本标准规定了通过证书策略和认证业务说明对PKI进行管理,以及将公钥证书用于金融服务行业的要求框架。同时也定义了风险管理的控制目标和控制程序。本标准适用于开放、封闭和契约环境中的PKI系统进行区分,并且根据金融服务行业信息系统控制目标进一步定义了运行的业务。本标准的目的在于帮助实施者定义支持多证书策略的PKI业务,包括数字签名、远程鉴别和数字加密的使用。本标准使得契约环境中满足金融服务行业要求且基于PKI控制的业务的可操作性更易于实现。尽管本标准主要针对契约环境,但并不排除将文档应用于其他环境。文档中术语证书是指公钥证书。属性证书不在本标准范围之内。本标准的目标是针对不同需求的多种使用者,因此每类使用者会关注不同的内容。业务管理者和分析者是那些需要在开展的业务中使用PKI技术的人员,应关注第1第6章。技术设计者和实现者是那些编写他们的证书策略和认证业务说明的人员,应关注第6第8章,以及附录A附录F。运行管理和审计者是那些负责PKI系统日常运行并根据本标准进行一致性检查的人员,应关注第6第8章。
