)非功能需求第7部分:安全性_第1頁
GB/T 40473.7-2021銀行業(yè)應(yīng)用系統(tǒng)非功能需求第7部分:安全性_第2頁
GB/T 40473.7-2021銀行業(yè)應(yīng)用系統(tǒng)非功能需求第7部分:安全性_第3頁
GB/T 40473.7-2021銀行業(yè)應(yīng)用系統(tǒng)非功能需求第7部分:安全性_第4頁
GB/T 40473.7-2021銀行業(yè)應(yīng)用系統(tǒng)非功能需求第7部分:安全性_第5頁
已閱讀5頁,還剩23頁未讀, 繼續(xù)免費閱讀

下載本文檔

GB/T 40473.7-2021銀行業(yè)應(yīng)用系統(tǒng)非功能需求第7部分:安全性-免費下載試讀頁

文檔簡介

ICS3524040

CCSA.11.

中華人民共和國國家標準

GB/T404737—2021

.

銀行業(yè)應(yīng)用系統(tǒng)非功能需求

第7部分安全性

:

Bankingapplicationsystem—Nonfunctionalrequirement—

Part7Securit

:y

2021-07-20發(fā)布2022-02-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T404737—2021

.

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

安全性元素與組件層次及描述方式

4……………………2

層次

4.1…………………2

描述方式

4.2……………8

保密性族

5(SE_CFD)……………………8

內(nèi)部的非功能需求

5.1(NFIR)…………8

使用算法

5.1.1(ISE_CFD.1)…………8

訪問控制

5.1.2(ISE_CFD.2)…………8

數(shù)據(jù)保密

5.1.3(ISE_CFD.3)…………9

處理保密

5.1.4(ISE_CFD.4)…………9

存儲保密

5.1.5(ISE_CFD.5)…………9

通信保密

5.1.6(ISE_CFD.6)…………9

外部的非功能需求

5.2(NFOR)………………………10

安全需求的確定

5.2.1(OSE_CFD.1)………………10

運行環(huán)境保密

5.2.2(OSE_CFD.2)…………………10

運行網(wǎng)絡(luò)保密

5.2.3(OSE_CFD.3)…………………11

完整性族

6(SE_ITG)……………………12

內(nèi)部的非功能需求

6.1(NFIR)………………………12

網(wǎng)絡(luò)協(xié)議完整性

6.1.1(ISE_ITG.1)………………12

本地數(shù)據(jù)完整性

6.1.2(ISE_ITG.2)………………12

外部的非功能需求

6.2(NFOR)………………………12

抗抵賴性族

7(SE_NRP)…………………13

內(nèi)部的非功能需求

7.1(NFIR)………………………13

原發(fā)和接收證據(jù)

7.1.1(ISE_NRP.1)………………13

支持數(shù)字簽名

7.1.2(ISE_NRP.2)…………………13

外部的非功能需求

7.2(NFOR)………………………13

可核查性族

8(SE_ACN)…………………13

內(nèi)部的非功能需求

8.1(NFIR)………………………13

外部的非功能需求

8.2(NFOR)………………………14

運行環(huán)境審計

8.2.1(OSE_ACN.1)………………14

網(wǎng)絡(luò)審計

8.2.2(OSE_ACN.2)……………………14

真實性族

9(SE_AUT)…………………15

GB/T404737—2021

.

內(nèi)部的非功能需求

9.1(NFIR)………………………15

用戶劃分與身份鑒別

9.1.1(ISE_AUT.1)…………15

登錄保護

9.1.2(ISE_AUT.2)………………………16

數(shù)字證書

9.1.3(ISE_AUT.3)………………………16

數(shù)字令牌

9.1.4(ISE_AUT.4)………………………17

系統(tǒng)連接

9.1.5(ISE_AUT.5)………………………17

外部的非功能需求

9.2(NFOR)………………………17

附錄資料性訪問控制的類型

A()………………………18

訪問控制的概念和基本類型

A.1……………………18

訪問控制的機制

A.2…………………18

參考文獻

……………………20

GB/T404737—2021

.

前言

本文件按照標準化工作導則第部分標準化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件是銀行業(yè)應(yīng)用系統(tǒng)非功能需求的第部分已經(jīng)發(fā)布了以

GB/T40473《》7。GB/T40473

下部分

:

第部分描述框架

———1:;

第部分功能適宜性

———2:;

第部分性能效率

———3:;

第部分兼容性

———4:;

第部分易用性

———5:;

第部分可靠性

———6:;

第部分安全性

———7:;

第部分可維護性

———8:;

第部分可移植性

———9:。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔識別專利的責任

。。

本文件由中國人民銀行提出

。

本文件由全國金融標準化技術(shù)委員會歸口

(SAC/TC180)。

本文件起草單位中國人民銀行科技司中國農(nóng)業(yè)銀行股份有限公司中國外匯交易中心暨全國銀

:、、

行間同業(yè)拆借中心中國人民銀行清算總中心中國建設(shè)銀行股份有限公司交通銀行股份有限公司農(nóng)

、、、、

信銀資金清算中心有限責任公司中國金融電子化公司

、。

本文件主要起草人李偉楊富玉曲維民李寬王鵬馬駿王鋒楊明英葛洪慧崔婉旻趙劉韜

:、、、、、、、、、、、

葉旻梁軍景蕓王燦雍陸原鵬楊倩謝彥麗劉書元王思源

、、、、、、、、。

GB/T404737—2021

.

引言

給出了銀行業(yè)應(yīng)用系統(tǒng)非功能需求的描述框架和各類銀行業(yè)應(yīng)用系統(tǒng)非功能需求的

GB/T40473

模板旨在提高銀行業(yè)應(yīng)用系統(tǒng)非功能需求的編制質(zhì)量和效率降低編制銀行業(yè)應(yīng)用系統(tǒng)非功能需求的

,,

門檻和成本由九個部分組成

,。

第部分描述框架目的在于明確銀行業(yè)應(yīng)用系統(tǒng)的范疇確立銀行業(yè)應(yīng)用系統(tǒng)非功能需求

———1:。,

的描述框架闡明銀行業(yè)應(yīng)用系統(tǒng)非功能需求的標識和描述給出銀行業(yè)應(yīng)用系統(tǒng)非功能需求

,,

的定制包與定制輪廓提出對銀行業(yè)應(yīng)用系統(tǒng)非功能需求的技術(shù)管理與評價并給出銀行業(yè)應(yīng)

,,

用系統(tǒng)非功能需求的描述的方法是其余各部分閱讀和應(yīng)用的基礎(chǔ)

XML,。

第部分功能適宜性目的在于給出包括功能完整性功能正確性和功能適合性的功能適宜

———2:。、

性需求這些需求從嚴謹?shù)男枨蠓诸惪纯梢钥醋魇枪δ苄枨蟮阢y行業(yè)應(yīng)用系統(tǒng)的研發(fā)中

,,,,

往往被視作非功能需求

。

第部分性能效率目的在于給出包括時間特性資源利用和容量的性能效率需求

———3:。、。

第部分兼容性目的在于給出包括共存性和互操作性的兼容性

———4:。。

第部分易用性目的在于給出包括可辨識性易學性易操作性用戶差錯防御性用戶界

———5:。、、、、

面舒適性和易訪問性的易用性

。

第部分可靠性目的在于給出包括成熟性可用性容錯性和易恢復性的可靠性

———6:。、、。

第部分安全性目的在于給出包括保密性完整性抗抵賴性可核查性和真實性的安

———7:。、、、

全性

。

第部分可維護性目的在于給出包括模塊性可重用性易分析性易修改性和易測試性的

———8:。、、、

可維護性

。

第部分可移植性目的在于給出包括適應(yīng)性易安裝性和易替換性的可移植性

———9:。、。

當不考慮縮寫和編號含義時本領(lǐng)域的技術(shù)人員基于本領(lǐng)域的專業(yè)知識可基本正確地理解本文件的

,,

實質(zhì)性內(nèi)容但在如下典型的情況下本文件的應(yīng)用者宜先閱讀并理解

。,GB/T40473.1—2021:

編制應(yīng)用系統(tǒng)的非功能需求

———;

評審應(yīng)用系統(tǒng)的非功能需求

———;

對應(yīng)用系統(tǒng)按照非功能需求開發(fā)的系統(tǒng)進行驗證和確認

———;

對應(yīng)用系統(tǒng)按照非功能需求開發(fā)的系統(tǒng)進行靜態(tài)和動態(tài)測試

———。

對按照本文件編制的非功能需求若以給出的形式描述會對非功能

,GB/T40473.1—2021XML,

需求帶來傳輸和處理上更大便利

。

GB/T404737—2021

.

銀行業(yè)應(yīng)用系統(tǒng)非功能需求

第7部分安全性

:

1范圍

本文件界定了銀行業(yè)應(yīng)用系統(tǒng)安全性的概念規(guī)定了安全性元素與組件層次及描述方式安全性類

,、

保密性族完整性族抗抵賴性族可核查性族和真實性族非功能需求模板

、、、。

本文件適用于銀行業(yè)各類應(yīng)用系統(tǒng)對安全性類非功能需求的描述與銀行業(yè)應(yīng)用系統(tǒng)進行信息交

。

換的應(yīng)用系統(tǒng)根據(jù)需要可參照使用

,。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

銀行業(yè)應(yīng)用系統(tǒng)非功能需求第部分描述框架

GB/T40473.1—20211:

3術(shù)語和定義

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經(jīng)授權(quán),嚴禁復制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論