GB T 27911-2011 银行业 安全和其他金融服务 金融系统的安全框架.pdf

《GB T 27911-2011 银行业 安全和其他金融服务 金融系统的安全框架.pdf》由会员分享，可在线阅读，更多相关《GB T 27911-2011 银行业 安全和其他金融服务 金融系统的安全框架.pdf（16页珍藏版）》请在麦多课文档分享上搜索。

1、ICS 03.060 A 11 道昌中华人民主t_，、和国国家标准GB/T 27911-2011 银行业安全和其他金融服务金融系统的安全框架Banking-Security and other financial services一Framework for security in financial systems CISO/TR 17944: 2002 , MOD) 2011-12-30发布2012-02-01实施数饲肪伪中华人民共和国国家质量监督检验检茂总局中国国家标准化管理委员会发布GB/T 27911-2011 目次皿111134456779012句EA叮-A咽i自u信充域辛别HH计

2、UHH领鉴性性审化U和性密u用和准=习H域别整机可性理法刷附领识完和赖的溯性管哼晰地的述份据私抵务追用全叫白两化概身数隐抗服可互安力空领民围准omA对范标JJ34Jijj2222222222I录考前123附参I GB/T 27911-2011 目。昌本标准按照GB/T1.1一2009给出的规则起草。本标准使用重新起草法修改采用1SO/TR17944: 2002(银行业安全和其他金融服务金融系统的安全框架。考虑到我国国情，并考虑了2002年以来国际上发布了一些新的与金融相关的信息安全类标准，在采用1SO/TR17944: 2002时做了以下修改z一-2.2条的表1中，在生物特征识别技术中加入了近

3、年来新发布的一些国际标准;一一2.3条的表2中，在报文鉴别中加入了1SO/1EC19772: 2009; 一-2.6条的表5中，在灾难恢复中加入了1SO/1EC24762:2008; 一一2.7条的表6中，在评估标准中加入了1SO/1EC18045: 2008、1SO/1ECTR 19791: 2006、1SO/1EC 21827 :2008; 一-2.9条的表8中，在证书管理中加入1SO21188; 一-2.9条的表8中，在安全管理中加入1SO/1ECTR 18044、1SO/1EC27001、1SO/1EC27002、1SO/1EC 18043: 2006、1SO/1EC27000: 20

4、09、1SO/1EC27005: 2008、1SO/1EC27006: 2007、1SO/1EC 27011 :2008; 一二2.10条的表9中，在一般的中加入了1SO/1EC18031: 2005、1SO/1EC18032: 2005、1SO/1EC 18033-1: 2005、1SO/1EC18033-2: 2006、1SO/1EC18033-3: 2005、1SO/1EC18033-4: 2005、1SO/1EC 19790 :2006; 一-2.10条的表9中，在对称的中加入了1SO19038; 第3章表10中删除生物识别、灾难恢复两行，因为在正文中加入了这两个领域的1SO标准，另外

5、加入三行隐私和机密性、商业实体身份标识符、令牌;一-一各表格中，被引用的有年代号的标准，如有更新版本，用最新年代号标准替换;一一各表格中，删除己废止的国际标准。为便于使用，本标准还做了下列编辑性修改:一二删除1SO前言和引言;一对于已经发布的标准，删除原文中的表注即将发布。本标准由中国人民银行提出。本标准由全国金融标准化技术委员会(SAC/TC180)归口。本标准负责起草单位:中国金融电子化公司。本标准参加起草单位:中国人民银行、中国工商银行、中国建设银行、交通银行、中信银行、北京银联金卡科技有限公司。本标准主要起草人:王平娃、陆书春、李曙光、杨倩、田洁、刘运、赵志兰、邵冠军、李延、杨宝辉、贾

6、静、李孟玻、刘志刚、仲志晖、贾树辉、景芸、张艳、马小琼。皿1 范围银行业安全和其他金融服务金融系统的安全框架本标准提供了金融业所必要的安全方面的标准框架。G/T 27911-2011 本标准汇总了金融行业已出现的一些关键安全问题，以及针对每一个问题的相关现有标准。本标准适用于金融机构在实施安全策略时的标准参考。2 标准化的领域2. 1 概述金融行业中，信息技术安全的需求体现在令牌、设备、加密技术、密钥管理、应用程序接口(API)和协议等标准应用领域，这些不同领域可根据下面这些基础领域的基本业务需求进行分组。多数领域已经有了各种各样可用的标准，而在其他领域，标准或正在制定或有了(新)标准需求。第

7、2章中提及了金融机构信息安全标准化的主要领域，其中表1到表9包含了这些领域可用的(有时是必需的)的标准。表中排在前面的国际标准来自国际标准化组织，跟随在其后的有关标准来自其他标准组织lU基于这些表中缺少的标准，第3章概述了ISO空白的标准化领域。注2对于所提及标准的更加详细资料，可以联系参考的标准化组织(参见附录A)。2.2 身份识别和鉴别金融交易中涉及的所有实体的身份应被确定。鉴别确保一个实体的身份就是它声明的身份。金融机构应保证z只有授权的用户可以访问他们的信息技术系统。用于身份识别和鉴别的机制建立在使用身份标识、令牌、口令短语、个人身份识别码(PIN)、生物识别技术、数字签名和证书基础之

8、上，相关标准见表1。表1身份识别和鉴别需 求可用的标准标题/描述IS0j1EC 9798-1 信息技术安全技术实体鉴别第1部分z概述IS0j1EC 9798-2 信息技术安全技术实体鉴别第2部分z采用对称加密算法的机制IS0j1EC 9798-3 信息技术安全技术实体鉴别第3部分z采用数字签名技术的机制身份识别和鉴别IS0j1EC 9798-4 信息技术安全技术实体鉴别第4部分:采用密码校验函数的机制IS0j1EC 9798-5 信息技术安全技术实体鉴别第5部分:使用零知识技术的机制IS0j1EC 9594-8 信息技术开放系统互连目录第8部分:公钥和属性证书框架日本标准中非IS0标准的引用仅

9、用于资料目的;它们应是一个共识并且应该是被发表的或公认可用的。非IS0标准的引用并不表明IS0对这些非IS0标准的认可。1 GB/T 27911-2011 需求商业实体身份标识符令牌口令短语个人识别码生物特征识别技术2 可用的标准EB5111-1999 1509564-1 1509564-2 1509564-3 I50/TR 9564-4 EB5105-1998 表1(续)标题/描述欧洲银行业务标准:互用的金融电子钱包银行业务个人识别码的管理与安全第1部分:ATM和P05系统中联机PIN处理的基本原则和要求银行业务个人识别码的管理与安全第2部分z核准的PIN加密算法银行业务个人识别码的管理与安

10、全第3部分:ATM和P05系统中脱机PIN处理的PIN保护的要求银行业务个人识别码的管理与安全第4部分:开放网络中PIN处理的最佳实践基于PIN的P05系统(版本2)一一第1部分:鉴别程序的最低的标准第2部分:带有联机PIN确认的P05系统一一最低安全和评估标准一一第3部分z带有脱机PIN确认的POS系统一一最低安全和评估标准15019092:2008 I 金融服务生物特征识别安全框架I50/IEC 19784-1,2006 j 信息技术生物特征应用接口第1部分:BioAPI规范I50/IEC 19784-2 :2007 I 信息技术生物特征应用接口第2部分:生物特征文档功能提供者接口I50/

11、IEC 1978司-1:2006 I 信息技术公共生物特征交换格式框架第1部分z数据元规范I50/1EC 19785-2: 2006 I50/IEC 19785-3: 2007 I50/IEC 19794-1: 2006 I50/IEC 19794-2: 2005 I50/IEC 19794-3: 2006 I50/IEC 19794-4:2005 信息技术公共生物特征交换格式框架第2部分2生物特征注册机构操作程序信息技术公共生物特征交换格式框架第3部分=客户格式规范信息技术生物特征数据接口格式第1部分z框架信息技术生物特征数据接口格式第2部分:手指细节数据信息技术生物特征数据接口格式第3部分

12、z手指模式频谱数据信息技术生物特征数据接口格式第4部分2手指图像数据I50/IECI9794-5:2005 I 信息技术生物特征数据接口格式第5部分z脸部图像数据I50/IECI9794-6:2005 I 信息技术生物特征数据接口格式第6部分z虹膜图像数据G/T 27911-2011 表1(续)需求可用的标准标题/描述ISO/IEC 19794-7 :2007 信息技术生物特征数据接口格式第7部分2签名/符号时间序列数据ISO/IEC 19794-8: 2006 信息技术生物特征数据接口格式第8部分2手指模式轮廓数据ISO/IEC 19794-9: 2007 信息技术生物特征数据接口格式第9部

13、分:血管图像数据ISO/IEC 19794-10:2007 信息技术生物特征数据接口格式第10部分:手形轮廓数据ISO/IEC 19795-1: 2006 信息技术生物特征性能测试和报告第1部分:原则和框架ISO/IEC 19795-2: 2007 信息技术生物特征性能测试和报告第2部分:技术和场景评估的测试方法ISO/IEC TR 19795-3: 2007 信息技术生物特征性能测试和报告第3部分:特定特征的测试ISO/IEC 19795-4: 2008 信息技术生物特征性能测试和报告第4部分:互操作生物特征识别技术性能测试ISO/IEC 24708: 2008 信息技术生物特征识别BioA

14、PI互作用协议ISO/IEC 24709-1 : 2007 信息技术生物特征应用程序接口(BioAPD符合性测试第1部分z方法和程序ISO/IEC 24709-2: 2007 信息技术生物特征应用程序接口(BioAPD符合性测试第2部分z生物特征服务提供商测试声明ISO/IEC 24713宁1:2008信息技术互操作性和数据接口的生物特征轮廓第1部分:生物特征系统和生物特征轮廓概述ISO/IEC 24713-2:2008 信息技术互操作性和数据接口的生物特征轮廓第2部分:机场雇员身体访问控制lSO/IEC TR 24714-1:2008 信息技术生物特征识别商业应用的司法和社会考虑第1部分z一

15、般指南ISO/IEC TR 24722: 2007 信息技术生物特征识别多种形式和其他多生物特征融合ISO/IEC TR 24741 :2007 信息技术生物特征识别指南ANSI X9. 84-2003 金融服务业的生物识别技术信息管理和安全2.3 数据完整性数据完整性是指数据不会在未经授权的方式下被改变或者被破坏的特性。对于金融行业数据完整性是必要的。保证数据完整性的机制主要基于报文鉴别、哈希函数和数字签名，相关标准见表2。3 GB/T 27911-2011 表2数据完整性需求可用的标准标题/描述ISO/IEC 9797-1 信息技术安全技术报文鉴别码第1部分z采用分组密码的机制ISO/IE

16、C 9797-2 信息技术安全技术报文鉴别码第2部分z采用特定哈希函数报文鉴别的机制ISO 16609 银行业务使用对称技术的报文鉴别要求ISO/IEC 19772 :2009 信息技术安全技术鉴别加密ANSI X9. 71-2000 带密钥的哈希报文鉴别码ISO/IEC 10118-1 信息技术安全技术散列函数第1部分z概述ISO/IEC 10118-2 信息技术安全技术散列函数第2部分:采用n位块密码的散列函数哈希函数ISO/IEC 10118-3 信息技术安全技术散列函数第3部分z专用散列函数ISO/IEC 10118-4 信息技术安全技术散列函数第4部分:使用模运算的散列函数2.4 隐

17、私和机密性隐私是个体保持其个人信息机密的一种权利。机密性是信息不被未授权的个体、实体或程序获得或揭露的一种特性。隐私和机密性越来越被金融业所关注。加密是用来确保隐私和机密性的一种机制，相关标准见表3。表3隐租和机密性E 可用的标准标题/描述2.5 抗抵赖抗抵赖是指防止金融交易中的抵赖(否认)行为。防止抵赖的机制基于时间戳、数字签名、证书和公钥基础设施(PKD技术，相关标准见表4。表4抗抵赖?苟求可用的标准标题/描述ISO/IEC 13888-1 信息技术安全技术抗抵赖第1部分:概述ISO/IEC 13888-2 信息技术安全技术抗抵赖第2部分2采用对称技术抗抵赖的机制ISO/IEC 13888

18、-3 信息技术安全技术抗抵赖第3部分z采用非对称技术的机制4 需求时间戳数字签名证书公钥基础设施CPKD2.6 服务的可用性可用的标准ISO!IEC 18014 ETSI TS 101 861-2001 ISO!ICE 9796 ISO!IEC 14888 ANSI X9. 31 ETSI TS 101 733 ANSI X9. 55-1997 ANSI X9. 68: 2-2001 ETSI TS 101 862-2000 ANSI X9. 77 ANSI X9. 79-2001 ETSI TS 101 456 表4(续)标题/描述信息技术安全技术时间戳服务一一第1部分z框架G/T 2791

19、1-20门一一第2部分2产生独立令牌的机制一一第3部分z产生连接的令牌的机制时间戳概述信息技术安全技术带消息恢复的数字签名方案一一第1部分:使用冗余的机制一一第2部分:基于整数因数分解的机制一一第3部分:基于离散对数的机制信息技术安全技术带附录的数字签名一一第1部分z概述一-第2部分z基于身份的机制一一第3部分z基于证书的机制金融服务行业中使用可逆的公钥加密技术的数字签名电子签名格式金融服务行业的公钥加密技术z扩展部分公钥证书和证书废止列表移动/无线和大交易量金融系统数字证书z第2部分=域证书语法合格证书简介公钥基础设施协议公钥基础设施CPKD实践和策略框架发行合格证书的认证机构的策略要求可用

20、性是指随时根据授权实体的需要保持可访问和可使用的特性。对于金融机构而言，在业务连续性和金融行业的整体形象方面，服务的可用性是重要的。用来确保可用性的机制基于冗余、备份、异地储存、备份场所和灾难恢复计划，相关标准见表50表5服务的可用性i苦求可用的标准标题/描述备份ISO!IEC 24762: 2008 信息技术安全技术信息和通信技术灾难恢复服务指南灾难恢复NIST 800-34-2002 指定的出版物:信息技术系统意外事件计划指南国家标准技术协会建议书(草案)5 GB/T 27911-2011 2. 7 可追溯性和审计可追溯性是确保一个实体的活动能被唯一追溯到该实体的特性。显而易见，金融机构应

21、能够向他们的客户和第三方证明交易的有效性。不同的安全方法、程序和产品应有一个合理的安全级别。系统或组织应建立一套最低限度的安全措施。可追溯性和审计机制是以审计眼踪、日志、功能分类、保护轮廓、评估标准等为基础的，相关标准见表6。需求功能分类保护轮廓评估标准6 表6可追溯性和审计可用的标准ISO 10181 ANSI X9. 45-1999 ISO/IEC TR 15446 ISO/IEC 15292 ANSI X9. 79 ISO 13491-1 ISO 13491-2 ISO/IEC 15408-1 ISO/IEC 15408-2 ISO/IEC 15408-3 标题/描述信息技术开放系统互连

22、开放系统安全框架z一一第1部分z概述一一第2部分g鉴别框架一一第3部分z访问控制框架-一第4部分:抗抵赖框架一一第5部分:机密性框架使用数字签名和属性证书加强管理控制信息技术安全技术保护轮廓和安全目标的产生指南信息技术安全技术保护轮廓注册规程第2部分z证书发行和管理系统的保护轮廓(草案银行业务安全加密设备(零售)第1部分z概念、需求和评估方法银行业务安全加密设备(零售)第2部分:金融交易中设备安全符合性检测清单信息技术安全技术信息技术安全性评估准则第1部分z简介和一般模型信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求信息技术安全技术信息技术安全性评估准则第3部分z安全保证要求IS

23、O/IEC18045:2008 I 信息技术安全技术IT安全评估方法ISO/IEC TR 19791: 2006 I 信息技术安全技术可操作系统的安全评估ISO/IEC 21827 :2008 I 信息技术安全技术系统安全工程能力成熟度模型(SSE-CMM) ANSI X9. 66 加密设备的安全ANSI X9. 74 证书路径处理的一致性测试G/T 27911-2011 2.8 互用性对于金融行业，无论是在批发环境，还是在零售环境，互用性正在成为一个重要的问题。互用性机制基于数据元、协议和接口标准。然而，应该指出的是，互用性与现在单独存在的标准相比是一个更显著的问题，相关标准见表7。需求可用

24、的标准EMV2000 互用性SET 数据元ISO 13616 ISO 7064 ISO 8583 协议ISO 9992 ISO 15668 接口ISO 7813 2. 9 安全管理表7互用性标题/描述支付系统集成电路卡规范一一卷1:应用独立IC卡对终端接口的要求一一卷2:安全和密钥管理一一卷3:应用规范卷4:持卡人、柜员和收单行的接口要求安全电子交易规范一一卷1:交易描述一一一卷2:程序员指南一一卷3:正式协议定义银行业务和相关金融服务国际银行账号(IBAN)信息技术安全技术数据处理校验码系统产生报文的金融交易卡交换报文规范第1部分:报文、数据元和代码值一一第2部分2机构标识码(IIC)的应用

25、及注册规程一一第3部分:报文、数据元和代码值的维护规程金融交易卡集成电路卡与卡接受设备之间的报文一一第1部分:概念和结构一第2部分z功能、报文(命令与响应、数据元和结构银行业务安全文件传输(零售)信息技术识别卡金融交易卡金融机构使用的安全措施应得到管理。在密钥管理和证书管理领域，需要一些通用标准用来确保一个基本的最低安全级别，相关标准见表807 GB/T 27911-2011 需求安全管理密钥管理8 表8安全管理可用的标准标题/描述ISO/IEC 13335-1: 1996 I 信息技术信息技术安全管理指南第1部分z信息技术安全概念和模型ISO/IEC TR 18044 I 信息技术安全技术信

26、息安全事件管理指南ISO/IEC 27001 I 信息技术安全技术信息安全管理体系要求ISO/IEC 27002 I 信息技术安全技术信息安全管理实用规则ISO/TR 13569 I 银行业务和相关金融服务信息安全指南ISO/IEC 15443 I 信息技术安全技术信息技术安全保证框架ISO/IEC 15816 I 信息技术安全技术访问控制的安全信息目标ISO 15947 信息技术安全技术信息技术入侵检测框架ISO/IEC 18043: 2006 ISO/IEC 27000: 2009 ISO/IEC 27005: 2008 ISO/IEC 27006: 2007 ISO/IEC 27011:

27、 2008 ANSI X9. 41 BS 7799 ECBS TR 406 ISO 11568 ISO/IEC 11770 ISO 13492:1998 ANSI X9. 42-2001 ANSI X9. 44-2000 信息技术安全技术入侵检测系统的选择、部署和操作信息技术安全技术信息安全管理体系概述和词汇信息技术安全技术信息安全风险管理信息技术安全技术对提供信息安全管理体系的审计和鉴别的实体的要求信息技术安全技术基于ISO/IEC27002的电信组织的信息安全管理指南金融服务行业安全服务管理信息安全管理算法用法和密钥管理指南银行业务密钥管理(零售第1部分:一般原则一一第2部分:对称密码及其

28、密钥管理和生命周期一一第4部分z非对称密码系统及其密钥管理和生命周期信息技术安全技术密钥管理一一第1部分z框架一一第2部分:对称技术机制一一第3部分z非对称技术机制银行业务密钥管理相关数据元(零售金融服务行业公钥加密技术:使用离散对数加密技术的对称密钥协议金融服务行业使用基于因式分解公钥加密技术的密钥建立(草案GB/T 27911-2011 表8(续需求可用的标准标题/描述ANSI X9. 63-2001 金融服务行业公钥加密技术2使用椭圆曲线加密技术的密|密匙管理ANSI X9. 70 使用公钥算法的对称密钥管理ECBS TR 405 金融系统的密钥恢复ISO 15782 银行业务证书管理一

29、一第1部分:公钥证书-一第2部分z证书扩展IS0 21188: 2006 用于金融服务的公钥基础设施实施和策略框架证书管理AN$I X9. 57-1997 金融服务行业的公钥加密技术z证书管理ANSI X9. 79-2001 公钥基础设施实践和策略框架ECBS TR 402-1997 数字证书认证机构(版本2)IETF RFC 2527.1999 互联网X.509公钥基础设施证书和证书废止列表(CRL)框架ISO/IEC TR 14516 信息技术安全技术可信任第三方服务的使用和管理指南可信任第三方管理ISO/IEC 15945 信息技术安全技术支持数字签名应用的TTP服务规范2.10 加密算

30、法金融机构使用的安全措施太部分基于加密技术，由于互用性和基本安全水平的原因，加密技术领域需要一些通用标准，相关标准见表9。表9加密算法需求可用的标准标题/描述ISO/IEC 9979 信息技术安全技术加密算法的注册程序ISO/IEC 18031: 2005 信息技术安全技术随机数生成ISO/IEC 18032: 2005 信息技术安全技术素数生成ISO/IEC 18033-1: 2005 信息技术安全技术加密算法第1部分z概述ISO/IEC 18033-2: 2006 信息技术安全技术加密算法第2部分:非对称密码|一般ISO/IEC 18033-3: 2005 信息技术安全技术加密算法第3部分

31、:分组密码ISO/IEC 18033-4: 2005 信息技术安全技术加密算法第4部分=流密码ISO/IEC 19790:2006 信息技术安全技术密码模块的安全要求ANSI X9. 82 随机数生成ANSI X9. 80-2001 京数生成ANSI TR 9 金融行业标准的抽象句法符号和编码规则9 G/T 27911-2011 表9(续需求可用的标准标题/描述ISO 8372 信息处理64位块加密算法操作的模式ISO/IEC 10116 信息技术安全技术n位分组加密操作的模式ISO/TR 19038: 2005 银行和相关金融服务3-DEA操作模式实施指南对称ANSI X9. 52-1998

32、 三重数据加密算法CT-DEA)的操作模式ANSI X9 TG-19 三重数据加密算法CT-DEA)的操作确认模式FIPS PUB 197 高级加密标准ANSI X9. 30-1 金融服务行业的公钥加密技术2第1部分数字签名算法非对称ANSI X9. 31 使用可逆公钥加密技术的数字签名ANSI X9. 76 阂值的数字签名局部密钥更新机制ISO/IEC 15946 信息技术安全技术基于椭圆曲线的加密技术一-第1部分z概述一一第2部分:数字签名一一第3部分z密钥建立一一第4部分:带报文恢复的数字签名a椭圆曲线ANSI X9 TG-17 椭圆曲线算法的技术准则ANSI X9. 62-1998 金

33、融服务行业的公钥加密技术=椭圆曲线数字签名算法CECDSA) ANSI X9. 63 金融服务行业的公钥加密技术=使用椭圆曲线加密的密钥协议和密钥传输3 ISO空白的标准化领域表10总结了第2章各个表中对应需求列的可用标准是空白的或无可用IS0标准的一些项目。表10不可用总结需求可用的标准附加备注口令短语无标准证书元可用的ISO标准ANSI X9. 79标准可用(lSONWI提议)公钥基础设施CPKD无可用的ISO标准ANSI X9. 79标准可用(lSONWI提议)备份元标准互用性元可用的ISO标准非对称的加密算法无可用的ISO标准ANSI X9标准可用隐私和机密性元可用的ISO标准商业实体

34、身份标识符元可用的ISO标准令牌元可用的ISO标准EBS 111可用10 附录A(资料性附录)补充信息有关本文件提到的标准的进一步详细资料可以通过以下渠道获取。能够从下面这些地方获得关于本文件所提及的标准的更加详细的资料。国际标准化组织CInternationalOrganization for Standardization) 中央秘书处CCen tral Secretaria t) Case postale 56 CH-1211 Genve 20 瑞士CSwi tzer land) 电话:十4122 749 0111 传真:+41 22 733 3430 电子邮件:clivioiso.or

35、g 国际标准化组织CInternationalOrganization for Standardization) ISO/TC 68秘书处CISO/TC68 Secretariat) 转交美国银行家协会Cc/oAmerican Bankers Association) 1120 Connecticut Avenue,NW Washington,D. C. 20036 美国CUnitedStates of America) 电话:+ 1 202 663 5284 传真:+ 1 202 828 4540 电子邮件:dulleraba. com 美国国家标准协会(AmericanNational S

36、tandards Institute) ASC X9秘书处(ASCX9 Secretariat) 转交美国银行家协会Cc/oAmerican Bankers Association) 1120 Connecticut Avenue,NW Washington,D. C. 20036 美国CUnitedStates of America) 电话:十1202 663 5284 传真:+ 1 202 828 4540 电子邮件:dulleraba. com 欧洲银行标准委员会(EuropeanCommittee for Banking Standards) 秘书长CSecretary General

37、) Avenue de Tervueren 12 布鲁塞尔B-1040(B-1040Brussels) 比利时CBelgium)电话:+32 2 733 3533 传真:+32 2 736 4988 电子邮件:ecbsecbs. org GB/T 27911-2011 11 GB/T 27911-2011 参考文献1 ISO/IEC TR 13335 (所有部分)信息技术信息技术安全管理指南(Information technology-Guidelines for the management of IT Security) 12 FFON-FhNH阁。华人民共和国家标准银行业安全和其他金融

38、服务金融系统的安全框架GB/T 27911-2011 国由B每中国标准出版社出版发行北京市朝阳区和平里西街甲2号(100013)北京市西城区三里河北街16号(100045)网址总编室:(010)64275323发行中心:(010)51780235读者服务部:(010)68523946中国标准出版社秦皇岛印刷厂印刷各地新华书店经销当庭印张1.25 字数26千字2012年2月第一次印刷开本880X12301/16 2012年2月第一版峰书号:155066 1-44211 21. 00元如有印装差错由本社发行中心调换版权专有侵权必究举报电话:(010)68510107定价GB/T 27911-2011 打印H期:2012年3月5日F002A