金融服務安全國際標準發展及其分析

謝宗曉 董坤祥 甄杰

“十二五”國家重點圖書出版規劃項目《信息安全管理體系叢書》執行主編。自2003年起，從事信息安全風險評估與信息安全管理體系的咨詢與培訓工作。目前，已發表論文80多篇，出版專著近20本。

信息安全管理系列之五十五

在2018年11月刊的本專欄中[1]，我們介紹了金融信息安全標準的采標情況，因此，重點還是以國家標準為綱。本期分析ISO/TC 68/SC 2已經發布和正在開發的標準，目的是得出金融服務安全相關國際標準的發展趨勢，或者應該的發展方向。

謝宗曉（特約編輯）

Development and analysis of? ISO standards for financial service security

Xie Zongxiao （China Financial Certification Authority， CFCA）

Dong Kunxiang （School of Management Science and Engineering， Shandong University of Finance and Economics）

Zhen Jie （School of Business Planning， Chongqing Technology and Business University）

Abstract： This article? analyzes the 16 published standards and the 7 standards under development in ISO/TC 68/SC 2， suggests that subsequent development should be business-led. In terms of breadth， we should develop a generalized security model that does not stop at system security， and in terms of depth， we should step up to the level of business process and combine security control with it.

Key words： financial service， information security， standard

1 ISO/TC 68/SC 2的基本架構

ISO/TC 68為ISO金融服務（Financial Services）標準化技術委員會，成立于1972年，目前秘書處設在美國國家標準委員會（American National Standards Institute，ANSI），關于安全（Security）的分委員會SC 2成立于1981年，目前秘書處設在英國標準協會（British Standards Institution，BSI）。

我國金融標準化技術委員會（SAC/TC 180）是國家標準化管理委員會授權，在金融領域內從事全國性標準化工作的技術組織，負責金融業標準化技術歸口管理工作和國際標準化組織中銀行與相關金融業務標準化技術委員會（ISO/TC 68、TC 222）的歸口管理工作。

ISO/TC 68/SC 2全稱為ISO金融服務技術委員會 安全分會（Financial Services， Security）1），主要有5個工作組（WG），具體如表1所示。

2 ISO/TC 68/SC 2發布及開發中標準綜述

截至2019年6月底，ISO/TC 68/SC 2發布且有效的標準16項，開發中的標準7項。在表2和表3中，我們對這些標準逐一進行了介紹，并在后續給出大致的分析。

3 金融信息安全標準開發存在的問題

3.1 關于ISO 11568的合并

ISO 11568共有6個部分，統稱為密鑰管理。目前有效的有：第1部分（原則）、第2部分（對稱密碼及其密鑰管理和生命周期）以及第4部分（非對稱密碼系統及其密鑰管理和生命周期）。已經被廢止的也有3個部分：第3部分（對稱密碼的生命周期），并入了第2部分、第5部分（非對稱密碼的生命周期）并入了第4部分，以及第6部分（密鑰管理框架）。整體而言，密鑰管理和生命周期合并是合理的。

但是，最新發布的ISO CD 11568計劃將目前有效的幾個部分都融合在一起，且在正文的描述中，初始密鑰的生成應用的是AES DUKPT（Derived Unique Key Per Transaction），但是，在我國的金融應用中，3DES和AES會被SM4及相關算法替代。這種合并存在一定的問題，應該盡量避免在密鑰管理的標準中，過度綁定具體的加密算法，這已經背離了密鑰管理過程控制的本意。

如果密鑰管理與算法綁定，在國家標準采標的過程中會存在諸多問題，據Trish McGinness介紹，Australian Payments Network是澳大利亞目前的監管機構，就是參考ISO 11568確定被允許的密碼算法，如果一旦算法和密鑰管理綁定，那么這種參考就變得沒有意義。例如，PCI DSS3）也涉及加密算法，但同時也接受其他方法的等效性。就是說，不用具體到某種加密算法。

國家標準大多為等同采用或者修改采用。在之前的ISO 11568架構中，原則作為第一部分，之后又包括了對稱密碼的和非對稱密碼等要求。在相應的國家標準的開發過程中，這種架構是有益的。據我們所知，不止中國對密碼采用強監管，美國和俄羅斯等國家也一樣。換句話說，既然密碼算法都是強監管，國際標準最多會以修改采用的形式被各國所采用，而不可能是等同采用形式采用。那么，在未來的開發中，應該考慮盡量地模塊化，從而以最小的代價被修改。如果一定以大一統的形式發布某個標準，例如ISO 11568，不但不會使該標準應用范圍更加廣泛，相反，只能導致更多的國家棄用該標準。

形如ISO 11568這類標準，只要涉及密碼算法，就必須國產化，最小改動成本是，將國外算法替換為SM國產系列算法，這也是目前絕大部分ISO/IEC JTC 1/SC 27的常見辦法。對算法安全性而言，只能有國家密碼管理局等相關單位才能界定，其他機構目前尚無這樣的能力。

3.2 關于ISO/TR 13569的撤銷

ISO/TR 13569：2005在國際標準化2018年（第三十八次）會議上已經被廢止了，在某種程度上已經失去了討論的意義。之所以又重提，是因為在金融領域，其框架與ISO/IEC 27002保持兼容的標準有2個：ISO/TR 13569：2005和ISO/IEC TR 27015：2012。

但是ISO/IEC TR 27015：2012早于ISO/TR 13569：2005就被廢止了，業內影響較大的網站4）在分析原因的時候，認為安全還是業務為主，因為有ISO/TR 13569：2005導致ISO/IEC TR 27015：2012失去了推廣意義。就標準合法性而言，他們認為，這會導致在本已經是嚴格監管的環境中，增加了合規負擔。

上述理由有一定的道理，既然是金融信息安全，就應該是為了保證金融業務的順利進行，那么，由金融行業的信息安全專家負責，應該會比信息安全專家負責，更合理一些。事實上，對比ISO/IEC TR 27015：2012和ISO/TR 13569：2005，這也得到了印證，ISO/IEC TR 27015幾乎沒有提到任何可能的金融業務，更沒有公司治理。當然，在ISO/IEC 27000中沒有提治理結構等，這不難理解，因為這種現狀存在于絕大部分組織中5），ISO/IEC 27001針對所有的組織是通用的。但是金融機構對治理是比較重視的，這在BASELⅢ或者MAS TRMG6）中都有明確的體現。或者說，從治理結構開始要求，然后考慮金融機構的業務信息安全，是有必要的。

金融行業是強監管的，這毫無疑問，因為合規壓力大，并導致產生了監管科技（Regtech）7），但是，如果因此就將相關標準廢止了，是把因果關系搞反了。因為合規壓力大，絕對不是源自推薦性標準，而技術報告（Technical Report，TR）的發布，是想指導金融機構合規，而不是在本就已經混亂的監管中，增加一項監管。

3.3 關于ISO 21188的開發

關于ISO 21188：2018是否需要交由ISO/IEC JTC 1/SC 27曾經被討論過，ISO/IEC 27000標準中確實有關于行業應用的，例如，上文中我們提到的ISO/IEC TR 27015：2012，就是專門關于金融行業的ISO/IEC 27001應用，但是屬于兩碼事。從標準結構來看，區別很大。

當然，這其中有一個問題，ISO 21188中討論的PKI金融特征也不明顯。不過，即便如此，醫療行業的也是單獨出的，例如，ISO 17090-5：2017《醫療信息 公鑰基礎設施》（Health informatics —Public key infrastructure），除非是都歸屬到ISO/IEC JTC 1/SC 27。

但是，值得注意的是，ISO/IEC JTC 1/SC 27已經立項了ISO/IEC WD 27099《公鑰基礎設施 實踐與策略框架》（Public key infrastructure — Practices and policy framework）。

4 金融信息安全標準應該轉向業務主導

ISO/TC 68/SC 2已經發布和正在開發的所有標準，統計信息如表4所示。

從表4中可以看出，密碼相關的標準占據了主流，發布了9項，加上實際ISO 9564-2：2014也是關于密碼算法的，一共有10項。當然，這也符合目前信息安全領域的情況，即密碼學依然是信息安全的重中之重。但是問題在于，這里面的諸多標準并沒有明顯的金融特征，與金融業務的聯系并不緊密。

在后續的開發中，應該是按照這樣的順序考慮。第一層是算法，算法必須是公開的，應該均由ISO/IEC JTC 1/SC 27處理是肯定的;第二層是密碼算法的選擇和應用，ISO/TR 14742：2010關注密碼算法的使用建議ISO 9564-2：2014給出了核準的PIN加密算法;第三層是相關的設備要求，不同的行業有不同的應用場景，那么必然會開發不同的設備，例如國內的密碼產品檢測制度;第四層是相應的管理要求，密鑰必須是保密的，討論的是管理流程，不同的行業，應該有不同的管理要求，也需要考慮行業的實際情況。第二層、第三層和第四層應該是ISO/TC 68/SC 2關注的重點。

更重要的是，密碼只能解決安全的一部分，更多的安全問題是與業務流程結合在一起，例如，電信詐騙。在金融信息安全領域，最亟待解決的問題是，應該有業務安全的基本框架，在這個基本框架的基礎上，分析主營業務的流程，并將安全控制整合其中。可以考慮開發金融業務安全的“最佳實踐”，這其中不僅包括信息安全，也要包括業務邏輯設計安全，業務參數安全管理等。

綜上所述，金融信息安全標準與主營業務的結合仍然停留在表面，發展到現在，絕大部分金融業務的功能都是比較成型的，這意味著業務流程也比較固定了，從深度而言，安全控制應該轉向業務主導，到流程層面，從廣度而言，系統安全僅僅是金融服務安全的一部分，絕對不是全部，應該開發更為全面的基于業務的安全框架。

參考文獻

[1] 謝宗曉，劉淑敏.金融行業信息安全相關國家標準簡析[J].中國質量與標準導報， 2018（11）：28-34.

[2] 謝宗曉，周常寶.信息安全治理及其標準介紹[J].中國標準導?報，2015（10）：38-40，45.

[3] 賈海云，謝宗曉.基于全面風險管理視角的金融網絡安全管理標準框架[J].中國質量與標準導報， 2018（8）：24-28.