《電子支付系統安全保護框架》是由多思公司承擔的國家標準編制項目。2008年12月,全國信息安全標準化技術(shù)委員會(huì )批準多思開(kāi)展該標準的預編制制訂工作。2010年11月,全國信息安全標準化技術(shù)委員會(huì )正式批準多思公司制訂《網(wǎng)絡(luò )支付系統安全保護框架》國家標準。2010年12月,全國信息安全標準化技術(shù)委員會(huì )對該標準的預編制進(jìn)行驗收,經(jīng)專(zhuān)家討論通過(guò)評審驗收。該項目由多思公司主持,人民銀行科技司監管,農業(yè)銀行實(shí)施示范。
該標準從電子支付應用角度,給出了電子支付系統的描述,包括電子支付系統基本架構、受保護資產(chǎn)和電子支付模式等內容;從假設與約束、電子支付系統的威脅和組織安全策略構成三個(gè)方面定義了電子支付系統的安全問(wèn)題;在安全環(huán)境定義的基礎上給出安全目的,安全目的主要由總體目標、電子支付系統安全保護模型、應用保護和設計保護組成;圍繞安全目的,提出了一種安全保護技術(shù),安全保護技術(shù)主要由安全功能要求和安全保證要求組成。
該標準的電子支付系統安全保護涵蓋以下兩個(gè)方面:
技術(shù)方面:電子支付系統安全保護涉及密碼、網(wǎng)絡(luò )防護、安全應用等技術(shù)。特別要關(guān)注電子支付系統的安全技術(shù)體系架構,形成長(cháng)效和持續改進(jìn)的安全保護機制;
能力方面:電子支付系統安全保護不僅要保護信息和資產(chǎn)的安全,更重要的是保護電子支付系統的安全,保護電子支付系統所支持的業(yè)務(wù)。
該標準制訂具有重要意義:有利于指導電子支付系統安全保護的設計、實(shí)施和建設;有利于電子支付系統所有者編制其安全保護要求;有利于電子支付系統安全集成商和安全服務(wù)提供商提供更為科學(xué)規范化的設計和服務(wù),促進(jìn)信息安全市場(chǎng)的發(fā)展。
技術(shù)方面:網(wǎng)絡(luò )支付系統安全保護涉及密碼、網(wǎng)絡(luò )防護、安全應用等技術(shù)。特別要關(guān)注網(wǎng)絡(luò )支付系統的安全技術(shù)體系架構,形成長(cháng)效和持續改進(jìn)的安全保護機制;
能力方面:網(wǎng)絡(luò )支付系統安全保護不僅要保護信息和資產(chǎn)的安全,更重要的是保護網(wǎng)絡(luò )支付系統的安全,保護網(wǎng)絡(luò )支付系統所支持的業(yè)務(wù)。
批復:
2008年12月,國家信息安全標準化委員會(huì )批準多思開(kāi)展《網(wǎng)絡(luò )支付安全標準》預編制研究。
2010年11月,全國信息安全標準化技術(shù)委員會(huì )正式下達的《網(wǎng)絡(luò )支付系統安全保護框架》國家標準制訂項目。
評審:
2010年12月,全國信息安全標準化技術(shù)委員會(huì )組織有關(guān)專(zhuān)家對《網(wǎng)絡(luò )支付系統安全保護框架》驗收,經(jīng)專(zhuān)家審查和討論,同意該課題通過(guò)驗收。
意義:
有利于指導電子支付系統的安全設計、實(shí)施和建設。
為電子支付系統安全集成商和安全服務(wù)提供商提供更為科學(xué)規范化的設計和服務(wù)。
對產(chǎn)業(yè)發(fā)展具有強制性、規定性的作用。
保障電子支付系統的安全、自主、可控。