GB/T20983-2007 信息安全技术网上银行系统信息安全保障评估准则

一、GB/T20983-2007 的主要内容

GB/T20983-2007 是我国针对网上银行系统信息安全保障评估的一个标准规范。该准则共分为七个部分，包括了安全管理、安全策略、身份认证、访问控制、数据保护、应急预案以及审计和监控等方面的内容。

在安全管理方面，该准则要求银行应当建立完善的安全管理机构，并对安全管理人员进行专业培训，明确各岗位职责，完善安全管理制度，确保银行信息系统的安全性和稳定性。

在安全策略方面，该准则要求银行应当根据不同的业务需求和风险等级，采取不同的安全策略，包括技术控制、管理控制和物理控制等多种方式。

在身份认证方面，该准则要求银行应当采用多种身份认证机制，包括口令认证、数字证书认证、生物识别认证等，以提高用户身份认证的可靠性。

在访问控制方面，该准则要求银行应当建立完善的访问控制机制，包括角色授权、权限控制、会话控制等，确保用户只能访问其所需的数据和功能。

在数据保护方面，该准则要求银行应当采取多种手段来保护用户数据，包括加密、备份、恢复等技术，并对数据进行分类处理，根据不同等级的数据设置不同的保护措施。

在应急预案方面，该准则要求银行应当建立完善的应急预案，包括灾难恢复计划、流程应急响应程序等，确保在突发事件发生时能够及时有效地处置。

在审计和监控方面，该准则要求银行应当建立完善的审计和监控机制，对系统运行情况进行实时监控、事件记录和报告，及时发现和处理安全事件。

二、GB/T20983-2007 的作用

GB/T20983-2007 是我国网上银行系统信息安全保障评估的一项重要标准。该标准规范了网上银行系统信息安全保障中的各个方面，为银行开展信息安全评估提供了具体的指导和参考。

通过遵循该标准，银行可以有效地提高其信息系统的安全性和稳定性，保护客户的资产和隐私，加强与客户的信任度和忠诚度。

三、总结三、总结

GB/T20983-2007 是我国网上银行系统信息安全保障评估的一个重要标准规范，包含了安全管理、安全策略、身份认证、访问控制、数据保护、应急预案以及审计和监控等方面的内容。该标准的遵循可以有效地提高网上银行系统的安全性和稳定性，保护客户的资产和隐私，加强与客户的信任度和忠诚度。

在实际运用中，银行应当根据自身情况进行合理的安全保障措施的选择和实施，并及时更新和完善相关的安全措施和流程，确保银行的信息安全水平能够持续不断地提高。