适用范围：本标准规定了通过证书策略和认证业务说明对PKI进行管理，以及将公钥证书用于金融服务行业的要求框架。同时也定义了风险管理的控制目标和控制程序。 本标准适用于开放、封闭和契约环境中的PKI系统进行区分，并且根据金融服务行业信息系统控制目标进一步定义了运行的业务。本标准的目的在于帮助实施者定义支持多证书策略的PKI业务，包括数字签名、远程鉴别和数字加密的使用。 本标准使得契约环境中满足金融服务行业要求且基于PKI控制的业务的可操作性更易于实现。尽管本标准主要针对契约环境，但并不排除将文档应用于其他环境。文档中术语“证书”是指公钥证书。属性证书不在本标准范围之内。 本标准的目标是针对不同需求的多种使用者，因此每类使用者会关注不同的内容。 业务管理者和分析者是那些需要在开展的业务中使用PKI技术的人员，应关注第1～第6章。 技术设计者和实现者是那些编写他们的证书策略和认证业务说明的人员，应关注第6～第8章，以及附录A～附录F。 运行管理和审计者是那些负责PKI系统日常运行并根据本标准进行一致性检查的人员，应关注第6～第8章。

适用范围：GB/T 21079的本部分以ISO 9564、ISO 16609和ISO 11568中定义的密码方法为基础，规定了对安全密码设备（以下简称SCD）的要求。 本部分有以下两个主要目的： a)规定SCD的操作性要求和其在整个生命周期中的管理要求； b)对上述要求的符合性检查方法进行标准化。 SCD应具有合适的设备特性并进行适当的设备管理，前者保证了SCD的操作性能以及为其内部数据提供足够的保护；后者保证了SCD的合法性，即SCD不会以非授权的方式更改（如安装“侦听装置”等）且其中的任何敏感数据(如加密密钥)不会遭到泄漏或篡改。 绝对的安全性实际上是无法达到的。SCD的安全性依赖于在生命周期每个阶段中适当的管理和安全密码特性两者的有机结合。管理程序可以通过防范措施来降低SCD安全受到破坏的几率，目的是在设备本身特性不能阻止或检测安全攻击的情况下，提高发现非法访问敏感数据或机密数据的可能性。 附录A以资料性信息的形式，描述了本部分提及的适用于SCD安全级别的概念。 本部分没有涉及由SCD拒绝服务引发的问题，也没有涉及在金融零售业务中，不同SCD在设备特性和管理方面的具体要求，该部分内容见ISO 13491-2。 本部分适用于金融零售业务中安全密码设备的安全管理。

适用范围：本部分描述了在零售金融服务环境中，当使用对称密码机制时对称和非对称密钥的保护技术，也描述了与对称密钥相关的生命周期管理。本部分描述的技术符合GB/T 27909.1中描述的原则。 本部分描述的技术适用于任何对称密钥管理操作。

适用范围：本标准提供了金融业所必要的安全方面的标准框架。 本标准汇总了金融行业已出现的一些关键安全问题，以及针对每一个问题的相关现有标准。 本标准适用于金融机构在实施安全策略时的标准参考。

适用范围：XML是W3C（万维网标准化协会）定义的技术标准,可用来描述GB/T 27926标准化报文（即语法）。但XML在描述特定对象时（例如，GB/T 27926标准化报文）具有很大的灵活性，所以仅仅说明GB/T 27926标准化报文是使用XML来定义的是不够的，我们必需知道如何使用XML来定义它。 本部分包含一套XML设计规则，我们称之为GB/T 27926 XML。设计规则规定了标准化的报文是怎样描述为符合GB/T 27926标准的XML文档的。该标准化报文是根据GB/T 27926.3中的建模导则，由UML1） （统一建模语言）描述的报文定义来描述的。 根据W3C的定义，任何包含关联描述并符合描述中相应限制的XML文档都可以称作一个有效的XML文档（以下称为“XML实例”或“实例”）。这里的关联描述来源于最初的报文定义，是由UML描述的。 本部分同样描述如何将UML报文（部分）定义转换成W3C XML Schema。通过XML Schema,我们能够利用XML Schema解析器的验证功能来自动校验一个给定的实例是否符合报文定义中描述的约束（或其子集）。 DTD（文档类型定义）也可以用于检验XML实例与相应报文定义的部分一致性。但是由于DTD提供的验证功能具有一定局限性，本部分没有涉及XML DTD的内容。 注意，本部分只是解释了如何将报文定义图映射成XML。并没用解释如何生成一个报文定义图。该方面的信息见GB/T 27926.3建模导则。

适用范围：本标准给用户提供了为增强数据加密保护而安全有效地实施3DEA操作模式的技术支持和详细资料。本处描述的3DEA操作模式用于加密运算和解密运算。本标准所描述的模式是使用ISO/IEC 180333中规定的3DEA运算的分组密码操作模式（在ISO/IEC 10116中规定）的实现。 3DEA操作模式可用于金融批发业务和金融零售业务的应用系统。本标准为产品的互用性和使用3DEA操作模式的应用标准的开发提供了基础。本标准将和其他使用DEA的ISO标准一起使用。

适用范围：GB/T 27926的本部分规定了注册及维护GB/T 27926库中数据字典(DD)和业务过程目录(BPC)项的机构职责。注册机构(RA)是执行机构，它负责以上所述的工作，并由不同标准管理组(SMG)，即负责库中特定业务领域的行业专家组进行协助。注册管理组(RMG)负责管理整个注册程序，批准用户群、注册机构(RA)和标准管理组(SMG)，并监管注册程序的执行情况。

适用范围：本标准规定了来账账单中的数据元及其格式。同时规定了账单的编制、传送、核对以及参考号的使用规则。

适用范围：本部分规定了零售金融服务环境中使用非对称密码机制时，对称和非对称密钥的保护技术，也描述了与非对称密钥相关的生命周期管理。 本部分适用于技术符合GB/T 27909.1中描述的原则。 本部分的零售金融服务环境仅限于下述实体之间的接口： ——卡受理设备与收单方； ——收单方与发卡方； ——集成电路卡（ICC）与卡受理设备。

适用范围：本标准规定了金融业使用生物特征识别机制鉴别人员身份的安全框架，介绍了生物特征识别技术的类型，阐述了有关应用问题。本标准也描述了实现架构，详细规定了有效管理的最小安全要求，也为专业人员提供了控制目标和使用建议。

适用范围：GB/T 20543的本部分描述IBAN格式的注册机构、注册程序和注册结构，注册的IBAN格式应满足ISO 136161的要求。 本部分适用于使用IBAN的相关机构的注册管理。

适用范围：本标准为金融机构提供了制定信息安全方案的指南。该指南包括策略讨论，机构和方案的结构化法律法规组件。本标准探讨了在选择和实施安全控制措施方面应考虑的内容，以及在现代化金融服务机构中管理信息安全风险的要素，并给出了基于机构业务环境、实践和规程方面应考虑的建议。本标准还包括对法律法规符合性问题的讨论，这需要在方案的设计和实施阶段予以考虑。 本标准适用于金融机构制定信息安全方案时的参考。

适用范围：GB/T 27926的本部分包括以下内容： ——建模方法综述； ——库内容综述； ——注册机构（RA）接受的库输入的综述，该输入用于扩充/修改库中数据字典和业务过程目录； ——注册机构（RA）公开提供的库输出的综述。 符合GB/T 27926标准规范的业务交易和报文集可用于行业参与者（金融行业和其他行业）之间在任何通讯网络上的电子数据交换。与网络相关的规则，如，报文确认和报文保护的内容不包含在GB/T 27926的范围之内。

适用范围：本标准规定了社会保险服务的基本原则，以及服务体系、服务保障、服务提供、服务监督、评价与改进的基本要求。 本标准适用于各级社会保险经办机构的服务活动。社会保险主管部门依法指定、授权、委托，以及社会保险经办机构委托提供社会保险服务的机构可参照应用。

适用范围：业务分析的目的是为更好的理解业务领域和业务过程，并基于此制定符合GB/T 27926标准的业务交易和报文集： ——描述业务过程，包括业务角色及其对业务信息的需求，以帮助确定该过程各参与方间的信息交换问题。这些信息交换问题是进行下一阶段（需求分析）的主要动因； ——识别业务领域中使用的业务信息也非常重要，因为在后续阶段设计的报文会包括与该业务信息有关的数据元素。业务元素/组件和报文元素/组件间的明确联系有助于互操作性，也有助于以后的维护和变更管理：即如果业务领域内的某些因素发生变化时，就可能确定其对先前已定义的报文的影响。