《信息安全技术 电子支付系统安全保护框架》编制说明.pdfVIP

一、 任务来源及编制单位 根据国家标准化管理委员会下达的国家标准制修订计划，国家标准《信息安全技术 电 子支付系统安全保护框架》由北京多思科技工业园股份有限公司负责主办，标准计划号为 T-469，技术归口单位是全国信息安全技术标准委员会。 编制工作由北京多思科技工业园股份有限公司作为承担单位，中国人民银行科技司作为 指导单位，中国农业银行、中国金融电子化公司、东方集团网络信息安全有限公司、北京大 秦兴宇电子有限公司、北京天宏绎网络技术有限公司、北京科蓝软件系统有限公司、北京圣 通天宇信息技术有限公司、南充市商业银行等作为参编单位。 二、 编制原则 本标准属于信息安全技术保护方面的标准，以自主编写的方式完成。标准编制按照 GB/T18336-2008 《信息技术安全技术 信息技术安全性评估准则》相关要求。标准编制 以国家有关信息安全和金融安全的政策法规为基本依据，吸取国际上先进的信息安全标准 的相关理念，结合我国当前电子支付信息系统的发展现状，针对电子支付信息系统安全体 系建设，在研究如何保障电子支付信息系统安全的有效性的基础上，完成国家标准 《信息 安全技术 电子支付系统安全保护框架》的编制。以“参照国际、立足国情、服务应用、 开放合作、严谨科学”为基本工作原则，希望本标准的制定有利于补充现有金融行业标准 的安全要求，完善电子支付系统安全标准的体系，从分析保护资产出发，建立电子支付系 统的安全保护概念框架，以明确电子支付系统的保护要求，促进电子支付系统向安全可控 的方向发展。 为使标准能够满足科学、规范地开展电子支付信息系统安全保障工作的需要，客观反映 我国电子支付信息系统安全保障水平，规范电子支付信息系统安全保障工作，提高标准的可 操作性，在标准制定过程中，力求做到符合国家的有关政策法规要求；与已颁布实施的相关 标准相协调；并适度考虑目前处于发展成熟过程中的技术，保持一定的前瞻性。 三、 主要工作过程 标准制定的主要工作过程如下： 1) 2010 年 12 月，在之前标准研究课题组的基础上，北京多思科技工业园股份有限 公司作为标准编制承担单位，组织各参编单位成立了标准编制组。 2) 2011年1月－2011年10 月，研讨和起草了《信息安全技术 网络支付系统安全保 护框架》草案，2011年10 月向信安标委WG1提交 《信息安全技术 网络支付系统安全保 护框架》草案。 3) 2011年12 月，参加安标委WG1工作组专家会，对 《信息安全技术 网络支付系 统安全保护框架》草案进行了研讨，正式更名为 《信息安全技术 电子支付系统安全保护框 架》。会后一年多的时间，编写工作组多次组织相关单位讨论，征求专家意见，并对返回意 见进行分析采纳，发现了大量问题，也取得相应的效果与反馈，对本标准草案的整体结构和 主要内容进行了多次重大调整和大幅修改。形成了本标准的草案讨论稿。 4) 2013 年3 月 与参编单位中国金融电子化公司组织了本标准征草案讨论稿的金融 ， 行业研讨会，中国工商银行、银行卡检测中心、中钞公司、支付宝、易宝支付等单位共同对 标准进行了研讨和修改 （参见标准草案稿意见汇总处理表）。 5) 2013 年5 月，信安标委秘书处组织了专家审查会，对 《信息安全技术 电子支付系 统安全保护框架》草案稿进行审查，全票通过了审查。形成并提交 《信息安全技术 电子支 付系统安全保护框架》征求意见稿。 6) 2013年6月，信安标委秘书处送有关部门征求意见，并面向社会在信安标委TC260 网站上对标准征求意见稿征求意见。 7) 2010 年7 月，收到有关部门的反馈，信安标委秘书处召开标准集中修改工作会议。 根据公安部和国家保密局2 个部门提出的具体反馈意见进行修改（参见标准征求意见稿意见 汇总处理表），形成了 《信息安全技术 电子支付系统安全保护框架》标准送审稿。 四、 标准的主要内容及确定内容的依据 (一) 本标准的主要内容 本标准的内容主要分为以下几个部分： 第1部分：范围 介绍了本标准的边界和适用对象。 第2 部分： 规范性引用文件 介绍了本标准与其他标准的关系及引用的其他标准目录。 第3 部分：术语和定义 规定除了应用其他标准中包括的及该标准产生的新的术语和定义。 第4 部分：缩略编码 介绍该标