用于金融服務(wù)的公鑰基礎(chǔ)設(shè)施實施和策略框架編制說明

1、用于金融服務(wù)的公鑰基礎(chǔ)設(shè)施實施和策略框架編制說明（征求意見稿）一、背景及意義公鑰基礎(chǔ)設(shè)施（ PKI，PublicKey Infrastructure）是利用公鑰概念和加密技術(shù)為網(wǎng)上通信提供的一整套安全基礎(chǔ)平臺。作為安全基礎(chǔ)設(shè)施， PKI提供了多種安全服務(wù)，包括身份識別與鑒別（認證）、數(shù)據(jù)保密性、數(shù)據(jù)完整性、不可否認性及時間戳服務(wù)等。 PKI技術(shù)體系在金融行業(yè)的網(wǎng)上銀行、手機應(yīng)用等領(lǐng)域已得到廣泛的應(yīng)用。用于金融服務(wù)的公鑰基礎(chǔ)設(shè)施實施和策略框架（ ISO21188）國際標準是 PKI國際標準體系中的重要組成，也是金融信息安全的重要標準，主要對金融服務(wù)的公鑰基礎(chǔ)設(shè)施的商業(yè)環(huán)境、認證機構(gòu)、證書策略、認

2、證業(yè)務(wù)、控制目標和程序、密鑰和認證的生命管理控制等做出了要求。同時也定義了風險管理的控制目標和控制程序。我國根據(jù) ISO21188：2006等同采標制定發(fā)布了國家標準GB/T27913-2011用于金融服務(wù)的公鑰基礎(chǔ)設(shè)施實施和策略框架。隨著金融服務(wù)尤其是互聯(lián)網(wǎng)金融服務(wù)的快速發(fā)展，以及網(wǎng)絡(luò)信息技術(shù)的快速更新演進，ISO對2006版21188標準進行了持續(xù)的補充與改進， 對部分主要內(nèi)容和控制措施進行重新分類和修訂，并最終形成了 ISO21188：2018版。整體而言，改版后的標準更與時俱進，更貼合實際，具備了更強的可實施性。根據(jù)國標委 “積極采用國際標準，重點支持國際國內(nèi)同步制定標準項目， 推進中

3、國標準與國外標準之間的轉(zhuǎn)化運用，提升我國標準與國際一致性水平”原則，根據(jù)ISO21188：2018版的修訂情況， 2018年在金標委立項采標 ISO21188：2018進行 GB/T27913-2011的修訂。二、編制原則（一）以相關(guān)規(guī)章制度為依據(jù)。（二）適用性及可操作性。規(guī)范充分滿足商業(yè)銀行、非銀行支付機構(gòu)、 清算機構(gòu)在公鑰基礎(chǔ)設(shè)施中的實際需求，具有實際操作指導作用。（三）兼容性。本標準參考了國際 PKI系列標準、國家標準及相關(guān)行業(yè)標準， 進行了綜合分析， 有關(guān)數(shù)據(jù)參數(shù)的設(shè)計保持與相關(guān)標準一致。（四）簡潔性。為使標準內(nèi)容簡潔、重點突出，標準中涉及到其他標準的內(nèi)容只作引用，并不包含在本行業(yè)標準

4、正文中。三、主要內(nèi)容及適用范圍本標準規(guī)定了通過證書策略和認證業(yè)務(wù)說明對PKI進行管理，以及將公鑰證書用于金融服務(wù)行業(yè)的要求框架。同時也定義了風險管理的控制目標和控制規(guī)程。雖然本標準可用于處理數(shù)字簽名或密鑰建立的公鑰證書的生成，但它不會用于處理身份驗證方法、不可否認性要求或密鑰管理協(xié)議。本標準適用于對開放、封閉和契約環(huán)境中的PKI系統(tǒng)進行區(qū)分，并且根據(jù)金融服務(wù)行業(yè)信息系統(tǒng)控制目標進一步定義了運行的業(yè)務(wù)。本標準的目的在于幫助實施者定義支持多證書策略的PKI業(yè)務(wù)，包括數(shù)字簽名、遠程鑒別、密鑰交換和數(shù)據(jù)加密的使用。本標準使得契約環(huán)境中滿足金融服務(wù)行業(yè)要求且基于PKI控制的業(yè)務(wù)的可操作性更易于實現(xiàn)。盡管

5、本標準主要針對契約環(huán)境，但并不排除將文檔應(yīng)用于其他環(huán)境。文檔中術(shù)語“證書”是指公鑰證書。屬性證書不在本標準范圍之內(nèi)。本標準主要包括以下內(nèi)容：（一）本標準首先描述了 PKI的組件并闡述了 PKI內(nèi)各種實體所承擔的角色。定義了金融機構(gòu)利用PKI服務(wù)客戶時可能面臨三種環(huán)境：封閉環(huán)境、契約環(huán)境和開放環(huán)境；（二）然后根據(jù)這三種環(huán)境討論了不同的業(yè)務(wù)要求（businessrequirement ）的證書策略；（三）最后，在業(yè)務(wù)要求的基礎(chǔ)上提出了不同的認證策略。四、主要工作過程（一）標準立項前的國際標準修訂跟蹤研究階段基于對 ISO 21188長期的跟蹤研究和參與修訂，在該國際標準即將發(fā)布正式版之前，與人民銀

6、行、 金標委等相關(guān)機構(gòu)開展溝通，說明開展國家標準同步更新修訂的必要性，根據(jù)國際標準修訂情況啟動了國家標準修訂草案的編制工作，并形成GB/T 27913國家標準修訂立項草案稿。（二）標準立項2018 年 5 月，標準工作組將本標準的立項材料提交至金標委，按照立項流程開展相關(guān)工作。2018 年 10 月，金標委組織專家評審會，對該標準的立項申請進行了評審并獲得立項通過。2019 年 10 月，國標委下達 2019 年第三批推薦性國家標準計劃的通過（國標委發(fā)（ 2019）29 號），正式下達本標準制定計劃。（三）征求意見稿形成2019年5月，召開工作組會議。對標準草案稿進行了討論交流，形成部分修訂意見，并擬定了下一步工作計劃。2019年12月，組織商業(yè)銀行、 非銀行支付機構(gòu)根據(jù)行業(yè)使用特點，進一步進行了交流， 并根據(jù)各方意見對標準內(nèi)容進行修訂和完善，提升規(guī)范的符合性及嚴謹性。2020年3月，標準工作組對標準修訂草案再次交流討論，對標準整體內(nèi)容進行修訂校對，形成征求意見稿。五、重大分歧意見的處理和依據(jù)無。六、本標準與原行業(yè)標準的差異無。七、行業(yè)標準屬性的建議鑒于本標準的內(nèi)容未涉及強制性標準或強制性條文的內(nèi)容及要求，因此建議本標準作為推薦性行業(yè)標準。