【英语版】国际标准 ISO 21188:2018 EN Public key infrastructure for financial services — Practices and policy framework 金融服务公钥基础设施 实践与政策框架.pdf

ISO21188:2018ENPublickeyinfrastructureforfinancialservices—Practicesandpolicyframework是关于金融服务领域公钥基础结构的实践和政策框架的标准。该标准提供了在金融服务的公钥基础设施（PKI）环境中使用的最佳实践和政策框架，以确保数据安全、信息完整性和服务可用性。以下是对该标准的详细解释：

一、基本概念

公钥基础设施（PKI）是一种系统，它使用公钥加密和数字签名技术来验证身份、提供数据完整性保护和实现授权。PKI在金融服务中尤其重要，因为它可以确保交易的安全性和可靠性。

二、最佳实践

1.组织结构：PKI的实施需要一个有效的组织结构，包括负责管理密钥、证书颁发机构（CA）、证书撤销列表（CRL）和证书存储库的部门。

2.安全管理：安全管理是PKI实施的关键部分，包括对密钥和证书的存储、备份、传输和访问的控制。

3.证书颁发和撤销：证书颁发机构（CA）负责生成和颁发数字证书，用于标识和验证实体身份。证书应定期撤销，以防止证书过期后仍被用于欺诈。

4.审计和监控：PKI的实施需要进行定期审计和监控，以确保系统的安全性和合规性。

5.应急计划：应制定应急计划，以应对可能出现的系统故障、网络攻击或其他安全事件。

三、政策框架

政策框架是PKI实施的重要组成部分，它规定了组织在PKI环境中的行为和决策。政策框架可能包括以下内容：

1.安全政策和规程：规定了如何保护密钥、证书和数据的安全。

2.身份管理和验证：规定了如何验证实体身份的方法和流程。

3.合规性要求：规定了PKI实施必须符合的法律、法规和监管要求。

4.培训和意识：应定期进行培训，以提高员工对PKI重要性的认识和理解。

四、结论

ISO21188:2018EN提供了关于金融服务领域公钥基础设施的实践和政策框架，对于确保数据安全、信息完整性和服务可用性至关重要。有效的组织结构、安全管理、证书颁发和撤销、审计和监控以及应急计划是实施PKI的关键要素。政策框架为组织提供了指导和规范，以确保其行为符合法律、法规和监管要求。