远程赌博和软件技术标准（RTS）

远程赌博和软件技术标准（RTS）的安全要求

安全需求概述

4.1本节概述牌照持有人必须符合的即时交易系统保安规定。委员会根据ISO/IEC 27001:2022标准附件A的相关章节制定了安全要求。

4.2本2022年标准取代ISO/IEC 27001:2013。

4.3证监会制定保安标准的目的，是确保客户不会因选择参与远程赌博而面临不必要的保安风险。委员会强调了那些对实现委员会目标最关键的系统，以及适用于这些关键系统的安全标准：

• 记录、存储、处理、共享、传输或检索敏感客户信息的电子系统，例如信用卡/借记卡详细信息、认证信息、客户账户余额
• 生成、传输或处理随机数的电子系统，用于决定游戏或虚拟事件的结果
• 存储结果或客户赌博的当前状态的电子系统
• 进入和退出上述系统的点（能够与核心关键系统直接通信的其他系统）
• 传输敏感客户信息的通信网络。

组织控制

5.1信息安全政策5.10信息和其他相关资产的可接受使用5.15访问控制5.16身份管理5.17认证信息5.18访问权限5.19供应商关系中的信息安全5.20处理供应商协议中的信息安全5.21管理ICT供应链中的信息安全5.22监控5.23使用云服务的信息安全5.24信息安全事件管理的规划和准备5.25信息安全事件的评估和决策5.26信息安全事件的响应5.28证据收集5.35信息安全的独立审查

人控制

6.3信息安全意识、教育和培训6.5终止或离职后的责任6.7远程办公6.8信息安全事件报告

物理控制

7.8设备选址和保护7.10存储介质7.14设备的安全处置或再利用

技术控制

8.1用户终端设备8.2特权访问权限8.3信息访问限制8.5安全认证8.7恶意软件防护8.13信息备份8.15日志记录8.17时钟同步8.18特权实用程序使用8.20网络安全8.21网络服务安全8.22网络隔离8.24加密使用8.25安全的开发生命周期8.26应用安全要求8.27安全的系统架构和工程原理8.29开发和验收中的安全测试8.30外包开发8.31开发、测试和生产环境分离8.32变更管理8.33测试信息

前一节
3 -远程赌博和软件技术标准 下一节
5 -附件