《电子支付系统安全保护框架》是由多思公司承担的国家标准编制项目。2008年12月,全国信息安全标准化技术委员会批准多思开展该标准的预编制制订工作。2010年11月,全国信息安全标准化技术委员会正式批准多思公司制订《网络支付系统安全保护框架》国家标准。2010年12月,全国信息安全标准化技术委员会对该标准的预编制进行验收,经专家讨论通过评审验收。该项目由多思公司主持,人民银行科技司监管,农业银行实施示范。
该标准从电子支付应用角度,给出了电子支付系统的描述,包括电子支付系统基本架构、受保护资产和电子支付模式等内容;从假设与约束、电子支付系统的威胁和组织安全策略构成三个方面定义了电子支付系统的安全问题;在安全环境定义的基础上给出安全目的,安全目的主要由总体目标、电子支付系统安全保护模型、应用保护和设计保护组成;围绕安全目的,提出了一种安全保护技术,安全保护技术主要由安全功能要求和安全保证要求组成。
该标准的电子支付系统安全保护涵盖以下两个方面:
技术方面:电子支付系统安全保护涉及密码、网络防护、安全应用等技术。特别要关注电子支付系统的安全技术体系架构,形成长效和持续改进的安全保护机制;
能力方面:电子支付系统安全保护不仅要保护信息和资产的安全,更重要的是保护电子支付系统的安全,保护电子支付系统所支持的业务。
该标准制订具有重要意义:有利于指导电子支付系统安全保护的设计、实施和建设;有利于电子支付系统所有者编制其安全保护要求;有利于电子支付系统安全集成商和安全服务提供商提供更为科学规范化的设计和服务,促进信息安全市场的发展。
技术方面:网络支付系统安全保护涉及密码、网络防护、安全应用等技术。特别要关注网络支付系统的安全技术体系架构,形成长效和持续改进的安全保护机制;
能力方面:网络支付系统安全保护不仅要保护信息和资产的安全,更重要的是保护网络支付系统的安全,保护网络支付系统所支持的业务。
批复:
2008年12月,国家信息安全标准化委员会批准多思开展《网络支付安全标准》预编制研究。
2010年11月,全国信息安全标准化技术委员会正式下达的《网络支付系统安全保护框架》国家标准制订项目。
评审:
2010年12月,全国信息安全标准化技术委员会组织有关专家对《网络支付系统安全保护框架》验收,经专家审查和讨论,同意该课题通过验收。
意义:
有利于指导电子支付系统的安全设计、实施和建设。
为电子支付系统安全集成商和安全服务提供商提供更为科学规范化的设计和服务。
对产业发展具有强制性、规定性的作用。
保障电子支付系统的安全、自主、可控。