谢宗晓 刘淑敏

（中国金融认证中心）

1 标准研发机构

全国金融标准化技术委员会（SAC/TC 180）负责金融业标准化技术归口管理工作和国际标准化组织中银行与相关金融业务标准化技术委员会（ISO/TC 68、ISO/TC 222）的归口管理工作。其中，ISO/TC 68和ISO/TC 222分别为金融服务（Financial services）与个人理财（Personal financial planning）。

SAC/TC 180下设证券、保险、印制3个分技术委员会，分别负责开展证券、保险、印制专业标准化工作。同时，设有7个工作组（WG），分别如表1所示。

表1 SAC/TC 180的工作组设置

据统计，截至2018年6月30日，SAC/TC 180共发布标准293项，其中国家标准63项，行业标准230项1）http://www.cfstc.org/jinbiaowei/2929586/index.html，根据SAC/TC 180官网发布的“金融标准目录”。。其中与信息安全相关的标准共36项，其中国家标准有17项，行业标准有19项。

截至2018年8月底，与SAC/TC 180对应的ISO/TC 68发布标准55项，在研标准10项2）https://www.iso.org/committee/49650.html，根据ISO官网的统计数据。，信息安全相关标准主要集中于ISO/TC 68/SC 2金融服务安全（Financial Services, Security），SC 2已经发布了74项，目前有效标准共17项，在研标准4项。ISO/TC 68/SC 2的架构，如表2所示。

表2 ISO/TC 68/SC 2的架构

续表 2

金融国家标准的17项均等同或修改采用ISO/TC 68/SC 2发布的标准，为了保持版本有效性，标识主要参考国际标准编号，或者说在本部分的介绍中，实际是按照ISO/TC 68/SC 2发布的标准为主线。

2 公钥基础设施（PKI）

ISO 21188：2018 Public key infrastructure for financial services—Practices and policy framework（《用于金融服务的公钥基础设施 实施和策略框架》）目前是唯一有效的PKI相关标准，之前存在的ISO 15782已经废止。但这两个标准关注点并不太一样，在ISO 21188：2006前言中也明确指出：ISO 15782第1和第2部分定义了供金融业使用的证书管理系统，但没有包括证书策略和认证业务要求。本标准制定了通过证书策略、认证业务说明、控制目标和控制程序来管理PKI的框架，对ISO 15782第1部分和第2部分进行补充。也就是说，作为行业应用，ISO 21188并不关注定义PKI。

表3是上述标准的版本演化及其与国家标准的对应关系。

表3 PKI相关标准版本演化及与国家标准的对应关系

3 密码及其应用

3.1 ISO/TR 19038：2005 Banking and related financial services—Triple DEA—Modes of operation— Implementation guidelines（《银行业务和相关金融业务 三重数据加密算法 操作模式实施指南》）

ISO/TR 1903：2005是算法的一种操作模式实现，在ISO/IEC 18033-3中定义了分组密码算法，在ISO/IEC 10116中给出了分组密码的操作模式。ISO/TR 19038：2005被修改采用为GB/T 27927—2011。

3.2 ISO/TR 14742：2010 Financial services—Recommendations on cryptographic algorithms and their use（ 《金融服务 密码算法及其使用建议》）

ISO/TR 14742：2010中的建议主要是针对算法选择和密钥长度等，但并不涉及密码算法本身。该标准目前尚无国家标准与之对应。该版本在2013年经评审后，依然有效，但目前正在改版中。

3.3 ISO 13491-1：2016 Financial services—Secure cryptographic devices (retail)—Part 1: Concepts, requirements and evaluation methods[《金融服务 安全加密设备（零售） 第1部分：概念、要求和评估方法》]

3.4 ISO 13491-2：2017 Financial services—Secure cryptographic devices (retail)—Part 2：Security compliance checklists for devices used in financial transactions [《金融服务 安全加密设备（零售） 第2部分：金融交易中设备安全符合性检测清单》]

ISO 13491-1：2016是关于安全加密设备（SCDs）的，依据的加密过程在ISO 9564、ISO 16609和 ISO 11568中定义。ISO 13491-1：2016之前的版本为ISO 13491-1：2007，被等同采用为GB/T 21079.1—2011，但是要注意，ISO 13491-1：2007的名称为Banking（银行业务）。

ISO 13491-2：2017版本变化则比较频繁，当然，这种检测清单类的标准改版都比较及时。ISO 13491-2：2017之 前 分 别 有 ISO 13491-2：2016，ISO 13491-2：2005 和 ISO 13491-2：2000。其中，ISO 13491-1：2005被修改采用为GB/T 20547.2—2006。

表4是上述标准的版本演化及其与国家标准的对应关系。

表4 密码及其应用ISO/TR 19038等相关标准版本演化及与国家标准的对应关系

续表 4

3.5 ISO 16609：2012 Financial services—Requirements for message authentication using symmetric techniques（《金融服务 采用对称加密技术进行报文鉴别的要求》）

ISO 16609：2012目前正在评审中。ISO 16609的发展过程与ISO 21188比较类似，中间经历了几次较大的改版。例如，ISO 8730和ISO 8731均已经停止更新，内容并入ISO 16609中。具体版本演化可以参考表5。其中，ISO 16609：2004被修改采用为 GB/T 27929—2011。

表5 ISO 16609版本演化及与国家标准的对应关系

4 密钥管理相关

4.1 ISO 11568-1：2005 Banking—Key management (retail)—Part 1：Principles [《银行业务 密钥管理（零售） 第1部分：一般原则》]

4.2 ISO 11568-2：2012 Financial services—Key management (retail)—Part 2：Symmetric ciphers, their key management and life cycle [《金融服务 密钥管理（零售） 第2部分：对称密码及其密钥管理和生命周期》]

4.3 ISO 11568-4：2007 Banking—Key management (retail)—Part 4：Asymmetric cryptosystems—Key management and life cycle[《银行业务 密钥管理（零售） 第4部分：非对称密码系统及其密钥管理和生命周期》]

ISO 11568本来一共有6部分，被废止的3部分如表6所示。

表6 被废止的ISO 11568的3部分

ISO 11568改版内容反复调整，如表7所示，ISO 11568-5和ISO 11568-6都被整合进其他部分，目前，该标准正在改版，将会被统一为ISO/AWI 11568 Financial services—Key management(retail)—Principles, symmetric ciphers and asymmetric cryptosystems, their key management and life cycle [《金融服务 密钥管理（零售） 原则、对称密码和非对称密码，及其密钥管理和生命周期》]。

ISO 11568主要部分版本与国家标准的对应关系如表7所示。

表7 ISO 11568主要部分版本与国家标准的对应关系

注意，国家标准GB/T 27909共有3部分，分别为：1）一般原则；2）对称密码及其密钥管理和生命周期；3）非对称密码系统及其密钥管理和生命周期。但是多出一个在用的国家标准，GB/T 21082.4—2007，对应的国际标准也是ISO 11568-4，这是因为ISO 11568-4：1998是关于公开密钥密码系统的，到了ISO 11568-4:2007却被修改成了关于非对称密码的，所以导致ISO 11568-4的不同版本对应2项完全不同的国家标准。

4.4 ISO 13492：2007 Financial services—Key management related data element—Application and usage of ISO 8583 data elements 53 and 96（《金融服务 密钥管理相关数据元 ISO 8583数据元53和96的应用和用途》）

ISO 13492：2007在2011年经过评审后依然有效，目前正在改版中，已经有最新版的ISO/DIS 13492 Financial services—Key management related data element—Application and usage of ISO 8583 data elements for encryption（《金融服务密钥管理相关数据元 用于加密的ISO 8583数据元的应用和用途》）。

ISO 13492:2007之前有版本ISO 13492:1998，该版本被等同采用为GB/T 21081—2007。

4.5 ISO 20038：2017 Banking and related financial services—Key wrap using AES（《银行及相关金融服务 密钥包》）

ISO 20038：2017定义了一种打包传输密钥的方法，目前ISO 20038：2017尚没有与之对应的国家标准。

上述2个标准的版本演化及与国家标准的对应关系如表8所示。

表8 密钥管理相关标准ISO 13492等版本演化及与国家标准的对应关系

5 信息安全/隐私管理

5.1 ISO/TR 13569：2005 Financial services—Information security guidelines（《金融服务 信息安全指南》）

ISO/TR 13569：2005是比较重要的金融信息安全管理标准，在本系列的其他文章中已经进行了详细的介绍。

5.2 ISO 19092：2008 Financial services—Biometrics—Security framework（《金融服务 生物特征识别 安全框架》）

ISO 19092：2008在2013年经过评审后版本依然有效，之前的版本ISO 19092-1：2006被修改采用为GB/T 27912—2011。

5.3 ISO/TR 21941：2017 Financial services—Third-party payment service providers（《金融服务 第三方支付服务供应商》）

ISO/TR 21941：2017目前尚没有国家标准与之对应。

上述3个标准的版本演化及与国家标准的对应关系如表9所示。

表9 信息安全/隐私管理标准ISO/TR 13569等版本演化及与国家标准的对应关系

5.4 ISO 9564-1：2017 Financial services—Personal Identification Number (PIN) management and security—Part 1：Basic principles and requirements for PINs in card-based systems（《银行业务 个人识别码的管理和安全 第1部分：卡基系统中联机PIN处理的基本原则和要求》）

5.5 ISO 9564-2：2014 Financial services—Personal Identification Number (PIN) management and security—Part 2：Approved algorithms for PIN encipherment（《银行业务 个人识别码的管理和安全 第2部分：核准的PIN加密算法》）

5.6 ISO 9564-4：2016 Financial services—Personal Identification Number (PIN) management and security—Part 4：Requirements for PINhandling in eCommerce for Payment Transactions（《银行业务 个人识别码的管理和安全 第4部分：电子商务支付业务中的PIN处理指南》）

ISO 9564本来有4部分，ISO 9564-3被废止，被并入ISO 9564-1：2011。

ISO 9564-1版本变化较多，其中ISO 9564-1：2002被修改采用为GB/T 21078.1—2007。同时需要注意，由于版本的时间关系，GB/T 21078共有3部分，其中，GB/T 21078.2—2011对应ISO 9564-3：2003，GB/T 21078.3—2011则对应ISO/TR 9564-4：2004。

ISO 9564的版本演化及与国家标准的对应关系如表10所示。

表10 ISO 9564各版本与国家标准的对应关系