SAS简介 生产培训.ppt

SAS认证简介
SAS-Security Accreditation Scheme
安全保证方案
什么是SAS
SAS标准是通讯智能卡行业特殊的工业安全生产标准,是通讯智能卡行业中现有最高级别的安全和数据保护标准,旨在提高通讯高智能卡的整体安全性。其核心在于保证客户数据/信息的安全。
标准发布机构:GSM Association
认证管理机构: GSM Association
适用范围:通信智能卡
认证性质:自愿性认证
审核实施机构:Fraud Management Limited (FML)(英国)
ChaseWaterford (南非)
SAS的认证范围
卡片封装(含预个人化)
数据处理
卡片个人化
PIN封打印
其它增值服务(如封套包装等)
其他卡商获证情况
全球共有22家卡商取得了该认证
中国大陆有6家已获证:
Watchdata(北京)
Oberthur Card Systems(深圳)
Peace Smart Card (珠海)
Datang Microelectronics(北京)
Hengbao Danyang, China
Giesecke & Devrient (China)
Information Technologies Co., Ltd. Nanchang, China
SAS之安全目标
防止信息泄露,保持信息的秘密、完整和可用性
防止资产被盗、损失或不当使用
防止重卡、错位卡
寻找可能的或真实的安全违规并处理改正
防止一个客户的数据被披露给另外客户
SAS要求
制定安全手册,定义安全方针、目标和策略,让全体员工都知道
定期进行风险评估,识别、处理
做好应急计划(BCP)
定期进行内部审核。
SAS要求
明确的安全管理组织结构
定期的、跨职能团队的安全管理会议
责任:所有员工应对整个生产流程里处于他们管理下的敏感资产(物理资产和信息)负责……即每个阶段要明确保管责任
合同/保险:与客户的合同需明确损失的责任和义务,需要购买包括直接、间接损失的责任险。
SAS要求
对信息和其他资产分类,并根据不同类别的信息和资产有适当的处理方针
对敏感信息和资产的访问必须总是根据“需要知道”的原则
附件一:资产分类表(参考)
SAS要求
在岗位职责JD中明确安全职责
有明确的人员筛选政策:……信用调查、犯罪背景调查和2年一次的定期再调查
所有人员需要签订保密协议,并签署已接受安全政策
安全培训:入职、定期、特殊岗位人员
应有违反安全规定的处罚机制、有员工报告或秘密报告违反安全事件或怀疑的体制
离职手续。门禁、资产、钥匙、账户等
SAS要求5厂房安防设施
总体上和EMV的要求差不多,TV、运动探测、震动探测、图像分析等,但审核员把握的度会比较紧。有特别的地方将在以下提到。
应有紧急撤退时的保护和恢复机制。如指定人员监控、使用自动门等
安防设施的定期检查:第三方和自检,自检需定义方法、周期、记录等。
对由外面通向高安全区的门(如逃生门)的要求有些特别:多点锁(Multi-point locking system)、移动或切断铰链门不会被打开?Removal or cutting of hinges should not allow doors to be opened