银联卡个人化企业认证调查问卷.docx

银联卡个人化企业认证安全调查问卷发布版本：V1.0发布时间：2009年6月银联卡个人化企业企业安全评估调查问卷一、填表人基本信息单位名称（单位公章）联系人联系方式座机号码： ；手机号码：传 真E-MAIL 地址二、生产企业基本信息机构性质法人机构所在地境内分支机构数量及地点知识产权（发卡系统）保密级别三、系统基本情况核心服务器服务器用途服务器设备名称及配置提供商名称服务器操作系统名称当前版本更新时间业务终端设备名称提供商名称操作系统名称当前版本更新时间软件系统名称当前版本更新时间系统开发商系统维护商后台数据库数据库类型当前版本更新时间管理单位名称管理员防火墙厂商型号当前版本路由器厂商型号当前版本四、企业业务基本情况（请简述企业的业务，包括说明卡片个人化过程中贵企业所处的角色） 五、问题调查（勾选方式，遇到无关内容的问题填写“无”）1 数据管理1.1 数据传输(1) 数据信息传送使用的方式：专线数据盘邮递人工递送其他(2) 如果是专线方式，回答下面问题：(a) 企业是否设置单独的数据接收服务器否 是(b) 传输规定是如何规定的，是否安全否 是(c) 传输规定能否保证数据的完整性和安全性，如何保证的否 是，保证方法或手段_(d) 个人化企业与发卡机构间的个人化数据是否加密传输否 是(e) 是通过软件加密还是硬件加密软件加密硬件加密模块(f) 如果是软件加密则密钥长度是64 128 128以上(g) 对数据进行加密保护使用的机制是对称加密机制非对称加密机制其他_(h) 签名和密钥交换使用的机制是对称加密机制非对称加密机制其他_(i) 是否专门对通讯日志进行保管否 是(j) 如果需要获取通讯日志，是否需要审批并填写使用记录否 是(k) 是否允许将通讯日志带离现场否 是(3) 如果采用数据盘或人工邮递方式，回答下列问题：(a) 是否对邮递机构或运输手段进行筛选否 是，筛选标准_(b) 是否验证递送人员身份否 是，验证方式_(c) 使用此种方式存储的数据的格式是：明文 密文 (d) 能否验证其真实性和完整性否 是，验证方式_(e) 存储介质有无专门的封装是 否(f) 有无措施来保证信息免受未经授权的公开或修改是 否1.2 数据安全(1) 如果采用专线方式传输数据，数据的接收和转移是否需要两名或以上人员同时操作是 否(2) 数据转移之后是否删除设备上数据是 否(3) 上述操作是否进行操作记录是 否(4) 如果采用数据盘邮递方式进行数据传输，生产企业是否需要两名或以上人员同时操作：操作流程否 是(5) 生产企业对转移至个人化处理网络的数据进行处理时，可否允许出现明文数据 是 否(6) 如果允许出现明文数据，请回答下列问题：(a) 是否事先有发卡机构的书面许可 是 否(b) 现场是否有安全管理员监督 是 否(c) 是否进行详细的记录备案 是 否(d) 记录备案信息的内容包括： 操作人员姓名 处理时间 数据处理原因 数据所属发卡行名 结束时间 安全管理员签名 其它_(7) 完成加工后的个人化数据是否在安全管理人员监督下及时删除或销毁是 否，原因_(8) 对持卡人或发卡机构相关信息的存取有无限制措施 有 无(9) 对持卡人数据的修改是否需要发卡机构的书面批准，修改是否有记录 是 否2 网络管理2.1 通讯方式(1) 现在使用的与数据提供机构之间接入方式是专线基于专网的MPLS基于Internet其他 (2) 如果使用Internet，是否采用了IPSEC/SSL等安全协议没有有(3) 从生产环境中获取通讯日志是否需要办理审批手续不是 是如果需要，则出示流程单样本和以往的流程单存档记录没有 有(4) 将通讯日志带离现场是否需要更加严格的审批不是 是如果需要，能否提供审批单样本和以往的审批存档记录没有 有2.2 个人化网络安全(1) 个人化网络是否在物理和逻辑上均同与个人化过程无关的设备隔离没有 有(2) 是否已经制订与个人化网络安全相关的制度和流程没有 有(3) 是否阻止未授权的对个人化网络的访问和接入没有 有2.3 防火墙及防入侵(1) 所有接入互联网的系统是否都安装防火墙没有 有(2) 防火墙是否安装在互联网接入点与DMZ区之间、DMZ区与内部网络之间没有 有(3) 存储、处理卡片个人化数据信息的系统与不可信网络连接点是否布置防火墙没有 有(4) 如果有无线网络，无线网络与存储、处理账户信息的相关系统之间是否安装了边界防火墙没有 有(5) 是否建立了防火墙的管理规范，并且指定专人负责维护防火墙的配置与管理不是 是(6) 当前网络拓扑图是否记录了连接到持卡人数据的所有连接（包括所有无线网络连接）。不是 是(7) 在所有外部网络连接点以及隔离区（DMZ）与内部网络区域之间是否均配置了防火墙不是 是(8) 防火墙网络组件逻辑管理的组、角色和职责描述是否清晰明确不是 是(9) 防火墙配置标准是否包括一个业务必需的服务和端口清单文件不是 是(10) 防火墙配置标准是否包括任何可用协议（不仅限于 HTTP、SSL、SSH 和 VPN）的审批和记录规定。不是 是(11) 防火墙配置标准是否包括任何风险性协议（如 FTP）的审批和记录规定，并且说明使用此类协议的原因以及已采取的安全措施。不是 是(12) 是否建立了路由器的管理规范。不是 是(13) 防火墙配置标准是否要求每季度复审防火墙和路由器的规则设置。不是 是(14) 是否建立了一个防火墙配置用来拒绝来自不可信网络和主机的所有通信，个人化数据环境必需的协议除外不是 是(15) 任何存储有持卡人数据的系统（及其组成部分）与公共服务器之间的任何连接（包括无线连接），是否都有防火墙配置对其进行限制不是 是(16) 互联网访问控制文档中是否限制了通过互联网访问DMZ区IP的流量不是 是(17) 是否禁止通过互联网访问内部网络IP地址不是 是(18) 防火墙的规则设置中是否屏蔽了所有RFC1918(包括3个网段：10.0.0.010.255.255.255;172.16.0.0172.31.255.255;192.168.0.0192.168.255.255)中所定义的内部IP地址对DMZ区的访问不是 是(19) 检查防火墙是否执行状态检查（动态包过滤）不是 是(20) 数据服务器是否放置于内部网络，并通过防火墙与DMZ区隔离。不是 是(21) 是否限制持卡人数据环境的入站和出站流量，仅允许必需的流量不是 是(22) 是否将路由器配置文件同步化。例如，运行配置文件（路由器在正常工作状态下使用的配置文件）和初始化配置文件（当路由器重新启动时会使用）应具有相同的安全配置不是 是(23) 任何与互联网直接相连、又被用于访问组织（内部）网络的移动电脑和员工所有的电脑（比如，员工使用的笔记本电脑）上是否安装并启用个人防火墙系统，以及是否按照组织规定的标准对防火墙进行了配置而且员工无法修改配置。不是 是(24) 是否禁止任何存储持卡人数据的内部网络和系统组件（比如，数据库，日志，跟踪文件） 被外部网络间接/直接地公开访问。不是 是(25) 是否建立一个DMZ以过滤和并屏蔽所有流量，禁止为Internet流量提供直接的入站和出站路由不是 是(26) 是否限制源自支付卡应用、目的地为DMZ区IP地址的出站流量不是 是(27) 是否实施IP伪装以防止内部地址被识别并被暴露在Internet上不是 是(28) 对于上面的样本防火墙/路由器组件，检查是否采用了 NAT、PAT或其他使用 RFC 1918 地址空间的技术，以限制将IP地址从内部网络广播到互联网（IP 伪装）。不是 是(29) 是否定期对路由配置和防火墙策略进行检查，对路由器和防火墙的事件日志、入侵检测（防御）设备的告警事件进行分析和处理不是 是(30) 是否建立对所有的路由配置和防火墙策略的批准、测试和变更的正式流程，路由配置和防火墙策略在每次变更后是否及时归档不是 是(31) 是否对登录网络及网络安全设备的用户进行身份鉴别，严格控制可以修改网络及网络安全设备配置的账号不是 是(32) 是否及时进行网络及网络安全设备的补丁安装和版本升级，及时更新入侵检测（防御）系统的防护知识库不是 是(33) 是否拨号访问网络方式不是 是(34) 如果有拨号网络访问方式a) 是否对拨号用户严格访问控制不是 是b) 每个用户须设置口令是否相同不是 是c) 口令最短长度是多少不是 是d) 口令是否定期修改不是 是e) 是否允许外部公司拨号或其他方式的远程维护连接不是 是f) 是否定期或在网络发生重大变更后，对安全控制措施、网络连接和限制措施进行渗透性测试或漏洞扫描对网络及网络安全设备系统设置、补丁配置和已知的漏洞进行检查，并确认没有内部用户私自连接到外部网络，外部访问不能非授权进入内部网络。不是 是g) 是否在网络边界处布防入侵检测（防御）设备，监视可能的攻击行为，记录入侵事件的发生，并报警正在发生的入侵事件。不是 是h) 防火墙（系统、软件、配置文件、数据库文件等）是否备份，以便在系统崩溃时数据、配置文件可以及时恢复。备份的数据和文件必须妥善保存，确保其安全性，只允许授权的人员接触。不是 是i) 一旦防火墙被入侵，防火墙管理员是否针对检测到的攻击重新配置防火墙。不是 是j) 在没有防火墙保护的情况下，个人化系统是否可以与外网IP或Internet相连。不是 是2.4 系统补丁管理(1) 对于样本系统组件、关键服务器、无线接入点和相关的软件，每个系统上是否安装了供应商最新提供的补丁。不是 是(2) 是否建立安全策略，要求在两个月内安装所有相关的新安全补丁。不是 是(3) 是否建立与更新、升级相关的安全策略，否要求更新和升级必须经过审批（不是,是），并且详细登记升级软件的版权（不是,是）、来源（不是,是）、版本(不是,是)等信息。不是 是(4) 是否对所有变更（包括补丁），在部署到实际生产环境之前都进行测试，是否出具测试报告。没有 有2.5 防病毒管理(1) 是否采用防病毒软件来保护整个个人化网络否 是(2) 任何进入个人化网络的文件、软件或数据在进入前是否要用防病毒软件进行检测否 是(3) ，是否已经制定必要策略定期对个人化网络进行扫描不是 是(4) 是否在所有系统中部署防病毒软件（UNIX及大型主机系统除外）不是 是(5) 是否严格限制下载和使用免费软件或共享软件（如果具有监控下载和使用的软件系统也可以）不是 是(6) 是否要求（或者防病毒软件设置了）所有外部存储介质（软盘、移动硬盘和U盘）在使用前，必须进行病毒扫描不是 是(7) 是否要求及时更新防病毒软件和病毒库不是 是(8) 防病软件的宿主系统是否支持自动更新和定期扫描，以及样本系统组件、关键服务器和无线接入点是否启用了这些功能不是 是(9) 是否支持日志生成以及是否根据组织的信息保留策略对日志进行了保留不是 是2.6 客户和第三方的访问控制(1) 提供给客户和第三方的访问接口是否根据许可范围进行设置，第三方和客户只能够看到允许其访问的内容否 是(2) 对外提供的访问接口是否只允许使用授权的通信协议、指令和通道否 是(3) 是否定期对有访问权限的客户或第三方的帐号进行检查否 是有无检查记录(4) 是否严格控制有访问许可的网络连接所提供的服务，不允许客户或第三方利用该网络连接相互通讯不是 是2.7 远程访问控制(1) 是否拒绝超出业务范围的远程访问权限申请不是 是(2) 其是否对正常业务范围的远程访问权限申请进行记录，并按照规定时间回收远程访问权限不是 是(3) 是否禁用了不必要或不安全的服务（如匿名FTP服务、Telnet服务等）禁用了不必要或不安全的服务不是 是(4) 是否严格限制远程网络或者无线接入设备接入关键网络内，是否具有审批流程不是 是(5) 每台接入设备是否进行了备案。不是 是(6) 是否禁用了供应商支持和维护系统所使用的账户，仅在需要时才启用此账户不是 是(7) 供应商支持和维护系统所使用的账户是否在使用之后及时关闭不是 是(8) 是否对供应商支持和维护系统所使用的账户的使用情况进行监控不是 是，如果进行了监控，提供监控的日志文件位置 。(9) 检查使用策略是否禁止在本地硬盘、软盘或其它外部介质上存储持卡人数据。不是 是(10) 使用策略中是否禁止在远程访问中使用剪切、粘贴和打印功能。不是 是(11) 检查是否实现了作用于所有远程网络访问的双因素认证机制没有 有，如果有，请说明双因素认证机制 (12) 检查远程登录操作文档记录，验证其是否包含下面的几项内容：u 远程访问人员没有 有u 工作内容没有 有u 持续时间没有 有u 监督人的签字确认没有 有(13) 是否使用SSL/TLS技术对无线管理界面的管理员访问进行了加密。管理员是否能够远程连接到无线管理界面（所有无线环境的管理都只能在控制台上进行）不是 是(14) 是否每一台服务器只承担一项主要功能（例如，Web服务器、数据库服务器和DNS 应该被分别部署在不同的服务器上）不是 是3 机房及系统安全（略）4 访问控制及审核4.1 用户权限控制(1) 所有对网络、系统和数据资源是否均是有工作需要否 有(2) 有无完善的用户访问管理机制，且是否按照“因需知晓”进行访问控制没有 有(3) 是否有用户访问管理机制明确了各个级别用户的权限和责任没有 有(4) 是否有权限分配规定。没有 有(5) 权限的分配是否使用了“双人控制”原则不是 是4.2 用户名管理(1) 同一系统内的用户是否根据性质和用途遵循同一的命名规则不是 是4.3 登录控制(1) 是否建立有关认证方法的文档说明，是否至少采用下面的一种认证方式l 口令没有 有l 令牌（如Secure ID、证书等）没有 有l 生物特征没有 有不需要 需要(2) 是否对普通用户登录鉴别失败3次后锁定不是 是(3) 是否使用鉴别失败系统告警提示机制不是 是(4) 普通用户不活动时间超过5分钟是否自动登出不是 是(5) 是否严格限制远程登录（远程拨号或VPN）操作范围和审批程序不是 是4.4 密码管理(1) 密码是否满足如下规则a) 长度不少于6位；b) 至少包含1个字母，1个数字c) 密码至少包含3个不相同的字符；d) 每季度更换一次密码；e) 禁止使用最近4次曾使用过的密码；不是 是(2) 是否不同的账号使用了不同的初始密码，以及使用什么策略。没有 有，使用的策略 (3) 对于样本系统组件、关键服务器和无线接入点，系统口令的长度是否被设置为不低于6个字符。不是 是(4) 对于样本系统组件、关键服务器和无线接入点，系统口令的长度是否被设置为必须包含字母和数字。不是 是(5) 对于服务提供商是否要求客户口令必须符合最低口令长度规定。没有 有(6) 对于服务提供商，是否要求客户口令必须包含字母和数字。没有 有(7) 用户重置密码是否有安全机制；不是 是(8) 系统强制修改初始密码；不得以明文方式显示、存储和传输密码；不是 是(9) 是否使用系统和产品在安装时生成的缺省密码。不是 是(10) 选择一个样本系统组件、关键服务器，是否已经更改了默认的账户和口令。没有 有(11) 选择一个样本无线接入点，检查下列相关的供应商默认设置：u 安装时是否更改了WEP密钥，知晓密钥的员工离开组织或转换工作岗位时否更改了WEP 密钥。不是 是u 是否更改了默认SSID。不是 是u 是否禁止了SSID广播。不是 是u 是否更改了接入点的默认SNMP社区字符串。不是 是u 是否更改了接入点的默认口令。不是 是u 如果无线系统支持WPA，是否启用了WPA或WPA2 技术。不是 是u 是否更改了其他与安全相关的无线供应商默认设置（如果适用）。不是 是(12) 对账户的增加、删除、修改或者变更权限的审批历史记录是否经过了严格的审批。没有 有(13) 检查权限更改记录，对下面的情况是否明确或者记录了权限回收时间。a)临时修改没有 有b)离职没有 有c)岗位变动没有 有(14) 是否对于连续90天未使用的账号应予以权限冻结；冻结后30天仍未使用的，予以注销不是 是(15) 首次登陆应是否强制要求修改密码没有 有(16) 对于样本系统组件、关键服务器和无线接入点：u是否禁用或移用了公用用户ID和账户没有 有u是否不存在可执行系统管理活动和其他关键功能的共享用户 ID没有 有u是否禁用使用共享和公用的用户ID管理无线LAN和设备没有 有(17) 口令策略/程序中是否明确地禁止共享口令没有 有(18) 是否禁止发送共享口令，即使接收到请求时也禁止不是 是(19) 是否强制要求用户定期更改登录密码，修改周期最长不得超过3个月没有 有，使用的策略 (20) 对于服务提供商，是否要求定期修改客户口令，以及是否为客户提供了口令修改指导，这些指导说明了在何时以及哪些情况必须修改口令不是 是(21) 是否对密码进行加密保护，密码明文不会以任何形式出现不是 是(22) 是否在重置用户密码前对用户身份进行核实，以及核实方法。不是 是，核实方法 (23) 是否进行了用户登录错误次数限制。不是 是，限制几次 。(24) 如果对登录错误次数有限制，则核实用户登录限制数是否是5次（超过就会锁定）。不是 是(25) 对于样本系统组件、关键服务器和无线接入点，系统/会话空闲超时是否被设置为10分钟或更短。不是 是4.5 安全审计(1) 是否启用了审计功能不是 是(2) 日志是否记录用户登录系统的时间和方式不是 是(3) 日志是否记录失败的访问尝试不是 是(4) 日志是否记录对关键目录的访问或执行关键操作的记录（与系统安全相关的事件）不是 是(5) 现场检查日志，确定是否定期统计用户访问系统资源的记录信息并反馈用户进行确认和评估不是 是(6) 进行内部或外部审计的周期无 一年一次 一季度一次 其他(7) 是否对设备进行了安全测试，以确保控制方法能够识别并阻止安全区域内的非授权访问企图。（例如：每季度使用一次无线分析工具识别所有无线设备）。不是 是(8) 每年是否委托由中国银联认可的有资质的第三方机构进行定期扫描不是 是(9) 下列网络重大变更后是否扫描：u 安装新的设备不是 是u 网络拓扑结构调整不是 是u 调整防火墙配置不是 是u 应用系统升级不是 是(10) 弱点扫描是否通过。不是 是(11) 每年是否委托由中国银联认可的有资质的第三方机构进行定期渗透测试不是 是(12) 下列网络重大变更后是否进行渗透测试：u 操作系统升级不是 是u 应用系统升级不是 是u 网络拓扑变更不是 是u WEB服务器变更不是 是(13) 渗透测试是否通过。不是 是(14) 是否安装了入侵检测系统。不是 是(15) 是否部署了文件完整性监控软件或者人工对核心文件监控和管理。不是 是(16) 是否配置文件完整性监控软件或者按照流程人为对关键文件定期进行比较。不是 是(17) 对核心文件的修改是否需要授权。不是 是(18) 监控和管理的核心文件是否包括下面的几类。u 防火墙配置文件不是 是u 交换机配置文件不是 是u 路由器配置文件不是 是4.6 日志管理如果建立了日志记录及审核机制（没有 有），请完成下面的评估内容。(1) 日志记录和管理机制中是否包含下面的内容。u 用户对敏感信息的访问没有 有u 登录系统的方式没有 有u 失败的访问尝试没有 有u 系统管理员的操作没有 有u 对系统日志的访问没有 有u 其他涉及账户信息安全的系统记录没有 有(1) 检查组织内的正确时间捕获和发送流程以及样本系统组件、关键服务器和无线接入点的时间相关系统参数设置，是否包含并且实施了时间同步过程。不是 是(2) 是否使用了NTP或类似技术进行时间同步。不是 是如果使用了NTP技术，检查运行的网络时间协议（NTP）是否为最新版本。不是 是(3) 是否只有审计用户可以访问或更改审计日志不是 是(4) 是否仅允许有工作需要的人员查看评估追踪记录。不是 是(5) 评估追踪记录是否被及时备份到集中的日志服务器上或难以更改的介质上。不是 是(6) 是否将无线网络的日志复制到了一台位于内部局域网的日志服务器上。不是 是(7) 是否使用文件完整性监视和变更检测软件保护日志，确保已有的日志被改变时产生报警（当然，在已有的日志中添加数据，不应触发报警）。不是 是(8) 是否每天复审所有系统的日志。不是 是(9) 日志复审是否包含那些执行安全功能的服务器，例如入侵检测（IDS）、身份验证、授权和记账协议（AAA）服务器（例如，RADIUS）。不是 是(10) 是否对所有系统组件进行了定期日志审查。不是 是(11) 是否要求日志至少保留一年。不是 是5 加工过程及安全管理5.1 磁条卡个人化(1) 数据的加解密过程和数据转换过程是否均在硬件加密设备（HSM）中进行不是 是(2) 当个人化设备向卡片写入数据时，是否采用了加密且个人化设备能够识别的格式不是 是(3) 当个人化设备向卡片写入数据时，设备操作人员是否可以在设备上读出明文数据不是 是5.2 IC卡初始化及其安全(1) 当IC卡初始化设备向IC卡发送初始化命令和指令时，是否对发送的指令和数据进行加解密和MAC校验不是 是(2) 加解密过程是否与硬件安全模块（HSM）相连不是 是(3) KENC、KDEC、KMAC密钥值对每一片卡是否是唯一的，且并在生成者密钥的保护下放在卡上不是 是(4) 如果KENC、KDEC、KMAC密钥值不能放在卡上，其物理存取是否有严格限制不是 是(5) 对卡片的访问是否必须通过一个16位或以上的口令保护不是 是(6) IC卡初始化操作是否必须位于工厂的高安全区不是 是5.3 IC卡个人化（一）数据准备安全要求(1) 数据准备的全过程是否在与硬件安全模块相连的数据处理设备上进行不是 是(2) 密钥的导入导出是否符合EMV2000 支付系统集成电路规范和中国金融集成电路（IC）卡规范不是 是（二） 个人化处理安全要求(3) 个人化处理是否必须位于工厂的高安全区并满足所有安全要求及程序不是 是(4) 个人化处理是否达到银联标识卡生产企业安全管理指南中的要求不是 是5.4 流程安全要求（一）个人化加工操作程序(1) 个人化加工操作程序是否作为正式的文档不是 是(2) 对个人化加工操作程序的改动要经过相关管理者的授权不是 是(3) 操作程序文档是否详细说明具体执行每项工作时的工作流程不是 是(4) 操作程序文档是否包含个人化设备操作过程，数据信息处理和处置过程，错误或异常情况操作指导及设备使用限制不是 是（二） 个人化处理过程控制(1) 个人化处理过程中，卡片和持卡人信息能否暴露给任何无关人员不是 是(2) 个人化处理过程中，个人化数据内容能否修改不是 是(3) 在各工序交接过程中，负责统计卡片的其他部门人员是否预先知道数目不是 是(4) 个人化处理过程是否严格执行数字管理不是 是(5) 有无每个工单/分批的主要审查控制记录不是 是(6) 审查控制记录的内容是否包括施工单号、发卡人名称、卡片类型等不是 是(7) 对于控制记录中的每一项处理功能，是否包含以下记录内容：最初发放数量、上一期的卡剩余量、卡移交数量、退回仓库的卡片数、废卡数量、样卡/试验卡数量、个人化作业设备及其工作记录、操作员签名、日期、时间、审查人签名等不是 是(8) 控制记录是否记录了所有个人化加工处理设备故障不是 是(9) 设备故障记录是否至少保存3个月不是 是(10) 设备故障记录是否包括以下内容：操作者姓名、审查者签名、设备说明/号码、施工单号、日期、时间、故障发生原因等不是 是(11) 制卡过程中，打卡和生产现场是否必须保证两人以上不是 是(12) 系统登录是否必须进行双重控制不是 是(13) 制卡结束后是否强制删除个人化设备上的文件不是 是（三）凸字箔、寄卡单和UG色带管理(1) 是否建立了使用箔数详细目录登记表，并根据销毁数目进行核查不是 是(2) 认使用过的箔销毁前是否存储在双管区域内不是 是(3) 是否建立了凸字箔销毁日志不是 是(4) 销毁日志是否包括卷（筒）数、日期、证明销毁的双人签名等内容不是 是(5) 所有包括持卡人信息的箔在从打卡机上取下后是否在双重监视下及时销毁不是 是(6) 寄卡单和UG色带是否应采取与凸字箔同样的安全控制不是 是（四）个人化卡片管理(1) 是否建立了完善的白卡档案和数量管理系统不是 是(2) 当天是否有过出库或入库的卡种，当天是否经过数量核对不是 是(3) 已出库但未使用的卡片须在个人化处理完成前是否必需退回金库保存不是 是(4) 正在加工的卡片是否有授权员工/操作员的看管并确保其安全不是 是(5) 尚未个人化处理的卡片（白卡）是否均在双重控制下存储在金库，非授权员工不得接近不是 是(6) 已个人化卡片是否采用可追踪的安全邮寄方式不是 是6 密钥管理6.1密钥描述（一）个人化密钥描述(1) 在IC卡之外执行的一切加密和解密操作是否在硬件安全模块（HSM）上进行不是 是(2) 在IC卡卡片个人化之前，是否创建KMC（个人化主密钥）、KENC（加密分散密钥）、KMAC（校验码分散密钥）、KDEK（密钥加密分散密钥）不是 是(3) 在IC卡上是否必须存在个人化主密钥的版本号不是 是(4) KMC（个人化主密钥）对每个发卡行是否是独有的不是 是(5) KENC（加密分散密钥）对每张卡片是否是独有的不是 是(6) KMAC（校验码分散密钥）对每张卡片是否是独有的不是 是(7) KDEK（密钥加密分散密钥）对每张卡片是否是独有的不是 是（二）卡片密钥(1) 密钥由发卡行还是个人化企业产生发卡行 个人化企业 其他_(2) 若密钥由发卡行产生，是否遵循公钥传输给中国金融集成电路（IC）卡认证机构，私钥被保存在发卡行的HSM（主机加密模块）内是 否(3) 如果密钥由个人化企业处理，密钥管理是否符合本银联标识卡生产企业逻辑安全管理指南要求是 否（三）传输密钥(1) 是否采用KEK（密钥交换密钥）对发卡行与个人化数据准备设备之间传输的机密数据进行加密不是 是(2) KEK是否对每个发卡行都是独有的不是 是(3) KEK是否定期进行更改不是 是(4) 数据准备设备和个人化设备之间的PIN和其他机密数据是否使用数据加密密钥（DEK）/传输密钥（TK）进行加密不是 是(5) 在数据准备系统和个人化系统之间是否使用校验码密钥（MAC KEY）来保证个人化文件的完整性不是 是6.2 密钥和加密数据传输（一） 发卡行到个人化企业(1) 接收来自发卡行的个人化文件时，文件信息的存储是否安全不是 是(2) 访问个人化文件信息的权利必须严格审核不是 是(3) 完成个人化之后，是否将系统内的数据安全清除不是 是(4) KEK解译成TK是否在硬件安全模块（HSM）上完成不是 是(5) 数据准备系统是否至少位于一个能够控制数据存取的中间安全区，并将数据访问权局限于业务需求者不是 是(6) 加密过程的安全要求是否适合于给定的数据组及IC卡用途，而且无论是在数据准备过程中，还是在个人化设备相关的本机处理过程中，都与相应的加密过程协调一致不是 是（二）个人化过程中的安全要求在个人化处理阶段，个人化设备：(1) 执行IC卡的KDEK推算过程是否均在硬件安全模块（HSM）上不是 是(2) 将个人化文件中的机密信息从传输密钥TK解译成KDEK，以便将其传送给卡片，这一解译过程是否均在HSM上执行不是 是(3) 个人化设备是否位于高安全区且符合中国金融集成电路（IC）卡生产安全标准规定的一切安全要求和程序要求不是 是6.3 密钥操作6.3.1 非对称（RSA）密钥（一） 基本评估(1) RSA密钥模数位的长度是否组成公共/私有密钥模数，例如：768、896、1024和1152不是 是(2) 是否从物理上保障私有（签名）密钥不受未经授权的访问不是 是（二）非对称密钥生成(1) 当生成RSA公/私钥对时，是否在安全的受保护的硬件加密设备（HSM）中完成不是 是(2) HSM是否包含一个随机或伪随机数字生成器，执行原始校验过程不是 是(3) HSM是否支持篡改响应机制不是 是(4) 密钥生成是否利用一个随机或伪随机过程，以保证不可能预测出任何密钥或者确定密钥空间中的某些密钥比其它任意密钥可能性更大不是 是(5) 个人计算机或其它类似的不安全设备，即不能被完全信任的设备，是否可用来生成RSA公/私钥对不是 是