標準解讀

《GM/T 0076-2019 銀行卡信息系統(tǒng)密碼應用技術要求》是中國國家密碼管理局發(fā)布的一項標準,旨在規(guī)范銀行卡信息系統(tǒng)的密碼技術應用。該標準適用于銀行卡發(fā)行機構、收單機構以及第三方支付平臺等,在設計、開發(fā)、實施和維護銀行卡信息系統(tǒng)時應遵循的技術要求。根據(jù)此標準,以下為主要內(nèi)容概述:

  • 密碼算法:規(guī)定了在銀行卡信息系統(tǒng)中可以使用的密碼算法類型,包括但不限于對稱加密算法(如SM4)、非對稱加密算法(如SM2)及哈希算法(如SM3),強調(diào)使用符合國家標準的安全算法。

  • 密鑰管理:涵蓋了密鑰的生成、存儲、分發(fā)、更新與銷毀全過程的安全性要求。指出密鑰必須通過安全的方式生成,并且在整個生命周期內(nèi)得到有效保護;同時,對于不同用途的密鑰需設置不同的管理策略以確保其安全性。

  • 身份認證:明確了用戶和服務端之間進行身份驗證時所需采用的技術手段,推薦使用基于公鑰基礎設施(PKI)的身份認證機制,保證交易雙方的真實性和不可否認性。

  • 數(shù)據(jù)保護:針對敏感信息(如個人金融信息)提出了具體的數(shù)據(jù)加密傳輸與存儲要求,確保即使數(shù)據(jù)被非法獲取也無法直接讀取其內(nèi)容。

  • 安全審計:要求系統(tǒng)能夠記錄并保存所有關鍵操作的日志,以便于事后追蹤分析任何潛在的安全事件或違規(guī)行為。

  • 應急響應:制定了當發(fā)生安全事故時的處理流程,包括快速定位問題根源、采取措施阻止進一步損失以及恢復受影響的服務等功能。

本標準還特別強調(diào)了持續(xù)改進的重要性,鼓勵相關組織定期評估自身信息安全管理體系的有效性,并根據(jù)最新威脅態(tài)勢和技術發(fā)展適時調(diào)整優(yōu)化。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權發(fā)布的權威標準文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2019-07-12 頒布
  • 2019-07-12 實施
?正版授權
GM/T 0076-2019銀行卡信息系統(tǒng)密碼應用技術要求_第1頁
GM/T 0076-2019銀行卡信息系統(tǒng)密碼應用技術要求_第2頁
GM/T 0076-2019銀行卡信息系統(tǒng)密碼應用技術要求_第3頁
GM/T 0076-2019銀行卡信息系統(tǒng)密碼應用技術要求_第4頁
GM/T 0076-2019銀行卡信息系統(tǒng)密碼應用技術要求_第5頁
已閱讀5頁,還剩43頁未讀, 繼續(xù)免費閱讀

下載本文檔

GM/T 0076-2019銀行卡信息系統(tǒng)密碼應用技術要求-免費下載試讀頁

文檔簡介

ICS35040

L80.

中華人民共和國密碼行業(yè)標準

GM/T0076—2019

銀行卡信息系統(tǒng)密碼應用技術要求

Cryptographytechnicalrequirementsforbankingcardinformationsystems

2019-07-12發(fā)布2019-07-12實施

國家密碼管理局發(fā)布

GM/T0076—2019

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范引用文件

2……………1

術語和定義

3………………1

縮略語

4……………………2

銀行卡信息系統(tǒng)模型

5……………………3

密碼應用基本要求和密碼應用功能要求

6………………3

銀行卡信息系統(tǒng)密碼技術安全保護二級要求

7…………3

基本要求

7.1……………3

密碼技術安全要求

7.2…………………4

物理和環(huán)境安全

7.2.1………………4

網(wǎng)絡和通信安全

7.2.2………………4

設備和計算安全

7.2.3………………5

應用和數(shù)據(jù)安全

7.2.4………………6

密碼配用策略要求

7.2.5……………7

密鑰安全與管理要求

7.3………………9

總則

7.3.1……………9

密鑰安全

7.3.2………………………9

密鑰管理

7.3.3………………………10

安全管理要求

7.4………………………12

概述

7.4.1……………12

安全管理制度

7.4.2…………………12

人員管理要求

7.4.3…………………12

密碼設備管理

7.4.4…………………13

使用密碼的業(yè)務終端要求

7.4.5……………………13

銀行卡信息系統(tǒng)密碼技術安全保護三級要求

8…………13

基本要求

8.1……………13

密碼技術安全要求

8.2…………………13

物理和環(huán)境安全

8.2.1………………13

網(wǎng)絡和通信安全

8.2.2………………14

設備和計算安全

8.2.3………………15

應用和數(shù)據(jù)安全

8.2.4………………17

GM/T0076—2019

密碼配用策略要求

8.2.5……………18

密鑰安全與管理要求

8.3………………19

總則

8.3.1……………19

密鑰安全

8.3.2………………………20

密鑰管理

8.3.3………………………21

安全管理要求

8.4………………………23

概述

8.4.1……………23

安全管理制度

8.4.2…………………23

人員管理要求

8.4.3…………………24

密碼設備管理

8.4.4…………………24

使用密碼的業(yè)務終端要求

8.4.5……………………24

銀行卡信息系統(tǒng)密碼技術安全保護四級要求

9…………25

基本要求

9.1……………25

密碼技術安全要求

9.2…………………25

物理和環(huán)境安全

9.2.1………………25

網(wǎng)絡和通信安全

9.2.2………………26

設備和計算安全

9.2.3………………27

應用和數(shù)據(jù)安全

9.2.4………………29

密碼配用策略要求

9.2.5……………30

密鑰安全與管理要求

9.3………………32

總則

9.3.1……………32

密鑰安全

9.3.2………………………32

密鑰管理

9.3.3………………………33

安全管理要求

9.4………………………37

概述

9.4.1……………37

安全管理制度

9.4.2…………………37

人員管理要求

9.4.3…………………37

密碼設備管理

9.4.4…………………38

使用密碼的業(yè)務終端要求

9.4.5……………………38

附錄規(guī)范性附錄安全要求對照表

A()…………………39

參考文獻

……………………41

GM/T0076—2019

前言

本標準是信息安全等級保護銀行業(yè)金融機構密碼技術應用要求相關系列標準之一與本標準相關

。

的系列標準包括

:

手機銀行信息系統(tǒng)密碼應用技術要求

———GM/T0073—2019《》

銀行信貸信息系統(tǒng)密碼應用技術要求

———GM/T0075—2019《》

銀行核心信息系統(tǒng)密碼應用技術要求

———GM/T0077—2019《》

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準由密碼行業(yè)標準化技術委員會提出并歸口

。

本標準起草單位國家密碼管理局商用密碼檢測中心中金金融認證中心有限公司中國銀行股份

:、、

有限公司中國民生銀行股份有限公司

、。

本標準主要起草人鄧開勇謝宗曉張大健馬瑤瑤介磊郭晶瑩張眾楊辰

:、、、、、、、。

GM/T0076—2019

引言

本標準與信息系統(tǒng)密碼應用基本要求手機銀行信息系

GM/T0054—2018《》、GM/T0073—2019《

統(tǒng)密碼應用技術要求銀行核心信息系統(tǒng)密碼應用技術要求

》、GM/T0077—2019《》、GM/T0075—

銀行信貸信息系統(tǒng)密碼應用技術要求共同構成了信息系統(tǒng)安全等級保護密碼技術要求的相關

2019《》

配套標準其中信息系統(tǒng)密碼應用基本要求是基礎性標準本標準

。GM/T0054—2018《》,、

手機銀行信息系統(tǒng)密碼應用技術要求銀行核心信息系統(tǒng)密

GM/T0073—2019《》、GM/T0077—2019《

碼應用技術要求及銀行信貸信息系統(tǒng)密碼應用技術要求是在

》GM/T0075—2019《》GM/T0054—

基礎上的進一步細化和擴展

2018。

本標準在信息系統(tǒng)密碼應用基本要求信息安全技術

GM/T0054—2018《》、GB/T22239—2008《

信息系統(tǒng)安全等級保護基本要求金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引

》、JR/T007—2012《》

等技術類標準的基礎上根據(jù)現(xiàn)有技術的發(fā)展水平提出和規(guī)定了不同安全保護等級的銀行卡系統(tǒng)保護

,,

要求包括安全技術要求和安全管理要求本標準適用于指導不同安全保護等級的銀行業(yè)金融機構銀行

,,

卡系統(tǒng)中密碼技術的安全建設安全使用與監(jiān)督管理

、。

銀行業(yè)金融機構應依據(jù)信息安全等級保護有關技術標準與國家行業(yè)主管部門要求對銀行卡信息

、,

系統(tǒng)開展包括系統(tǒng)定級在內(nèi)的信息安全等級保護工作目前銀行卡系統(tǒng)安全等級為二級三級與四級

。、,

暫不存在安全級別為一級和五級的系統(tǒng)故本標準暫不對第一級信息系統(tǒng)和第五級信息系統(tǒng)的提出具

,

體的密碼技術要求

。

銀行卡系統(tǒng)應依據(jù)信息安全技術信息系統(tǒng)安全等級保護定級指南以及

GB/T22240—2008《》,

國家主管部門有關要求進行定級等級確定后依據(jù)本標準選擇相應級別的密碼技術保護措施

,。,。

在本標準文本的各類安全要求中可表示可以允許宜表示推薦建議應表示應該

,“”、;“”、;“”。

GM/T0076—2019

銀行卡信息系統(tǒng)密碼應用技術要求

1范圍

本標準在等標準基礎上結合銀行業(yè)金融機構銀行卡系統(tǒng)的

GM/T0054—2018、JR/T007—2012,

特點及該類信息系統(tǒng)等級保護安全建設工作中密碼技術的應用需要從密碼安全技術要求密鑰安全與

,、

管理要求安全管理要求三方面對不同安全保護等級的銀行卡系統(tǒng)中密碼技術的應用提出具體的

、,

要求

本標準適用于指導規(guī)范和評估銀行卡信息系統(tǒng)中的的商用密碼應用

、。

2規(guī)范引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

銀行業(yè)務安全加密設備零售第部分金融交易中設備安全符合性

GB/T20547.2—2006

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經(jīng)授權,嚴禁復制、發(fā)行、匯編、翻譯或網(wǎng)絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論