本标准为金融机构提供了制定信息安全方案的指南。该指南包括策略讨论,机构和方案的结构化法律法规组件。本标准探讨了在选择和实施安全控制措施方面应考虑的内容,以及在现代化金融服务机构中管理信息安全风险的要素,并给出了基于机构业务环境、实践和规程方面应考虑的建议。本标准还包括对法律法规符合性问题的讨论,这需要在方案的设计和实施阶段予以考虑。
本标准适用于金融机构制定信息安全方案时的参考。

没有内容

前言 Ⅲ 引言 Ⅳ 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 符号和缩略语 8 5 公司信息安全策略 9 6 信息安全管理---安全方案 12 7 信息安全机构 13 8 风险分析和评估 16 9 安全控制实施和选择 17 10 IT系统控制 20 11 实施特定控制措施 23 12 辅助项 26 13 后续防护措施 29 14 事故处置 29 附录A (资料性附录) 示例文档 31 附录B(资料性附录) Web服务安全分析示例 36 附录C (资料性附录) 风险评估说明 40 附录D (资料性附录) 技术控制 47 参考文献52

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
ISO9564(所有部分) 银行业务 个人识别码的管理与安全(Banking—PersonalIdentificationNumber(PIN)managementandsecurity)
ISO10202(所有部分) 金融交易卡 使用集成电路卡的金融交易系统的安全体系(Financial
transactioncards—Securityarchitectureoffinancialtransactionsystemsusingintegratedcircuitcards)
ISO11568(所有部分) 银行业务 密钥管理(零售)(Banking—Keymanagement(retail))
ISO/IEC11770 (所有部分)信息技术 安全技术 密钥管理(Informationtechnology—Security techniques—Keymanagement)
ISO15782(所有部分) 金融业务证书管理(Certificatemanagementforfinancialservices)
ISO16609:2004 银行业务 采用对称加密技术进行报文鉴别的要求(Banking—Requirements formessageauthenticationusingsymmetrictechniques)
ISO/IEC27002 信息技术 安全技术 信息安全管理实用规则(Informationtechnology—Securitytechniques—CodeofpracticeforInformationsecuritymanagement)
ISO/IEC18028(所有部分) 信息技术 安全技术 IT网络安全(Informationtechnology—Securitytechniques—ITnetworksecurity)
ISO/IEC18033(所有部分) 信息技术 安全技术 加密算法(Informationtechnology—Security techniques—Encryptionalgorithms)
ISO21188 用于金融服务的公钥基础设施 业务和策略框架(Publickeyinfrastructureforfinancialservices—
Practicesandpolicyframework)