| 数字金融服务的安全鉴证框架 |
 |
数字金融服务(DFS)涉及复杂的生态系统,不同的利益攸关方参与其中,这些利益攸关方包括:银行、DFS提供商、移动网络运营商(MNO)、DFS平台提供商、监管机构、代理、商家、支付服务提供商、设备制造商、应用程序开发者、令牌服务提供商、原始设备制造商(OEM)和客户。这些系统实体的互连互通以及对生态系统中若干方面的依赖将安全边界从DFS提供商扩展到了客户、网络提供商、移动电话制造商和生态系统中的其他第三方提供商。
DFS安全鉴证框架确定了适用于DFS利益攸关方面临的安全威胁和漏洞。电信管理部门、银行和支付监管机构等监管机构亦可利用DFS安全鉴证框架来为DFS提供商建立安全基准。
该框架一旦实施,将为DFS生态系统所涉利益攸关方的既有风险和信息安全管理做法提供补充。例如,本文件中的安全控制措施可纳入DFS提供商的信息通信技术(ICT)安全方案作为其组成部分。
ITU-T X.1150建议书描述了DFS安全鉴证框架,该框架提供了一个用于评估威胁和漏洞的系统性的安全风险管理流程,并确定了由DFS利益攸关方实施的适当安全控制措施。与商家、支付服务提供商和其他金融服务机构相关的威胁以及应对其所面临的威胁的具体缓解措施,不在本建议书的讨论范围之内。
DFS安全鉴证框架由以下部分组成:
a)基于ISO/IEC 27005的安全风险管理流程。
b)评估移动网络运营商和DFS提供商的底层基础设施、DFS应用程序、业务、网络运营和DFS交付生态系统中涉及的第三方提供商所面临的威胁和漏洞。
c)基于上述(b)项的结果制定缓解战略。缓解措施确定了针对安全威胁的119项安全控制要求,这些安全控制措施在本建议书第13节中进行了概述。
|
|
| Citation: |
https://handle.itu.int/11.1002/1000/15706 |
| Series title: |
X series: Data networks, open system communications and security
X.1100-X.1199: Secure applications and services (I)
X.1150-X.1159: Application Security (I) |
| Approval date: |
2024-03-01 |
| Provisional name: | X.saf-dfs |
| Approval process: | TAP |
|
Status: |
In force |
|
Maintenance responsibility: |
ITU-T Study Group 17 |
|
Further details: |
Patent statement(s)
Development history
|
|
|
| Ed. |
ITU-T Recommendation |
Status |
Summary |
Table of Contents |
Download |
|
1
|
X.1150 (03/2024)
|
In force
|
here
|
here
|
here
|
| Title |
Approved on |
Download |
|
Guidelines for identity-based cryptosystems used for cross-domain secure communications
|
2023
|
here
|
|
Overview of hybrid approaches for key exchange with quantum key distribution
|
2022
|
here
|
|
Guidelines for security management of using artificial intelligence technology
|
2022
|
here
|
|
Successful use of security standards (2nd edition)
|
2020
|
here
|
|
Description of the incubation mechanism and ways to improve it
|
2020
|
here
|
|
Strategic approaches to the transformation of security studies
|
2020
|
here
|
|
