
《電子支付系統(tǒng)安全保護(hù)框架》是由多思公司承擔(dān)的國家標(biāo)準(zhǔn)編制項(xiàng)目。2008年12月,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會批準(zhǔn)多思開展該標(biāo)準(zhǔn)的預(yù)編制制訂工作。2010年11月,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會正式批準(zhǔn)多思公司制訂《網(wǎng)絡(luò)支付系統(tǒng)安全保護(hù)框架》國家標(biāo)準(zhǔn)。2010年12月,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會對該標(biāo)準(zhǔn)的預(yù)編制進(jìn)行驗(yàn)收,經(jīng)專家討論通過評審驗(yàn)收。該項(xiàng)目由多思公司主持,人民銀行科技司監(jiān)管,農(nóng)業(yè)銀行實(shí)施示范。
該標(biāo)準(zhǔn)從電子支付應(yīng)用角度,給出了電子支付系統(tǒng)的描述,包括電子支付系統(tǒng)基本架構(gòu)、受保護(hù)資產(chǎn)和電子支付模式等內(nèi)容;從假設(shè)與約束、電子支付系統(tǒng)的威脅和組織安全策略構(gòu)成三個方面定義了電子支付系統(tǒng)的安全問題;在安全環(huán)境定義的基礎(chǔ)上給出安全目的,安全目的主要由總體目標(biāo)、電子支付系統(tǒng)安全保護(hù)模型、應(yīng)用保護(hù)和設(shè)計(jì)保護(hù)組成;圍繞安全目的,提出了一種安全保護(hù)技術(shù),安全保護(hù)技術(shù)主要由安全功能要求和安全保證要求組成。
該標(biāo)準(zhǔn)的電子支付系統(tǒng)安全保護(hù)涵蓋以下兩個方面:
技術(shù)方面:電子支付系統(tǒng)安全保護(hù)涉及密碼、網(wǎng)絡(luò)防護(hù)、安全應(yīng)用等技術(shù)。特別要關(guān)注電子支付系統(tǒng)的安全技術(shù)體系架構(gòu),形成長效和持續(xù)改進(jìn)的安全保護(hù)機(jī)制;
能力方面:電子支付系統(tǒng)安全保護(hù)不僅要保護(hù)信息和資產(chǎn)的安全,更重要的是保護(hù)電子支付系統(tǒng)的安全,保護(hù)電子支付系統(tǒng)所支持的業(yè)務(wù)。
該標(biāo)準(zhǔn)制訂具有重要意義:有利于指導(dǎo)電子支付系統(tǒng)安全保護(hù)的設(shè)計(jì)、實(shí)施和建設(shè);有利于電子支付系統(tǒng)所有者編制其安全保護(hù)要求;有利于電子支付系統(tǒng)安全集成商和安全服務(wù)提供商提供更為科學(xué)規(guī)范化的設(shè)計(jì)和服務(wù),促進(jìn)信息安全市場的發(fā)展。
技術(shù)方面:網(wǎng)絡(luò)支付系統(tǒng)安全保護(hù)涉及密碼、網(wǎng)絡(luò)防護(hù)、安全應(yīng)用等技術(shù)。特別要關(guān)注網(wǎng)絡(luò)支付系統(tǒng)的安全技術(shù)體系架構(gòu),形成長效和持續(xù)改進(jìn)的安全保護(hù)機(jī)制;
能力方面:網(wǎng)絡(luò)支付系統(tǒng)安全保護(hù)不僅要保護(hù)信息和資產(chǎn)的安全,更重要的是保護(hù)網(wǎng)絡(luò)支付系統(tǒng)的安全,保護(hù)網(wǎng)絡(luò)支付系統(tǒng)所支持的業(yè)務(wù)。
批復(fù):
2008年12月,國家信息安全標(biāo)準(zhǔn)化委員會批準(zhǔn)多思開展《網(wǎng)絡(luò)支付安全標(biāo)準(zhǔn)》預(yù)編制研究。
2010年11月,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會正式下達(dá)的《網(wǎng)絡(luò)支付系統(tǒng)安全保護(hù)框架》國家標(biāo)準(zhǔn)制訂項(xiàng)目。
評審:
2010年12月,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會組織有關(guān)專家對《網(wǎng)絡(luò)支付系統(tǒng)安全保護(hù)框架》驗(yàn)收,經(jīng)專家審查和討論,同意該課題通過驗(yàn)收。
意義:
有利于指導(dǎo)電子支付系統(tǒng)的安全設(shè)計(jì)、實(shí)施和建設(shè)。
為電子支付系統(tǒng)安全集成商和安全服務(wù)提供商提供更為科學(xué)規(guī)范化的設(shè)計(jì)和服務(wù)。
對產(chǎn)業(yè)發(fā)展具有強(qiáng)制性、規(guī)定性的作用。
保障電子支付系統(tǒng)的安全、自主、可控。