標(biāo)準(zhǔn)解讀

《GB/T 28447-2012 信息安全技術(shù) 電子認(rèn)證服務(wù)機構(gòu)運營管理規(guī)范》是中國國家標(biāo)準(zhǔn)之一,主要針對提供電子認(rèn)證服務(wù)的機構(gòu)提出了運營管理方面的要求。該標(biāo)準(zhǔn)涵蓋了電子認(rèn)證服務(wù)機構(gòu)在組織架構(gòu)、人員管理、物理與環(huán)境安全、網(wǎng)絡(luò)和系統(tǒng)安全、業(yè)務(wù)連續(xù)性管理等多個方面的規(guī)定。

在組織架構(gòu)部分,明確了電子認(rèn)證服務(wù)機構(gòu)應(yīng)建立完善的管理體系,包括但不限于設(shè)立專門的安全管理部門,并明確其職責(zé);同時要求機構(gòu)內(nèi)部需要有清晰的崗位設(shè)置及權(quán)限劃分,確保每個環(huán)節(jié)都有專人負(fù)責(zé),且操作過程可追溯。

對于人員管理,則強調(diào)了對員工進行定期的信息安全意識教育和技術(shù)培訓(xùn)的重要性,以提高全體成員的安全防護能力。此外還涉及到了員工離職時的數(shù)據(jù)處理流程等細(xì)節(jié)。

物理與環(huán)境安全管理方面,要求電子認(rèn)證服務(wù)機構(gòu)必須采取有效措施保護其辦公場所免受自然災(zāi)害或人為破壞的影響,比如設(shè)置防火墻、安裝監(jiān)控攝像頭等。同時還需關(guān)注數(shù)據(jù)存儲設(shè)備的安全存放條件,如溫度濕度控制等。

在網(wǎng)絡(luò)和系統(tǒng)安全領(lǐng)域,《GB/T 28447-2012》指出機構(gòu)應(yīng)當(dāng)采用先進的加密算法來保證信息傳輸過程中不被竊取篡改;并且要定期對軟件硬件設(shè)施進行維護升級,防止出現(xiàn)漏洞被惡意利用的情況發(fā)生。

最后,在業(yè)務(wù)連續(xù)性管理上,該標(biāo)準(zhǔn)建議電子認(rèn)證服務(wù)機構(gòu)制定詳盡的應(yīng)急預(yù)案,以便在遇到突發(fā)事件時能夠迅速恢復(fù)服務(wù),減少損失。這包括備份重要數(shù)據(jù)、設(shè)立備用數(shù)據(jù)中心等內(nèi)容。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2012-06-29 頒布
  • 2012-10-01 實施
?正版授權(quán)
GB/T 28447-2012信息安全技術(shù)電子認(rèn)證服務(wù)機構(gòu)運營管理規(guī)范_第1頁
GB/T 28447-2012信息安全技術(shù)電子認(rèn)證服務(wù)機構(gòu)運營管理規(guī)范_第2頁
GB/T 28447-2012信息安全技術(shù)電子認(rèn)證服務(wù)機構(gòu)運營管理規(guī)范_第3頁
GB/T 28447-2012信息安全技術(shù)電子認(rèn)證服務(wù)機構(gòu)運營管理規(guī)范_第4頁
GB/T 28447-2012信息安全技術(shù)電子認(rèn)證服務(wù)機構(gòu)運營管理規(guī)范_第5頁
已閱讀5頁,還剩27頁未讀, 繼續(xù)免費閱讀

下載本文檔

GB/T 28447-2012信息安全技術(shù)電子認(rèn)證服務(wù)機構(gòu)運營管理規(guī)范-免費下載試讀頁

文檔簡介

ICS35020

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T28447—2012

信息安全技術(shù)

電子認(rèn)證服務(wù)機構(gòu)運營管理規(guī)范

Informationsecuritytechnology—Specificationontheoperationmanagementofa

certificateauthority

2012-06-29發(fā)布2012-10-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T28447—2012

目次

前言…………………………

引言…………………………

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語和定義………………

31

縮略語……………………

42

電子認(rèn)證服務(wù)機構(gòu)運營的業(yè)務(wù)…………

52

用戶證書服務(wù)………………………

5.12

用戶證書密鑰服務(wù)…………………

5.24

認(rèn)證系統(tǒng)功能要求…………………

5.35

認(rèn)證業(yè)務(wù)流程要求…………………

5.45

業(yè)務(wù)運營中的風(fēng)險………………………

66

認(rèn)證系統(tǒng)運行要求………………………

76

網(wǎng)絡(luò)系統(tǒng)安全………………………

7.16

主機系統(tǒng)安全………………………

7.26

系統(tǒng)冗余與備份……………………

7.37

系統(tǒng)運營維護安全管理……………

7.48

密碼設(shè)備安全管理…………………

7.59

密鑰和證書管理………………

7.6CA10

物理環(huán)境與設(shè)施…………………………

811

運營場地……………

8.111

運營區(qū)域劃分及要求………………

8.211

安全監(jiān)控系統(tǒng)………………………

8.312

環(huán)境保護與控制設(shè)施………………

8.413

支撐設(shè)施……………

8.514

場地訪問安全管理…………………

8.614

場地監(jiān)控安全管理…………………

8.714

注冊機構(gòu)場地安全…………………

8.814

組織與人員管理…………………………

914

職能與角色設(shè)置……………………

9.114

安全組織……………

9.215

人員安全管理………………………

9.316

文檔記錄與介質(zhì)管理…………………

10、16

文檔管理…………………………

10.116

記錄管理…………………………

10.218

GB/T28447—2012

介質(zhì)管理…………………………

10.318

業(yè)務(wù)連續(xù)性要求………………………

1119

業(yè)務(wù)連續(xù)性計劃…………………

11.119

應(yīng)急處理預(yù)案……………………

11.219

災(zāi)難恢復(fù)計劃……………………

11.319

災(zāi)備中心…………………………

11.420

審計與改進……………

1220

審計………………

12.120

改進………………

12.221

附錄資料性附錄業(yè)務(wù)運營風(fēng)險舉例………………

A()22

GB/T28447—2012

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)主要起草單位北京天威誠信電子商務(wù)服務(wù)有限公司頤信科技有限公司

:、。

本標(biāo)準(zhǔn)主要起草人唐志紅李延昭魏一才徐虎龍毅宏劉旭許蕾趙宏科張海松郭宏杰

:、、、、、、、、、。

GB/T28447—2012

引言

本標(biāo)準(zhǔn)是為貫徹執(zhí)行中華人民共和國電子簽名法以下簡稱電子簽名法規(guī)范電子認(rèn)證服務(wù)

《》(《》),

機構(gòu)的運營管理而制定

。

本標(biāo)準(zhǔn)覆蓋了電子認(rèn)證服務(wù)機構(gòu)運營管理的主要方面提供公共認(rèn)證服務(wù)的電子認(rèn)證服務(wù)機構(gòu)應(yīng)

,

按本標(biāo)準(zhǔn)的規(guī)定開展相關(guān)的工作本標(biāo)準(zhǔn)涉及面多但對每方面只做重點的關(guān)鍵的必要的要點性規(guī)

。,、、

定確保電子認(rèn)證服務(wù)機構(gòu)執(zhí)行本標(biāo)準(zhǔn)時在具體技術(shù)上策略上和方案上有很大的靈活性比如對于

,、。,

認(rèn)證系統(tǒng)安全方面本標(biāo)準(zhǔn)只規(guī)定需要采用的安全防護技術(shù)和手段及需要考慮的關(guān)鍵點對具體實現(xiàn)技

,,

術(shù)并未做規(guī)定

GB/T28447—2012

信息安全技術(shù)

電子認(rèn)證服務(wù)機構(gòu)運營管理規(guī)范

1范圍

本標(biāo)準(zhǔn)規(guī)定了電子認(rèn)證服務(wù)機構(gòu)在業(yè)務(wù)運營認(rèn)證系統(tǒng)運行物理環(huán)境與設(shè)施安全組織與人員管

、、、

理文檔記錄與介質(zhì)管理業(yè)務(wù)連續(xù)性審計與改進等多方面應(yīng)遵循的要求

、、、、、。

本標(biāo)準(zhǔn)適用于在開放互聯(lián)環(huán)境中提供數(shù)字證書服務(wù)的電子認(rèn)證服務(wù)機構(gòu)的建設(shè)管理及評估

、。

對于在封閉環(huán)境中如在特定團體或某個行業(yè)內(nèi)運行的電子認(rèn)證服務(wù)機構(gòu)可根據(jù)自身安全風(fēng)險評

()

估以及國家有關(guān)的法律法規(guī)有選擇性地參考本標(biāo)準(zhǔn)國家有關(guān)的測評機構(gòu)監(jiān)管部門也可以將本標(biāo)準(zhǔn)

。、

作為測評和監(jiān)管的依據(jù)

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

計算機場地通用規(guī)范

GB/T2887

計算機場地安全要求

GB/T9361

信息安全技術(shù)證書認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范

GB/T25056—2010

信息安全技術(shù)公鑰基礎(chǔ)設(shè)施證書策略與認(rèn)證業(yè)務(wù)聲明框架

GB/T26855—2011

高層民用建筑設(shè)計防火規(guī)范

GB50045

建筑物防雷設(shè)計規(guī)范

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論