謝宗曉 劉淑敏

（中國(guó)金融認(rèn)證中心）

1 標(biāo)準(zhǔn)研發(fā)機(jī)構(gòu)

全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC 180）負(fù)責(zé)金融業(yè)標(biāo)準(zhǔn)化技術(shù)歸口管理工作和國(guó)際標(biāo)準(zhǔn)化組織中銀行與相關(guān)金融業(yè)務(wù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)（ISO/TC 68、ISO/TC 222）的歸口管理工作。其中，ISO/TC 68和ISO/TC 222分別為金融服務(wù)（Financial services）與個(gè)人理財(cái)（Personal financial planning）。

SAC/TC 180下設(shè)證券、保險(xiǎn)、印制3個(gè)分技術(shù)委員會(huì)，分別負(fù)責(zé)開(kāi)展證券、保險(xiǎn)、印制專業(yè)標(biāo)準(zhǔn)化工作。同時(shí)，設(shè)有7個(gè)工作組（WG），分別如表1所示。

表1 SAC/TC 180的工作組設(shè)置

據(jù)統(tǒng)計(jì)，截至2018年6月30日，SAC/TC 180共發(fā)布標(biāo)準(zhǔn)293項(xiàng)，其中國(guó)家標(biāo)準(zhǔn)63項(xiàng)，行業(yè)標(biāo)準(zhǔn)230項(xiàng)1）http://www.cfstc.org/jinbiaowei/2929586/index.html，根據(jù)SAC/TC 180官網(wǎng)發(fā)布的“金融標(biāo)準(zhǔn)目錄”。。其中與信息安全相關(guān)的標(biāo)準(zhǔn)共36項(xiàng)，其中國(guó)家標(biāo)準(zhǔn)有17項(xiàng)，行業(yè)標(biāo)準(zhǔn)有19項(xiàng)。

截至2018年8月底，與SAC/TC 180對(duì)應(yīng)的ISO/TC 68發(fā)布標(biāo)準(zhǔn)55項(xiàng)，在研標(biāo)準(zhǔn)10項(xiàng)2）https://www.iso.org/committee/49650.html，根據(jù)ISO官網(wǎng)的統(tǒng)計(jì)數(shù)據(jù)。，信息安全相關(guān)標(biāo)準(zhǔn)主要集中于ISO/TC 68/SC 2金融服務(wù)安全（Financial Services, Security），SC 2已經(jīng)發(fā)布了74項(xiàng)，目前有效標(biāo)準(zhǔn)共17項(xiàng)，在研標(biāo)準(zhǔn)4項(xiàng)。ISO/TC 68/SC 2的架構(gòu)，如表2所示。

表2 ISO/TC 68/SC 2的架構(gòu)

續(xù)表 2

金融國(guó)家標(biāo)準(zhǔn)的17項(xiàng)均等同或修改采用ISO/TC 68/SC 2發(fā)布的標(biāo)準(zhǔn)，為了保持版本有效性，標(biāo)識(shí)主要參考國(guó)際標(biāo)準(zhǔn)編號(hào)，或者說(shuō)在本部分的介紹中，實(shí)際是按照ISO/TC 68/SC 2發(fā)布的標(biāo)準(zhǔn)為主線。

2 公鑰基礎(chǔ)設(shè)施（PKI）

ISO 21188：2018 Public key infrastructure for financial services—Practices and policy framework（《用于金融服務(wù)的公鑰基礎(chǔ)設(shè)施 實(shí)施和策略框架》）目前是唯一有效的PKI相關(guān)標(biāo)準(zhǔn)，之前存在的ISO 15782已經(jīng)廢止。但這兩個(gè)標(biāo)準(zhǔn)關(guān)注點(diǎn)并不太一樣，在ISO 21188：2006前言中也明確指出：ISO 15782第1和第2部分定義了供金融業(yè)使用的證書管理系統(tǒng)，但沒(méi)有包括證書策略和認(rèn)證業(yè)務(wù)要求。本標(biāo)準(zhǔn)制定了通過(guò)證書策略、認(rèn)證業(yè)務(wù)說(shuō)明、控制目標(biāo)和控制程序來(lái)管理PKI的框架，對(duì)ISO 15782第1部分和第2部分進(jìn)行補(bǔ)充。也就是說(shuō)，作為行業(yè)應(yīng)用，ISO 21188并不關(guān)注定義PKI。

表3是上述標(biāo)準(zhǔn)的版本演化及其與國(guó)家標(biāo)準(zhǔn)的對(duì)應(yīng)關(guān)系。

表3 PKI相關(guān)標(biāo)準(zhǔn)版本演化及與國(guó)家標(biāo)準(zhǔn)的對(duì)應(yīng)關(guān)系

3 密碼及其應(yīng)用

3.1 ISO/TR 19038：2005 Banking and related financial services—Triple DEA—Modes of operation— Implementation guidelines（《銀行業(yè)務(wù)和相關(guān)金融業(yè)務(wù) 三重?cái)?shù)據(jù)加密算法 操作模式實(shí)施指南》）

ISO/TR 1903：2005是算法的一種操作模式實(shí)現(xiàn)，在ISO/IEC 18033-3中定義了分組密碼算法，在ISO/IEC 10116中給出了分組密碼的操作模式。ISO/TR 19038：2005被修改采用為GB/T 27927—2011。

3.2 ISO/TR 14742：2010 Financial services—Recommendations on cryptographic algorithms and their use（ 《金融服務(wù) 密碼算法及其使用建議》）

ISO/TR 14742：2010中的建議主要是針對(duì)算法選擇和密鑰長(zhǎng)度等，但并不涉及密碼算法本身。該標(biāo)準(zhǔn)目前尚無(wú)國(guó)家標(biāo)準(zhǔn)與之對(duì)應(yīng)。該版本在2013年經(jīng)評(píng)審后，依然有效，但目前正在改版中。

3.3 ISO 13491-1：2016 Financial services—Secure cryptographic devices (retail)—Part 1: Concepts, requirements and evaluation methods[《金融服務(wù) 安全加密設(shè)備（零售） 第1部分：概念、要求和評(píng)估方法》]

3.4 ISO 13491-2：2017 Financial services—Secure cryptographic devices (retail)—Part 2：Security compliance checklists for devices used in financial transactions [《金融服務(wù) 安全加密設(shè)備（零售） 第2部分：金融交易中設(shè)備安全符合性檢測(cè)清單》]

ISO 13491-1：2016是關(guān)于安全加密設(shè)備（SCDs）的，依據(jù)的加密過(guò)程在ISO 9564、ISO 16609和 ISO 11568中定義。ISO 13491-1：2016之前的版本為ISO 13491-1：2007，被等同采用為GB/T 21079.1—2011，但是要注意，ISO 13491-1：2007的名稱為Banking（銀行業(yè)務(wù)）。

ISO 13491-2：2017版本變化則比較頻繁，當(dāng)然，這種檢測(cè)清單類的標(biāo)準(zhǔn)改版都比較及時(shí)。ISO 13491-2：2017之 前 分 別 有 ISO 13491-2：2016，ISO 13491-2：2005 和 ISO 13491-2：2000。其中，ISO 13491-1：2005被修改采用為GB/T 20547.2—2006。

表4是上述標(biāo)準(zhǔn)的版本演化及其與國(guó)家標(biāo)準(zhǔn)的對(duì)應(yīng)關(guān)系。

表4 密碼及其應(yīng)用ISO/TR 19038等相關(guān)標(biāo)準(zhǔn)版本演化及與國(guó)家標(biāo)準(zhǔn)的對(duì)應(yīng)關(guān)系

續(xù)表 4

3.5 ISO 16609：2012 Financial services—Requirements for message authentication using symmetric techniques（《金融服務(wù) 采用對(duì)稱加密技術(shù)進(jìn)行報(bào)文鑒別的要求》）

ISO 16609：2012目前正在評(píng)審中。ISO 16609的發(fā)展過(guò)程與ISO 21188比較類似，中間經(jīng)歷了幾次較大的改版。例如，ISO 8730和ISO 8731均已經(jīng)停止更新，內(nèi)容并入ISO 16609中。具體版本演化可以參考表5。其中，ISO 16609：2004被修改采用為 GB/T 27929—2011。

表5 ISO 16609版本演化及與國(guó)家標(biāo)準(zhǔn)的對(duì)應(yīng)關(guān)系

4 密鑰管理相關(guān)

4.1 ISO 11568-1：2005 Banking—Key management (retail)—Part 1：Principles [《銀行業(yè)務(wù) 密鑰管理（零售） 第1部分：一般原則》]

4.2 ISO 11568-2：2012 Financial services—Key management (retail)—Part 2：Symmetric ciphers, their key management and life cycle [《金融服務(wù) 密鑰管理（零售） 第2部分：對(duì)稱密碼及其密鑰管理和生命周期》]

4.3 ISO 11568-4：2007 Banking—Key management (retail)—Part 4：Asymmetric cryptosystems—Key management and life cycle[《銀行業(yè)務(wù) 密鑰管理（零售） 第4部分：非對(duì)稱密碼系統(tǒng)及其密鑰管理和生命周期》]

ISO 11568本來(lái)一共有6部分，被廢止的3部分如表6所示。

表6 被廢止的ISO 11568的3部分

ISO 11568改版內(nèi)容反復(fù)調(diào)整，如表7所示，ISO 11568-5和ISO 11568-6都被整合進(jìn)其他部分，目前，該標(biāo)準(zhǔn)正在改版，將會(huì)被統(tǒng)一為ISO/AWI 11568 Financial services—Key management(retail)—Principles, symmetric ciphers and asymmetric cryptosystems, their key management and life cycle [《金融服務(wù) 密鑰管理（零售） 原則、對(duì)稱密碼和非對(duì)稱密碼，及其密鑰管理和生命周期》]。

ISO 11568主要部分版本與國(guó)家標(biāo)準(zhǔn)的對(duì)應(yīng)關(guān)系如表7所示。

表7 ISO 11568主要部分版本與國(guó)家標(biāo)準(zhǔn)的對(duì)應(yīng)關(guān)系

注意，國(guó)家標(biāo)準(zhǔn)GB/T 27909共有3部分，分別為：1）一般原則；2）對(duì)稱密碼及其密鑰管理和生命周期；3）非對(duì)稱密碼系統(tǒng)及其密鑰管理和生命周期。但是多出一個(gè)在用的國(guó)家標(biāo)準(zhǔn)，GB/T 21082.4—2007，對(duì)應(yīng)的國(guó)際標(biāo)準(zhǔn)也是ISO 11568-4，這是因?yàn)镮SO 11568-4：1998是關(guān)于公開(kāi)密鑰密碼系統(tǒng)的，到了ISO 11568-4:2007卻被修改成了關(guān)于非對(duì)稱密碼的，所以導(dǎo)致ISO 11568-4的不同版本對(duì)應(yīng)2項(xiàng)完全不同的國(guó)家標(biāo)準(zhǔn)。

4.4 ISO 13492：2007 Financial services—Key management related data element—Application and usage of ISO 8583 data elements 53 and 96（《金融服務(wù) 密鑰管理相關(guān)數(shù)據(jù)元 ISO 8583數(shù)據(jù)元53和96的應(yīng)用和用途》）

ISO 13492：2007在2011年經(jīng)過(guò)評(píng)審后依然有效，目前正在改版中，已經(jīng)有最新版的ISO/DIS 13492 Financial services—Key management related data element—Application and usage of ISO 8583 data elements for encryption（《金融服務(wù)密鑰管理相關(guān)數(shù)據(jù)元 用于加密的ISO 8583數(shù)據(jù)元的應(yīng)用和用途》）。

ISO 13492:2007之前有版本ISO 13492:1998，該版本被等同采用為GB/T 21081—2007。

4.5 ISO 20038：2017 Banking and related financial services—Key wrap using AES（《銀行及相關(guān)金融服務(wù) 密鑰包》）

ISO 20038：2017定義了一種打包傳輸密鑰的方法，目前ISO 20038：2017尚沒(méi)有與之對(duì)應(yīng)的國(guó)家標(biāo)準(zhǔn)。

上述2個(gè)標(biāo)準(zhǔn)的版本演化及與國(guó)家標(biāo)準(zhǔn)的對(duì)應(yīng)關(guān)系如表8所示。

表8 密鑰管理相關(guān)標(biāo)準(zhǔn)ISO 13492等版本演化及與國(guó)家標(biāo)準(zhǔn)的對(duì)應(yīng)關(guān)系

5 信息安全/隱私管理

5.1 ISO/TR 13569：2005 Financial services—Information security guidelines（《金融服務(wù) 信息安全指南》）

ISO/TR 13569：2005是比較重要的金融信息安全管理標(biāo)準(zhǔn)，在本系列的其他文章中已經(jīng)進(jìn)行了詳細(xì)的介紹。

5.2 ISO 19092：2008 Financial services—Biometrics—Security framework（《金融服務(wù) 生物特征識(shí)別 安全框架》）

ISO 19092：2008在2013年經(jīng)過(guò)評(píng)審后版本依然有效，之前的版本ISO 19092-1：2006被修改采用為GB/T 27912—2011。

5.3 ISO/TR 21941：2017 Financial services—Third-party payment service providers（《金融服務(wù) 第三方支付服務(wù)供應(yīng)商》）

ISO/TR 21941：2017目前尚沒(méi)有國(guó)家標(biāo)準(zhǔn)與之對(duì)應(yīng)。

上述3個(gè)標(biāo)準(zhǔn)的版本演化及與國(guó)家標(biāo)準(zhǔn)的對(duì)應(yīng)關(guān)系如表9所示。

表9 信息安全/隱私管理標(biāo)準(zhǔn)ISO/TR 13569等版本演化及與國(guó)家標(biāo)準(zhǔn)的對(duì)應(yīng)關(guān)系

5.4 ISO 9564-1：2017 Financial services—Personal Identification Number (PIN) management and security—Part 1：Basic principles and requirements for PINs in card-based systems（《銀行業(yè)務(wù) 個(gè)人識(shí)別碼的管理和安全 第1部分：卡基系統(tǒng)中聯(lián)機(jī)PIN處理的基本原則和要求》）

5.5 ISO 9564-2：2014 Financial services—Personal Identification Number (PIN) management and security—Part 2：Approved algorithms for PIN encipherment（《銀行業(yè)務(wù) 個(gè)人識(shí)別碼的管理和安全 第2部分：核準(zhǔn)的PIN加密算法》）

5.6 ISO 9564-4：2016 Financial services—Personal Identification Number (PIN) management and security—Part 4：Requirements for PINhandling in eCommerce for Payment Transactions（《銀行業(yè)務(wù) 個(gè)人識(shí)別碼的管理和安全 第4部分：電子商務(wù)支付業(yè)務(wù)中的PIN處理指南》）

ISO 9564本來(lái)有4部分，ISO 9564-3被廢止，被并入ISO 9564-1：2011。

ISO 9564-1版本變化較多，其中ISO 9564-1：2002被修改采用為GB/T 21078.1—2007。同時(shí)需要注意，由于版本的時(shí)間關(guān)系，GB/T 21078共有3部分，其中，GB/T 21078.2—2011對(duì)應(yīng)ISO 9564-3：2003，GB/T 21078.3—2011則對(duì)應(yīng)ISO/TR 9564-4：2004。

ISO 9564的版本演化及與國(guó)家標(biāo)準(zhǔn)的對(duì)應(yīng)關(guān)系如表10所示。

表10 ISO 9564各版本與國(guó)家標(biāo)準(zhǔn)的對(duì)應(yīng)關(guān)系