標(biāo)準(zhǔn)解讀

《GM/T 0076-2019 銀行卡信息系統(tǒng)密碼應(yīng)用技術(shù)要求》是中國(guó)國(guó)家密碼管理局發(fā)布的一項(xiàng)標(biāo)準(zhǔn),旨在規(guī)范銀行卡信息系統(tǒng)的密碼技術(shù)應(yīng)用。該標(biāo)準(zhǔn)適用于銀行卡發(fā)行機(jī)構(gòu)、收單機(jī)構(gòu)以及第三方支付平臺(tái)等,在設(shè)計(jì)、開(kāi)發(fā)、實(shí)施和維護(hù)銀行卡信息系統(tǒng)時(shí)應(yīng)遵循的技術(shù)要求。根據(jù)此標(biāo)準(zhǔn),以下為主要內(nèi)容概述:

  • 密碼算法:規(guī)定了在銀行卡信息系統(tǒng)中可以使用的密碼算法類型,包括但不限于對(duì)稱加密算法(如SM4)、非對(duì)稱加密算法(如SM2)及哈希算法(如SM3),強(qiáng)調(diào)使用符合國(guó)家標(biāo)準(zhǔn)的安全算法。

  • 密鑰管理:涵蓋了密鑰的生成、存儲(chǔ)、分發(fā)、更新與銷毀全過(guò)程的安全性要求。指出密鑰必須通過(guò)安全的方式生成,并且在整個(gè)生命周期內(nèi)得到有效保護(hù);同時(shí),對(duì)于不同用途的密鑰需設(shè)置不同的管理策略以確保其安全性。

  • 身份認(rèn)證:明確了用戶和服務(wù)端之間進(jìn)行身份驗(yàn)證時(shí)所需采用的技術(shù)手段,推薦使用基于公鑰基礎(chǔ)設(shè)施(PKI)的身份認(rèn)證機(jī)制,保證交易雙方的真實(shí)性和不可否認(rèn)性。

  • 數(shù)據(jù)保護(hù):針對(duì)敏感信息(如個(gè)人金融信息)提出了具體的數(shù)據(jù)加密傳輸與存儲(chǔ)要求,確保即使數(shù)據(jù)被非法獲取也無(wú)法直接讀取其內(nèi)容。

  • 安全審計(jì):要求系統(tǒng)能夠記錄并保存所有關(guān)鍵操作的日志,以便于事后追蹤分析任何潛在的安全事件或違規(guī)行為。

  • 應(yīng)急響應(yīng):制定了當(dāng)發(fā)生安全事故時(shí)的處理流程,包括快速定位問(wèn)題根源、采取措施阻止進(jìn)一步損失以及恢復(fù)受影響的服務(wù)等功能。

本標(biāo)準(zhǔn)還特別強(qiáng)調(diào)了持續(xù)改進(jìn)的重要性,鼓勵(lì)相關(guān)組織定期評(píng)估自身信息安全管理體系的有效性,并根據(jù)最新威脅態(tài)勢(shì)和技術(shù)發(fā)展適時(shí)調(diào)整優(yōu)化。


如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2019-07-12 頒布
  • 2019-07-12 實(shí)施
?正版授權(quán)
GM/T 0076-2019銀行卡信息系統(tǒng)密碼應(yīng)用技術(shù)要求_第1頁(yè)
GM/T 0076-2019銀行卡信息系統(tǒng)密碼應(yīng)用技術(shù)要求_第2頁(yè)
GM/T 0076-2019銀行卡信息系統(tǒng)密碼應(yīng)用技術(shù)要求_第3頁(yè)
GM/T 0076-2019銀行卡信息系統(tǒng)密碼應(yīng)用技術(shù)要求_第4頁(yè)
GM/T 0076-2019銀行卡信息系統(tǒng)密碼應(yīng)用技術(shù)要求_第5頁(yè)
已閱讀5頁(yè),還剩43頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

GM/T 0076-2019銀行卡信息系統(tǒng)密碼應(yīng)用技術(shù)要求-免費(fèi)下載試讀頁(yè)

文檔簡(jiǎn)介

ICS35040

L80.

中華人民共和國(guó)密碼行業(yè)標(biāo)準(zhǔn)

GM/T0076—2019

銀行卡信息系統(tǒng)密碼應(yīng)用技術(shù)要求

Cryptographytechnicalrequirementsforbankingcardinformationsystems

2019-07-12發(fā)布2019-07-12實(shí)施

國(guó)家密碼管理局發(fā)布

GM/T0076—2019

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范引用文件

2……………1

術(shù)語(yǔ)和定義

3………………1

縮略語(yǔ)

4……………………2

銀行卡信息系統(tǒng)模型

5……………………3

密碼應(yīng)用基本要求和密碼應(yīng)用功能要求

6………………3

銀行卡信息系統(tǒng)密碼技術(shù)安全保護(hù)二級(jí)要求

7…………3

基本要求

7.1……………3

密碼技術(shù)安全要求

7.2…………………4

物理和環(huán)境安全

7.2.1………………4

網(wǎng)絡(luò)和通信安全

7.2.2………………4

設(shè)備和計(jì)算安全

7.2.3………………5

應(yīng)用和數(shù)據(jù)安全

7.2.4………………6

密碼配用策略要求

7.2.5……………7

密鑰安全與管理要求

7.3………………9

總則

7.3.1……………9

密鑰安全

7.3.2………………………9

密鑰管理

7.3.3………………………10

安全管理要求

7.4………………………12

概述

7.4.1……………12

安全管理制度

7.4.2…………………12

人員管理要求

7.4.3…………………12

密碼設(shè)備管理

7.4.4…………………13

使用密碼的業(yè)務(wù)終端要求

7.4.5……………………13

銀行卡信息系統(tǒng)密碼技術(shù)安全保護(hù)三級(jí)要求

8…………13

基本要求

8.1……………13

密碼技術(shù)安全要求

8.2…………………13

物理和環(huán)境安全

8.2.1………………13

網(wǎng)絡(luò)和通信安全

8.2.2………………14

設(shè)備和計(jì)算安全

8.2.3………………15

應(yīng)用和數(shù)據(jù)安全

8.2.4………………17

GM/T0076—2019

密碼配用策略要求

8.2.5……………18

密鑰安全與管理要求

8.3………………19

總則

8.3.1……………19

密鑰安全

8.3.2………………………20

密鑰管理

8.3.3………………………21

安全管理要求

8.4………………………23

概述

8.4.1……………23

安全管理制度

8.4.2…………………23

人員管理要求

8.4.3…………………24

密碼設(shè)備管理

8.4.4…………………24

使用密碼的業(yè)務(wù)終端要求

8.4.5……………………24

銀行卡信息系統(tǒng)密碼技術(shù)安全保護(hù)四級(jí)要求

9…………25

基本要求

9.1……………25

密碼技術(shù)安全要求

9.2…………………25

物理和環(huán)境安全

9.2.1………………25

網(wǎng)絡(luò)和通信安全

9.2.2………………26

設(shè)備和計(jì)算安全

9.2.3………………27

應(yīng)用和數(shù)據(jù)安全

9.2.4………………29

密碼配用策略要求

9.2.5……………30

密鑰安全與管理要求

9.3………………32

總則

9.3.1……………32

密鑰安全

9.3.2………………………32

密鑰管理

9.3.3………………………33

安全管理要求

9.4………………………37

概述

9.4.1……………37

安全管理制度

9.4.2…………………37

人員管理要求

9.4.3…………………37

密碼設(shè)備管理

9.4.4…………………38

使用密碼的業(yè)務(wù)終端要求

9.4.5……………………38

附錄規(guī)范性附錄安全要求對(duì)照表

A()…………………39

參考文獻(xiàn)

……………………41

GM/T0076—2019

前言

本標(biāo)準(zhǔn)是信息安全等級(jí)保護(hù)銀行業(yè)金融機(jī)構(gòu)密碼技術(shù)應(yīng)用要求相關(guān)系列標(biāo)準(zhǔn)之一與本標(biāo)準(zhǔn)相關(guān)

的系列標(biāo)準(zhǔn)包括

:

手機(jī)銀行信息系統(tǒng)密碼應(yīng)用技術(shù)要求

———GM/T0073—2019《》

銀行信貸信息系統(tǒng)密碼應(yīng)用技術(shù)要求

———GM/T0075—2019《》

銀行核心信息系統(tǒng)密碼應(yīng)用技術(shù)要求

———GM/T0077—2019《》

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)由密碼行業(yè)標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

。

本標(biāo)準(zhǔn)起草單位國(guó)家密碼管理局商用密碼檢測(cè)中心中金金融認(rèn)證中心有限公司中國(guó)銀行股份

:、、

有限公司中國(guó)民生銀行股份有限公司

、。

本標(biāo)準(zhǔn)主要起草人鄧開(kāi)勇謝宗曉張大健馬瑤瑤介磊郭晶瑩張眾楊辰

:、、、、、、、。

GM/T0076—2019

引言

本標(biāo)準(zhǔn)與信息系統(tǒng)密碼應(yīng)用基本要求手機(jī)銀行信息系

GM/T0054—2018《》、GM/T0073—2019《

統(tǒng)密碼應(yīng)用技術(shù)要求銀行核心信息系統(tǒng)密碼應(yīng)用技術(shù)要求

》、GM/T0077—2019《》、GM/T0075—

銀行信貸信息系統(tǒng)密碼應(yīng)用技術(shù)要求共同構(gòu)成了信息系統(tǒng)安全等級(jí)保護(hù)密碼技術(shù)要求的相關(guān)

2019《》

配套標(biāo)準(zhǔn)其中信息系統(tǒng)密碼應(yīng)用基本要求是基礎(chǔ)性標(biāo)準(zhǔn)本標(biāo)準(zhǔn)

。GM/T0054—2018《》,、

手機(jī)銀行信息系統(tǒng)密碼應(yīng)用技術(shù)要求銀行核心信息系統(tǒng)密

GM/T0073—2019《》、GM/T0077—2019《

碼應(yīng)用技術(shù)要求及銀行信貸信息系統(tǒng)密碼應(yīng)用技術(shù)要求是在

》GM/T0075—2019《》GM/T0054—

基礎(chǔ)上的進(jìn)一步細(xì)化和擴(kuò)展

2018。

本標(biāo)準(zhǔn)在信息系統(tǒng)密碼應(yīng)用基本要求信息安全技術(shù)

GM/T0054—2018《》、GB/T22239—2008《

信息系統(tǒng)安全等級(jí)保護(hù)基本要求金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指引

》、JR/T007—2012《》

等技術(shù)類標(biāo)準(zhǔn)的基礎(chǔ)上根據(jù)現(xiàn)有技術(shù)的發(fā)展水平提出和規(guī)定了不同安全保護(hù)等級(jí)的銀行卡系統(tǒng)保護(hù)

,,

要求包括安全技術(shù)要求和安全管理要求本標(biāo)準(zhǔn)適用于指導(dǎo)不同安全保護(hù)等級(jí)的銀行業(yè)金融機(jī)構(gòu)銀行

,,

卡系統(tǒng)中密碼技術(shù)的安全建設(shè)安全使用與監(jiān)督管理

、。

銀行業(yè)金融機(jī)構(gòu)應(yīng)依據(jù)信息安全等級(jí)保護(hù)有關(guān)技術(shù)標(biāo)準(zhǔn)與國(guó)家行業(yè)主管部門要求對(duì)銀行卡信息

、,

系統(tǒng)開(kāi)展包括系統(tǒng)定級(jí)在內(nèi)的信息安全等級(jí)保護(hù)工作目前銀行卡系統(tǒng)安全等級(jí)為二級(jí)三級(jí)與四級(jí)

。、,

暫不存在安全級(jí)別為一級(jí)和五級(jí)的系統(tǒng)故本標(biāo)準(zhǔn)暫不對(duì)第一級(jí)信息系統(tǒng)和第五級(jí)信息系統(tǒng)的提出具

,

體的密碼技術(shù)要求

。

銀行卡系統(tǒng)應(yīng)依據(jù)信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南以及

GB/T22240—2008《》,

國(guó)家主管部門有關(guān)要求進(jìn)行定級(jí)等級(jí)確定后依據(jù)本標(biāo)準(zhǔn)選擇相應(yīng)級(jí)別的密碼技術(shù)保護(hù)措施

,。,。

在本標(biāo)準(zhǔn)文本的各類安全要求中可表示可以允許宜表示推薦建議應(yīng)表示應(yīng)該

,“”、;“”、;“”。

GM/T0076—2019

銀行卡信息系統(tǒng)密碼應(yīng)用技術(shù)要求

1范圍

本標(biāo)準(zhǔn)在等標(biāo)準(zhǔn)基礎(chǔ)上結(jié)合銀行業(yè)金融機(jī)構(gòu)銀行卡系統(tǒng)的

GM/T0054—2018、JR/T007—2012,

特點(diǎn)及該類信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)工作中密碼技術(shù)的應(yīng)用需要從密碼安全技術(shù)要求密鑰安全與

,、

管理要求安全管理要求三方面對(duì)不同安全保護(hù)等級(jí)的銀行卡系統(tǒng)中密碼技術(shù)的應(yīng)用提出具體的

、,

要求

。

本標(biāo)準(zhǔn)適用于指導(dǎo)規(guī)范和評(píng)估銀行卡信息系統(tǒng)中的的商用密碼應(yīng)用

、。

2規(guī)范引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

銀行業(yè)務(wù)安全加密設(shè)備零售第部分金融交易中設(shè)備安全符合性

GB/T20547.2—2006

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁(yè),非文檔質(zhì)量問(wèn)題。

最新文檔

評(píng)論

0/150

提交評(píng)論