金融行业信息安全相关国家标准简析

金融行业信息安全相关国家标准简析

谢宗晓 刘淑敏

【摘 要】摘要：论文主要介绍了SAC/TC 180发布的金融行业信息安全相关的国家标准，并重点梳理了对应国际标准的版本演化。 【期刊名称】中国质量与标准导报 【年(卷),期】2024(000)011 【总页数】7

【关键词】 信息安全 金融行业 SAC/TC 180 ISO/TC 68 谢宗晓 博士

“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。自2003年起，从事信息安全风险评估与信息安全管理体系的咨询与培训工作。目前，已发表论文80多篇，出版专著近20本。 信息安全管理系列之四十六

金融是信息化程度最高的行业之一，因此，标准化工作在其中的作用也是不言而喻的。下文中主要根据负责金融行业标准的SAC/TC 180所发布的国家标准为主线，逐一介绍了目前金融行业信息安全相关国家标准，由于这些标准都是采用国际标准，所以又重点梳理了对应国际标准的历次版本演化。 谢宗晓（特约编辑）

1 标准研发机构

全国金融标准化技术委员会（SAC/TC 180）负责金融业标准化技术归口管理工作和国际标准化组织中银行与相关金融业务标准化技术委员会（ISO/TC 68、ISO/TC 222）的归口管理工作。其中，ISO/TC 68和ISO/TC 222分别为金融

服务（Financial services）与个人理财（Personal financial planning）。 SAC/TC 180下设证券、保险、印制3个分技术委员会，分别负责开展证券、保险、印制专业标准化工作。同时，设有7个工作组（WG），分别如表1所示。 据统计，截至2024年6月30日，SAC/TC 180共发布标准293项，其中国家

标

准

63

项

，

行

业

标

准

230

项

1

）

http://www.cfstc.org/jinbiaowei/2929586/index.html，根据SAC/TC 180官网发布的“金融标准目录”。。其中与信息安全相关的标准共36项，其中国家标准有17项，行业标准有19项。

截至2024年8月底，与SAC/TC 180对应的ISO/TC 68发布标准55项，在研标准10项2）https://www.iso.org/committee/49650.html，根据ISO官网的统计数据。，信息安全相关标准主要集中于ISO/TC 68/SC 2金融服务安全（Financial Services, Security），SC 2已经发布了74项，目前有效标准共17项，在研标准4项。ISO/TC 68/SC 2的架构，如表2所示。

金融国家标准的17项均等同或修改采用ISO/TC 68/SC 2发布的标准，为了保持版本有效性，标识主要参考国际标准编号，或者说在本部分的介绍中，实际是按照ISO/TC 68/SC 2发布的标准为主线。

2 公钥基础设施（PKI）

ISO 21188：2024 Public key infrastructure for financial services—Practices and policy framework（《用于金融服务的公钥基础设施 实施和策略框架》）目前是唯一有效的PKI相关标准，之前存在的ISO 15782已经废止。但这两个标准关注点并不太一样，在ISO 21188：2006前言中也明确指出：ISO 15782第1和第2部分定义了供金融业使用的证书管理系统，但没有包括

证书策略和认证业务要求。本标准制定了通过证书策略、认证业务说明、控制目标和控制程序来管理PKI的框架，对ISO 15782第1部分和第2部分进行补充。也就是说，作为行业应用，ISO 21188并不关注定义PKI。 表3是上述标准的版本演化及其与国家标准的对应关系。

3 密码及其应用

3.1 ISO/TR 19038：2005 Banking and related financial services—Triple DEA—Modes of operation— Implementation guidelines（《银行业务和相关金融业务 三重数据加密算法 操作模式实施指南》）

ISO/TR 1903：2005是算法的一种操作模式实现，在ISO/IEC 18033-3中定义了分组密码算法，在ISO/IEC 10116中给出了分组密码的操作模式。ISO/TR 19038：2005被修改采用为GB/T 27927—2011。

3.2 ISO/TR 14742：2010 Financial services—Recommendations on cryptographic algorithms and their use（ 《金融服务 密码算法及其使用建议》）

ISO/TR 14742：2010中的建议主要是针对算法选择和密钥长度等，但并不涉及密码算法本身。该标准目前尚无国家标准与之对应。该版本在2013年经评审后，依然有效，但目前正在改版中。

3.3 ISO 13491-1：2016 Financial services—Secure cryptographic devices (retail)—Part 1: Concepts, requirements and evaluation methods[《金融服务 安全加密设备（零售） 第1部分：概念、要求和评估方法》]

3.4 ISO 13491-2：2017 Financial services—Secure cryptographic