标准详情
JR/T 0213-2021《金融网络安全 Web应用服务安全测试通用规范》基本信息
标准号:JR/T 0213-2021
中文名称:《金融网络安全 Web应用服务安全测试通用规范》
发布日期:2021-02-10
实施日期:2021-02-10
发布部门:中国人民银行
提出单位:中国人民银行
归口单位:全国金融标准化技术委员会(SAC/TC 180)
起草单位:中国人民银行科技司、公安部第一研究所、中国金融电子化公司、北京长亭未来科技有限公司、中国银联股份有限公司、农信银资金清算中心有限责任公司等
起草人:李伟、陈立吾、沈筱彦、车珍、昝新、夏磊、王涛、胡光俊、唐辉、马男、王陶然、尹振玺、曹岳、张耀峰、李海威、侯漫丽等
中国标准分类号:A11金融、保险
国际标准分类号:35.240.40信息技术在银行中的应用
JR/T 0213-2021《金融网络安全 Web应用服务安全测试通用规范》介绍
中国人民银行发布了JR/T 0213-2021《金融网络安全 Web应用服务安全测试通用规范》(以下简称“本标准”)。本标准自2021年2月10日起正式实施。
一、标准适用范围
本标准适用于金融行业Web应用服务的安全测试,包括但不限于银行、证券、保险、基金、支付、互联网金融等金融机构。本标准也适用于金融行业相关监管部门、安全测试机构、第三方安全服务提供商等。
二、标准主要内容
1、安全测试目标
本标准明确了金融网络安全Web应用服务安全测试的目标,即通过安全测试发现Web应用服务中存在的安全漏洞、配置缺陷、安全风险等问题,为金融机构提供安全防护措施和建议。
2、安全测试原则
本标准提出了金融网络安全Web应用服务安全测试应遵循的原则,包括合法性、全面性、客观性、系统性、可追溯性和有效性。
3、安全测试分类
本标准将安全测试分为黑盒测试、白盒测试和灰盒测试三种类型。黑盒测试主要关注Web应用服务的输入输出行为,白盒测试主要关注源代码和设计文档,灰盒测试则结合了黑盒测试和白盒测试的特点。
4、安全测试方法
本标准提出了金融网络安全Web应用服务安全测试的方法,包括静态测试、动态测试、渗透测试、配置核查、代码审计等。
5、安全测试流程
本标准规定了金融网络安全Web应用服务安全测试的流程,包括测试准备、测试实施、测试报告、测试结果处理和测试总结等环节。
6、安全测试要求
本标准对金融网络安全Web应用服务安全测试提出了具体要求,包括测试环境、测试工具、测试人员、测试时间、测试范围、测试频次等。
7、安全测试风险管理
本标准提出了金融网络安全Web应用服务安全测试的风险管理措施,包括风险识别、风险评估、风险控制和风险监控等。
三、标准实施意义
1、提高金融网络安全防护能力
本标准的实施有助于金融机构发现和解决Web应用服务中存在的安全问题,提高金融网络安全防护能力,保障金融行业的稳定运行。
2、规范金融网络安全管理
本标准的实施有助于规范金融网络安全管理,提高金融机构的安全意识和管理水平,促进金融行业的健康发展。
3、保护用户利益
本标准的实施有助于保护金融用户的个人信息和财产安全,提高用户对金融机构的信任度,促进金融行业的可持续发展。
4、促进金融科技的发展
本标准的实施有助于金融科技的创新和发展,为金融行业提供更加安全、高效、便捷的服务,推动金融行业的数字化转型。
JR/T 0213-2021《金融网络安全 Web应用服务安全测试通用规范》的发布和实施,对于提高金融网络安全防护能力、规范金融网络安全管理、保护用户利益、促进金融科技的发展具有重要意义。金融机构应认真贯彻落实本标准,加强网络安全管理,提高网络安全防护能力。
