謝宗曉　李寬

美國國家標準協(xié)會（American National Standards Institute，ANSI）建立于1918年，是目前負責管理和協(xié)調(diào)美國推薦性標準（voluntary standards）和合格性評定體系（conformity assessment system）的機構(gòu)。

ANSI是一個私人的非營利組織，但其實際承擔了國家標準化的功能。但是，與ISO等機構(gòu)不同，ANSI是一個后建立的松散組織，或者說，本來已經(jīng)有了很多團體或者協(xié)會在從事標準化工作，但是為了統(tǒng)一協(xié)調(diào)，后建立了ANSI，因此其標準開發(fā)組織也呈現(xiàn)出分散、多元和自組織等特點，這些協(xié)會或團體，經(jīng)ANSI認可后就可以參與其中，即認可的標準委員會（Accredited Standards Committee），例如，ASC X9是為金融服務行業(yè)開發(fā)和發(fā)布標準的非營利組織。

由于上述原因，也帶來了另外一個問題，就是ANSI的標準分類維度并不統(tǒng)一，或者說，分類的設計并不完備。例如，ANSI的標準包1），有的是按照發(fā)布機構(gòu)，例如，X9標準集;有的是按照具體事項，例如，職業(yè)健康（Occupational Health & Safety，OHSAS）。

1 ASC X9機構(gòu)設置

ASC X9總部設在美國馬里蘭州的安那波利斯市（Annapolis），其工作職責類似于全國金融標準化技術(shù)委員會（SAC/TC 180）（以下簡稱金標委），不但負責金融行業(yè)的標準化工作，也負責與國際標準化組織ISO的對接，同時也是標準和行業(yè)之間的紐帶，如圖1所示。

ASC X9下設5個分委員會（subcommittee），其名稱與主要職能，如表1所示。

ASC X9F是本文中重點關(guān)注的分委員會。

同時，ASC X9負責對接ISO/TC 68 金融服務（financial services）、ISO/TC 321電子商務交易保障（transaction assurance in E-commerce）和ISO/TC 322 可持續(xù)金融（sustainable finance）。這和我國國家標準委對各個標委會的分工有一定的區(qū)別，金標委負責國際標準化組織下設的ISO/TC 68、ISO/TC 222（個人理財標準化技術(shù)委員會）及ISO/TC 322的歸口管理工作。

2 ASC X9發(fā)布的網(wǎng)絡安全標準及簡析

截至2020年底，ASC X9發(fā)布了125項美國國家標準（American National Standards），在本文中，主要介紹金融網(wǎng)絡安全相關(guān)標準，即ASC X9F正在開發(fā)和已經(jīng)發(fā)布的標準。按照我們的理解，將其分為4類，分別為支付安全;金融科技;通用安全;密碼技術(shù)。

按照上述分類及其包含的具體標準，如表2～表6所示。

其中，表2為支付安全標準，主要子類包括：支付敏感數(shù)據(jù)和標記化。

表3為金融科技標準，主要子類包括：零信任、云計算、量子計算和生物識別。

表4為通用安全標準，主要子類包括：通用框架、鑒別與授權(quán)、網(wǎng)絡攻防、無線安全、時間戳和數(shù)據(jù)安全。

表5為密碼技術(shù)標準，主要子類包括：對稱密碼、公鑰密碼、密碼協(xié)議、密鑰管理、隨機數(shù)、質(zhì)數(shù)證書和加密設備。

3 小結(jié)

在本文中，我們對ASC X9F正在開發(fā)和已經(jīng)發(fā)布的所有51項標準，按照支付安全、金融科技、通用安全和密碼技術(shù)進行了分類，并按照關(guān)鍵詞進行了子分類。整體而言，ASC X9截至目前發(fā)布了125項標準，ASC X9F還是最活躍的分委員會之一。從其標準分布來看，存在的問題和ISO/TC 68/SC 2是一致的，即技術(shù)安全相關(guān)的標準偏多，業(yè)務安全相關(guān)的標準相對較少。

ASC X9的工作模式，也給我國金融標準化工作以啟發(fā)。

一是積極參與并轉(zhuǎn)化應用國際標準。從目前看，ISO/TC 68的秘書就一直是ASC X9的人員，對ISO/TC 68重要的工作組，ASC X9也積極派專家參與?？梢哉f，這些標準中的主要技術(shù)內(nèi)容能夠確保與美國對相關(guān)方面的標準訴求兼容，加上語言的優(yōu)勢，可以實現(xiàn)國際標準的發(fā)布即轉(zhuǎn)化。

二是組織協(xié)調(diào)金融的各相關(guān)方，統(tǒng)籌制定相關(guān)的金融標準。從標準的數(shù)量上看，目前ASC X9組織制定的金融標準，僅為我國所制定金融國家標準和行業(yè)標準的一半，而標準的內(nèi)容則技術(shù)性十分強，標準化對象粒度劃分很細，各個標準之間也不易發(fā)生交集，易于落地和應用，也不會導致標準的應用者需要在多個標準之間再做比對、分析和選擇。

三是其下轄分委會的劃分，并未隨著ISO/TC 68的變更而改變，而是依舊保持了必要的業(yè)務條線對口關(guān)系。我國的金標委目前也是這樣的結(jié)構(gòu)，并進一步在秘書處建立了與ISO/TC 68各個分委會對應的專家組，這樣的多維管理結(jié)構(gòu)，目前看是與我國當前的金融標準化工作配套協(xié)調(diào)的。

四是ASC X9統(tǒng)籌對口金融服務和電子商務交易保障的標準化工作，可以做到對電子商務的全場景的標準化，對與商業(yè)場景相關(guān)的供應鏈金融的標準化十分有利。如果我們的金融標準和電子商務的標準能夠進一步的加強協(xié)調(diào)，必要時甚至可以組建聯(lián)合工作組，將可有效提高工作的協(xié)調(diào)性。

參考文獻

[1] 謝宗曉，李寬.歐盟網(wǎng)絡與信息安全監(jiān)管框架介紹[J].中國質(zhì)量與標準導報， 2019（11）：22-25.